#原创分享#SANGFOR VPN认证证书制作
  

yzy 91542人觉得有帮助

{{ttag.title}}
本帖最后由 yzy 于 2020-7-1 00:41 编辑

一、网络拓扑图
客户要求使用证书方式建立VPN,觉得用帐号密码不安全
SSL VPN单臂模式部署在总部,分支1台AF网关模式部署,总部需要在出口设备做好SSL VPN的TCP/UDP 4009端口的映射

二、证书制作
1、SSL VPN生成RSA请求文件
①在设备控制台->IPSec vpn设置->证书管理->证书请求中新增RSA请求文件(后面生产证书需要使用)
对应输入打*号的内容(颁发给CN一般写设备名称)
密码标准默认,密码长度自定义

②把生成好的RSA请求文件下载到本地,名字太长了自定义命名一下后面好制作证书

2、AF生成RSA请求文件
①在设备控制台->网络->IPSec vpn->证书管理->证书请求中新增RSA请求文件(后面生产证书需要使用)
对应输入打*号的内容(颁发给CN一般写设备名称)
密码标准默认,密码长度自定义


②把生成好的RSA请求文件下载到本地,名字太长了自定义命名一下后面好制作证书


3、找一台linux系统的机子,推荐Centos 5或以上的版本、Ubuntu 14.0.4或以上的版本,因为系统会自带OpenSSL,无需另外安装,如果需要安装自行百度
命令: openssl version -a         #查看OpenSSL版本
可以看到已经安装了OpenSSL 1.0.2


4、命令: cd /home      #进入home目录,等下存放证书的到这个目录下,也可以自定义目录
命令: ls   #查看目录下的文件
通过FTP等方式把SSL VPN、AF生成的RSA请求文件拷贝到home目录下


5、生成根证书
命令:  openssl genrsa -out root.key 2048      
#生成名称为 root.key 根证书私钥(证书名称自定义)

命令:openssl req -new -out root.csr -key root.key -keyform PEM
#使用root.key私钥生成名称为 root.csr 的证书请求文件
Country Name (2 letter code) [XX]:  CN   #国家代码(中国写  CN)
State or Province Name (full name) []:  GX  #省份简称(如广西   GX)
Locality Name (eg, city) [Default City]:  NN   #所在省市简称(如南宁  NN)
Organization Name (eg, company) [Default Company Ltd]:  GXXB  #企业组织
Organizational Unit Name (eg, section) []:     XXZX           #部门
Common Name (eg, your name or your server's hostname) []:    #直接回车
Email Address []:                         #直接回车

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:              #直接回车
An optional company name []:      #直接回车

命令:openssl x509 -req -in root.csr -out root.cer -signkey root.key -CAcreateserial -days 3650
#使用root.csr 请求文件、root-key.key 生成名称为  root-cer.cer   的CER格式根证书

6、生成SSL VPN根证书(设备已经生成了csr请求文件,所以拷贝进来即可无需生成)
命令: openssl genrsa -out ssl.key 2048   
#生成名称为 ssl.key 的SSL设备证书私钥

命令: openssl x509 -req -in SSL.csr -out ssl.cer -signkey ssl.key -CA root.cer -CAkey root.key -CAcreateserial -days 3650
#使用设备导出的 SSL.csr SSL设备请求文件、 ssl.key SSL的私钥、root.cer 根证书、roo.key 根证书私钥生成名称为 ssl.cer 的CER格式证书

命令:openssl pkcs12 -export -clcerts -in ssl.cer -inkey ssl.key -out ssl.p12
#使用 ssl.cer 证书ssl.key 私钥生成名称为 ssl.p12 的P12格式的证书(需要设置一个证书密码)


7、生成AF根证书(设备已经生成了csr请求文件,所以拷贝进来即可无需生成)
命令: openssl genrsa -out af.key 2048   
#生成名称为 af.key 的SSL设备证书私钥

命令: openssl x509 -req -in AF.csr -out af.cer -signkey af.key -CA root.cer -CAkey root.key -CAcreateserial -days 3650
#使用设备导出的 AF.csr SSL设备请求文件、
af.key SSL的私钥、root.cer 根证书、root.key 根证书私钥生成名称为 af.cer 的CER格式证书

命令:openssl pkcs12 -export -clcerts -in af.cer -inkey af.key -out af.p12
#使用 af.cer 证书af.key 私钥生成名称为 af.p12 的P12格式的根证书(需要设置一个证书密码)

8、通过FTP等方式把生成好的证书拷贝到本地(可以拷贝完所有,但是实际只需要使用到root.cer、af.p12、ssl.p12这三个证书),这样我们的证书就算制作完成了

三、证书导入到设备
1、SSL VPN导入(导入证书需要重启DLAN服务才生效,注意合理安排操作时间)
在设备控制台->IPSec vpn设置->证书管理->证书列表导入
证书名称:自定义
证书类型:PKCS#12证书(*.pfx/*.p12)
CA根证书:就是我们制作好的  root.cer 这个根证书
本地证书: 选择对应设备的P12证书
保护密码:生成P12证书输入的密码

2、AF 导入
在设备控制台->网络->IPSec vpn设置->证书管理->证书列表导入
证书名称:自定义
证书类型:PKCS#12证书(*.pfx/*.p12)
CA根证书:就是我们制作好的  root.cer 这个根证书
本地证书: 选择对应设备的P12证书
保护密码:生成P12证书输入的密码

四、某公司 VPN使用证书认证
先从分支设备开始配置,拓扑图中AF为分支
1、分支AF配置
在设备控制台->网络->IPSec vpn->连接管理进行新增
输入连接名称,总部地址,勾选使用证书,选择刚导入的证书(注意用户名哪里,勾选证书后会显示用户名,在总部创建用户的时候需要和这个用户一致,否则会无法建立VPN隧道),传输类型自定义
点击完成后记得点确定,否则配置没保存生效

2、总部SSL配置
在设备控制台->IPSec vpn设置->用户管理->新增用户
用户名需要和分支连接中的一致,选择证书认证

3、通过DLAN状态查看VPN隧道是否建立成功,如果没建立成功查看日志,如果成功检查访问业务是否正常

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

Sangfor_闪电回_朱丽 发表于 2020-7-1 12:33
  
您好,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
点击查看本季原创文章奖励榜单:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=103115
Fly2 发表于 2020-7-4 11:55
  
学习了
JM 发表于 2020-7-4 15:16
  
感谢分享
司马缸砸了光 发表于 2020-7-4 15:24
  
感谢分享~
新手978513 发表于 2020-7-4 15:39
  
感谢分享~
新手517842 发表于 2020-7-4 15:46
  
感谢分享
新手031815 发表于 2020-7-4 15:54
  
感谢分享
新手899116 发表于 2020-7-4 16:01
  
感谢分享
新手967080 发表于 2020-7-4 19:01
  
这么好的帖子,倘若别人看不到,那么不是浪费楼主的心血吗? 经过痛苦的思想斗争,我终于下定决心,我要把这个帖子一直往上顶,往上顶到所有人都看到为止!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
产品连连看
功能体验
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人