请教我该申请什么类型的证书 到哪里去申请 还是自己搭建ca证书服务器操作 有没有详细的操作步骤 证书用在sslvpn防火墙端
(0)
看看是这个吗https://zhiliao.h3c.com/Theme/details/130547
(0)
您好,请知:
可以参考如下案例是否符合现场需求。
防火墙被扫描出SSL相关漏洞,需要进行修复。
以 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)为例,详情如下:
解决方案是排除SSL算法套件中的RC4算法。防火墙在使用HTTPS,SSL VPN时,为了兼容性目的SSL交互过程使用默认的算法套件,这些算法套件难免包含不安全的算法,比如RC4算法。所以需要新建一个安全的SSL服务器策略来排除这些算法,然后HTTPS、SSL VPN模块再调用新建的SSL服务器策略,这样就不会扫描出对应的SSL相关漏洞。
1,配置SSL服务器端策略需要引用PKI域,首先新建PKI域。
如下图所示,在防火墙Web界面【对象/PKI/证书】菜单栏中点击【新建PKI域】按钮,新建一个名称为“test”的PKI域。
2,然后为新建的PKI域导入CA证书和本地证书(此步骤的ca证书和本地证书怎么来的,请看步骤3中的描述)
3,证书可以通过 Microsoft Active Directory 证书服务 或者 Linux OpenSSL 来进行获取。如果需要权威CA证书,则需要向权威CA机构付费获取。防火墙flash包含一个自签名证书,https和sslvpn默认使用的就是这个自签名证书,可以将这个证书导出将公钥和私钥分离后分别作为CA证书和本地证书导入创建的PKI域,操作如下(本步骤的逻辑是,如果不需要权威的CA,那就用防火墙自带的本地证书分离出CA,然后组成一套证书CA和本地证书):
3.1,使用FTP或者SFTP的方式从防火墙的/pki/文件夹下获取对应的https-server.p12证书文件放置桌面。
3.2,双击证书文件,将导出的证书再导入到本地PC中,用来分离出不含私钥的CA证书。
3.3,由于防火墙自带的自签名证书没有对私钥进行口令保护,所以这里无须输入密码,直接点击“下一步”。
3.4,将证书存储在【个人】目录下,继续点击“下一步”并“完成”。
3.5,导入到设备的证书可以再IE浏览器中查看,选中IE浏览器的【Internet选项/内容/证书/个人】菜单,即可看到导入的H3C自签名证书。
3.6,将导入到设备的证书进行导出,即可生成不含私钥的CA证书(证书名称以实际导出为准,不同设备不同版本证书文件名可能不一样)。
3.7,这样1分2,经过IE浏览器操作产生的证书即可以作为PKI域的CA证书,从设备导出的原始证书作为PKI域的本地证书,再次导入设备。
3.8,经过上述一系列操作,PKI域配置完成,如下:
4,新建一个SSL服务器端策略“test"并引用创建好的PKI域“test",同时将【加密套件】已选的包含RC4的算法剔除,并点击【确定】。
5,HTTPS使能SSL服务器端策略
禁用当前对外提供的https/http服务
[H3C] undo ip https enable
[H3C] undo ip http enable
配置SSL服务如HTTPS服务引用前面自定义的SSL Server端策略:
[H3C] ip https ssl-server-policy test
重新使能https/http服务[H3C] ip https enable
[H3C] ip http enable
6,如果有SSL VPN业务,且漏洞报告中对应漏洞的端口号为设备SSL VPN网关的端口,则需要在SSL VPN网关下应用SSL服务器端策略,并重新使能网关服务。
同时重新使能HTTPS /HTTP 服务
[H3C] undo ip https enable
[H3C] undo ip http enable
[H3C] ip https enable
[H3C] ip http enable
使用以下命令,D045SP及其以上分支版本支持。
netconf soap https ssl-server-policy test。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论