二、证书制作
1、SSL VPN生成RSA请求文件
①在设备控制台->IPSec vpn设置->证书管理->证书请求中新增RSA请求文件(后面生产证书需要使用)
对应输入打*号的内容(颁发给CN一般写设备名称)
密码标准默认,密码长度自定义
②把生成好的RSA请求文件下载到本地,名字太长了自定义命名一下后面好制作证书
2、AF生成RSA请求文件
①在设备控制台->网络->IPSec vpn->证书管理->证书请求中新增RSA请求文件(后面生产证书需要使用)
对应输入打*号的内容(颁发给CN一般写设备名称)
密码标准默认,密码长度自定义
②把生成好的RSA请求文件下载到本地,名字太长了自定义命名一下后面好制作证书
3、找一台linux系统的机子,推荐Centos 5或以上的版本、Ubuntu 14.0.4或以上的版本,因为系统会自带OpenSSL,无需另外安装,如果需要安装自行百度
命令: openssl version -a #查看OpenSSL版本
可以看到已经安装了OpenSSL 1.0.2
4、命令: cd /home #进入home目录,等下存放证书的到这个目录下,也可以自定义目录命令: ls #查看目录下的文件
通过FTP等方式把SSL VPN、AF生成的RSA请求文件拷贝到home目录下
5、生成根证书
命令: openssl genrsa -out root.key 2048
#生成名称为 root.key 的根证书私钥(证书名称自定义)
命令:openssl req -new -out root.csr -key root.key -keyform PEM
#使用root.key私钥生成名称为 root.csr 的证书请求文件
Country Name (2 letter code) [XX]: CN #国家代码(中国写 CN)
State or Province Name (full name) []: GX #省份简称(如广西 GX)
Locality Name (eg, city) [Default City]: NN #所在省市简称(如南宁 NN)
Organization Name (eg, company) [Default Company Ltd]: GXXB #企业组织
Organizational Unit Name (eg, section) []: XXZX #部门
Common Name (eg, your name or your server's hostname) []: #直接回车
Email Address []: #直接回车
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: #直接回车
An optional company name []: #直接回车
命令:openssl x509 -req -in root.csr -out root.cer -signkey root.key -CAcreateserial -days 3650
#使用root.csr 请求文件、root-key.key 生成名称为 root-cer.cer 的CER格式根证书
6、生成SSL VPN根证书(设备已经生成了csr请求文件,所以拷贝进来即可无需生成)
命令: openssl genrsa -out ssl.key 2048
#生成名称为 ssl.key 的SSL设备证书私钥
命令: openssl x509 -req -in SSL.csr -out ssl.cer -signkey ssl.key -CA root.cer -CAkey root.key -CAcreateserial -days 3650
#使用设备导出的 SSL.csr SSL设备请求文件、 ssl.key SSL的私钥、root.cer 根证书、roo.key 根证书私钥生成名称为 ssl.cer 的CER格式证书
命令:openssl pkcs12 -export -clcerts -in ssl.cer -inkey ssl.key -out ssl.p12
#使用 ssl.cer 证书 、ssl.key 私钥生成名称为 ssl.p12 的P12格式的证书(需要设置一个证书密码)
7、生成AF根证书(设备已经生成了csr请求文件,所以拷贝进来即可无需生成)
命令: openssl genrsa -out af.key 2048
#生成名称为 af.key 的SSL设备证书私钥
命令: openssl x509 -req -in AF.csr -out af.cer -signkey af.key -CA root.cer -CAkey root.key -CAcreateserial -days 3650
#使用设备导出的 AF.csr SSL设备请求文件、 af.key SSL的私钥、root.cer 根证书、root.key 根证书私钥生成名称为 af.cer 的CER格式证书
命令:openssl pkcs12 -export -clcerts -in af.cer -inkey af.key -out af.p12
#使用 af.cer 根证书 、af.key 私钥生成名称为 af.p12 的P12格式的根证书(需要设置一个证书密码)
8、通过FTP等方式把生成好的证书拷贝到本地(可以拷贝完所有,但是实际只需要使用到root.cer、af.p12、ssl.p12这三个证书),这样我们的证书就算制作完成了
三、证书导入到设备
1、SSL VPN导入(导入证书需要重启DLAN服务才生效,注意合理安排操作时间)
在设备控制台->IPSec vpn设置->证书管理->证书列表导入
证书名称:自定义
证书类型:PKCS#12证书(*.pfx/*.p12)
CA根证书:就是我们制作好的 root.cer 这个根证书
本地证书: 选择对应设备的P12证书保护密码:生成P12证书输入的密码
2、AF 导入
在设备控制台->网络->IPSec vpn设置->证书管理->证书列表导入
证书名称:自定义
证书类型:PKCS#12证书(*.pfx/*.p12)
CA根证书:就是我们制作好的 root.cer 这个根证书
本地证书: 选择对应设备的P12证书保护密码:生成P12证书输入的密码
四、某公司 VPN使用证书认证
先从分支设备开始配置,拓扑图中AF为分支
1、分支AF配置
在设备控制台->网络->IPSec vpn->连接管理进行新增
输入连接名称,总部地址,勾选使用证书,选择刚导入的证书(注意用户名哪里,勾选证书后会显示用户名,在总部创建用户的时候需要和这个用户一致,否则会无法建立VPN隧道),传输类型自定义
点击完成后记得点确定,否则配置没保存生效
2、总部SSL配置
在设备控制台->IPSec vpn设置->用户管理->新增用户
用户名需要和分支连接中的一致,选择证书认证
3、通过DLAN状态查看VPN隧道是否建立成功,如果没建立成功查看日志,如果成功检查访问业务是否正常
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-7-1 12:33
发表于 2020-7-4 11:55
技术专家1级 
