SSL VPN EMM应用封装案例

SSL VPN EMM应用封装案例

先将设备接通电源，并通过ETH1口接入，ETH0口为lan口不推荐作为调试口使用。访问https://10.254.253.254:4430进入设备WEB控制台，使用默认用户名密码登录，VPN默认用户名密码为admin/admin登录控制台之后会提示修改用户名和密码，按照提示进行修改，并且拥有一定的复杂性。

登录设备之后先在【系统配置】-【系统设置】-【序列号管理】页面上激活设备，并查看授权数量是否和客户购买的数量相符，如果相符进行下一步操作，如果不符则联系对应销售重开授权。

激活授权之后，在【系统配置】-【系统设置】-【日期与时间】中获取正确的时间。

然后在【系统配置】-【网络设置】-【部署模式】里选择单臂模式部署或者网关模式部署。单臂模式部署无需配置公网IP,通过前端设备上网，但是无法启用IPsec多线路传输。网关模式部署需要配置公网IP和内网IP,作为连接企业内网和公网的接口。（Ps：本次部署使用单臂模式部署。）

在【系统配置】-【网络设置】-【部署模式】内根据客户要求配置好IP之后，VPN会根据网关IP自动生成默认路由，且不会在静态路由中显示，然后根据客户需求在【系统配置】-【网络设置】-【路由设置】里配置客户所需要的静态路由。在单臂模式下，网关即为对端IP地址。

在配置SSL VPN时，先在【SSL VPN设置】-【用户管理】中新增测试用户。

根据客户提供的数据进行用户的创建。

然后在【SSL VPN设置】-【资源管理】中新增测试资源。

在【SSL VPN设置】-【角色授权】中将用户与资源进行绑定。

根据客户要求填写角色名称，然后关联用户，添加资源。

将VPN的443端口映射到出口地址上的某个端口。尝试通过EasyConnect或者浏览器用VPN映射到公网的地址进行登录VPN。

如果可以访问则证明SSL配置完成，反之则需要排查是否有网络问题，比如：输入的端口与映射的端口是否一致，连接VPN的出口设备是否可以连接到互联网，现在自己使用的PC是否连接到互联网。

在使用EMM封装前先在【系统设置】-【系统配置】-【设备证书】中创建一个新证书。

根据要求填写配置。

然后再更新自定义证书。

在【系统设置】-【网络配置】-【Hosts】中将应用封装服务器域名与IP绑定。（Ps：本次实施中可以sock访问到应用分装服务器的端口，但是ping不同应用封装服务器的地址。绑定IP与域名之后可以ping通。）

和需要封装的APP的软件厂家协调APK安装包，安卓系统不支持封装64位的，封装完之后是32位的因为参数不同会导致APP闪退，无法使用，需要联系软件厂家提供32位的APK安装包。IOS系统可以封装64位和32位的系统，需要提供IOS企业开发者证书和ipa程序。SSL 标准版本M6.8及以上版本开始支持应用封装，M6.8-M7.1R1版本需要开通应用封装授权，M7.3R3及以上版本需要开通EMM授权。开通EMM序列号或者应用封装序列号。SSL VPN设备能够上互联网，并且连通https://ea.sangfor.com:8800。IOS应封装需要准备好企业开发证书和企业开发包形式的ipa包。安卓应用封装准备好apk包即可，注意apk包最好不要做签名验证。

完成之后在【SSL VPN设置】-【EMM】-【应用封装】中新建资源。

将APK安装包导入。

同意协议，然后等待VPN完成封装。

然后在【SSL VPN设置】-【EMM】-【应用商店】设置中设置应用商店地址，勾选启用WEB应用商店。

然后再点击发布，选择发布已封装资源。

选择要发布的软件，然后选保存并发布。

发布完成之后在手机端输入应用商店地址，然后即可在手机段下载封装的应用。

本次部署时，使用SSL VPN 发布OA系统资源时，使用的时发布WEB资源，但是发布之后无法通过VPN主页的导航框访问，后面通过发布旧WEB资源，并开启HTTP透明代理之后可以通过VPN点击直接访问到OA系统的WEB页面。