webvpn的一些问题建议

一、设备在做webvpn，通过泛域名代理资源的方式，被代理的域名不能和泛域名同级，否则不被代理，建议优化

现象描述：客户域名为a.com，用户的内网资源有www.a.com，oa.a.com等资源，做了cas认证，刚开始的做法是配置两个A记录分别对应vpn的ip，vpn.a.com(vpn登录地址) 和*.vpn.a.com（泛域名），使用一切都正常，某天用户要求去掉https证书错误，并且提供了一个*.a.com的泛域名证书，导入之后发现跳转到第三方认证时证书报错（证书不匹配），认证成功后回跳到资源列表证书是正常的。

现象原因：证书不支持跨级匹配，因为泛域名是二级域了，而证书只支持1级，资源被代理后也变成了二级，所以造成证书不信任。

处理方法：把泛域名改成 *.a.com 指向vpn设备ip，再次测试发现访问内网资源就直接跳转到资源的真实地址了，而不是被代理后的地址。400客服建议是更换其他域名使用

建议：用户一般都是使用一个域名，很少会有多个

1、优化泛域名代理逻辑，和泛域名同级的资源需要能够正常代理。

2、证书信任问题，一般情况申请泛域名证书都是1级的，很少会用到二级，建议提供一个做泛域名后证书说明。

二、vpn增加登录策略后，访问vpn登录地址必须要加上https:// 才能正常访问，使用不方便，建议优化。

三、cas认证，之前在一个客户对接cas的时候，对方系统不返回用户分组，希望有一个变通的做法。建议能够匹配本地用户所在的组，即预先开户到vpn系统，cas用户登录成功后配置本地用户策略。类似于AC的认证用户，ac把用户导入到本地之后，第三方系统单点登录成功后能够匹配到本地账号，匹配本地用户的组策略。

感谢您对SSL产品的关注，建议整理得很详细了哦，请SSL规划经理安排回复哦@重要的是有好的建议 ，谢谢！