【2022争霸赛*干货满满】深信服SSL VPN企业微信认证与短信认证实施分享

大家好，我是大白，正所谓不经一番寒彻骨，怎得梅花扑鼻香。我也在努力的给大家展现更多更加优质的帖子，也希望各位道友多多支持，让我引劫渡劫成功哈哈哈。

大白队口号就是：砸锅卖铁我最行，拼死拼活就要赢！！！！！！！！！！！！

好的今天要分享的是深信服SSL VPN企业微信认证与短信认证实施分享，首先要知道微信认证在腾讯关闭第三方接口以前已经不能够进行对接使用，但是企业微信还是可以进行使用的，此次实施对接需要研发的评估，VPN设备的定制提前对接销售，VPN版本信息的评估等。

在开始讲解之前首先讲一下SSL VPN是什么，SSL VPN,指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器通过SSL VPN网关连接到公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层SSL对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问。在客户端和服务器连接的过程中,SSL VPN网关有不可替代的作用。

SSL协议主要由SSL握手协议和SSL记录协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。

SSL握手协议和IPSEC协议体系中的IKE(互联网密钥交换协议)协议类似，主要用于客户和服务器之间的相互认证MAC，(MessageAuthenticationCode-消息认证码)算法和协商加密算法，主要用于SSL记录协议中生成并使用的加密和认证密钥。

好的了解完SSL VPN的概述以后，我们开始今天的讲解配置：

网络结构：

客户原本在核心单臂部署了一台SSL VPN讲企业微信的用户进行授权使用，使用日常的远程办公使用以及相关的资源发布使用，现在客户因为原本有企业微信，现在想用企业微信的方式进行扫码用户认证，摒弃原来的用户名密码的方式，实现更加高效的安全的是资源使用访问，并且通过短信进行辅助认证完成。

首先确认好设备版本信息appversion：

因为要实现SSL VPN的企业微信认证，定制的要求版本7.6.8R以上版本到7.6.9R1（这个一定要尽可能提前确认，因为还要确认设备的其他支持情况）

并且配置需要进入后台进行处理，所以如果为客户人员需要联系相关技术人员进行技术支持，否则不建议进行操作，且不会被授权后台使用（因脱敏以及其他原因，部分后台操作命令将会被模糊，还望理解）。

设备的变更会影响业务，需要提前跟客户协调好业务影响时间以及客户端配合人员的协调。

SSL VPN实施前的配置备份下载：

VPN登录首页：

VPN确认好设备操作可行性后，进行Update打入定制包：

VPN设备打包完成以后进入后台修改对接参数：

路径如下：

     vi  /etc/sangfor/ssl/不便公开/不便公开

     vi  /config/etc/sangfor/ssl/不便公开/不便公开

CallBackUrl: 就是VPN映射出去的公网地址并且映射出去的是域名那就要写域名，如果是IP就要写IP，有端口带端口，还要跟后面企业微信后台回调地址配置的地址完全一致。

CorpId: 企业ID

CorpSecret:应用的secret

AgentId:应用的AgentId

修改完如上信息后需要执行命令重启插件进程服务。

企业微信后台配置 AgentID,Secret以及企业ID的获取：

新建扫码应用扫码应用建立完成以后如下：

如上图就可以获取到Agent ID，以及Secret等信息。

如上图就可以获取到企业微信的企业ID。

配置扫码可授信域名,授权回调域配置为VPN的域名,如果端口不为443,则配置为对应的端口;例如vpn.xxx.com.cn:443。

然后企业微信的配置就算完成。

然后通过SSL VPN：SSL VPN设置-->认证设置-->第三方主要认证-->新建-->自定义接口认证

选择custom WeChat auth：

配置组映射和默认映射组：

如上企业微信的配置对接完成。

SSL VPN短信网关对接配置：

客户是移动的V2短信网关，需要提前跟客户确认好网关对接的各项参数，例如是否通过安装在外部的短信模块发送？外部短信模块地址是什么？短信网关服务器地址是什么？端口是什么？等等。

选择辅助认证：

启用短信验证码配置发送模块：

配置短信发送参数：

发送测试短信，测试成功，然后进行保存。

然后将配置认证设置配置给组或用户：

企业微信扫码测试结果如下：

测试完成，使用正常。

*注意此配置不会因为SSL VPN集群或者分布式进行同步，所以需要单独每台进行修改，如果安装了老的EC出现无法显示二维码的问题，进行卸载重新安装新的EC客户端即可。

以上就是本次的深信服SSL VPN企业微信认证与短信认证实施分享，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

磋砣莫遗韶光老，人生惟有读书好。——《宋诗纪要》

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

专家点评：感谢楼主分享，文章记录了VPN对接企业微信的案例，图文并茂，思路清晰，期待楼主带来更多有价值的案例分享

学习一下，图文并茂，步骤详细

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

学习了 一天一个小技巧 感谢大佬分享

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~