在ubuntu上用openssl服务生成根证书ca.crt,以及clinet.pfx,将ca.crt导入防火墙配置pki域后,其余证书认证,客户端安装ca.crt、clinet.pfx,但是在登录的时候,老是显示证书错误。因为配置太多,只能说这些内容,不求大佬可以清晰明了,就是想说有没有F100-M-G5防火墙相关的sslvpn证书配置网址或者文档,最好是案例。劳烦了。
(0)
根据H3C SecPath F100系列防火墙的SSL VPN证书配置案例,请按以下步骤排查:
pki domain sslvpn
public-key rsa general
undo crl check enable #若CRL检查导致问题可关闭
quit
pki import domain sslvpn der ca filename ca.cer #CA证书必须DER格式导入
pki import domain sslvpn p12 local filename server.pfx #本地证书需PFX格式
ssl server-policy ssl
pki-domain sslvpn #必须绑定PKI域
client-verify enable #关键!启用客户端证书验证
quit
openssl x509 -in client.pfx -text
确认客户端证书:# 检查证书格式
display pki certificate domain sslvpn ca #应显示CA证书内容
display pki certificate domain sslvpn local #应显示服务器证书
client.pfx
由ca.crt
签发,可用命令验证:openssl verify -CAfile ca.crt client.crt
# 重启SSL VPN服务
sslvpn gateway gw
undo service enable
service enable
若仍存在问题,建议通过
debug ssl 7
抓取SSL握手过程,重点观察证书交换阶段报错代码。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论