本帖最后由 秦宇翔 于 2023-9-22 17:23 编辑
1.客户需求以及部署模式判断 因客户需要使用本产品(SSL安全网关AD)为了在客户不修改服务器端应用直接将HTTP、SMTP、LDAP等应用升级到SSL加密的HTTPS、SMTP_SSL、LDAPS等并且为了降低服务器做证书卸载的压力、集中管理SSL证书等原因,故需使用SSL加密及卸载,在需求中可使用单臂模式部署。
上架设备后,只需要配置WAN口(外网口)。因为需要后期管理方便单独配置了管理口,管理口设置管理IP地址,使用MANAGE口。 2.设备所需各功能模块配置 2.1 网络配置 新建WAN属性接口,并配置静态IP地址;如果有多个网段的IP地址,一个接口上可以配置的或者配置多个WAN口。进入[网络部署-网络接口-链路IP配置]页面,点击<新增>,需要设置:名称、类别、网络接口、网络配置、健康检查等完成WAN口的设置。
2.2 应用负载配置 1.[应用负载-虚拟服务-虚拟服务]。在[应用负载]菜单下,点击<虚拟服务>,在右边虚拟服务窗口中,选择[虚拟服务],点击<新增>。 2. [虚拟服务下显示的虚拟服务的[名称、[健康状态、[描述、[服务类型、[IP地址、[端口、[节点池、[前置策略、[优化策略、[SSL策略、[安全策略、[启/禁用、[操作,其中[操作栏有<复制>按钮用于快速复制创建同样的虚拟服务配置,<删除>按钮用于删除该单条配置。
3. [应用负载/节点池/节点池,在[应用负载菜单下,点击[节点池,在右边节点池窗口中,选择[节点池,点击<新增>。 4.新建的节点自动关联创建对应业务主机,相同IP的节点对应主机是同一个。将节点概念抽出以承担业务的主机的视角去整体检视该主机当前的连接数等情况,更加直观的对整体承载业务的主机进行管理。 5.导入服务器证书,一般包括证书、私钥;可以选择是否设置私钥密码;如下图所示。
配置完成如下图所示 6. 配置SSL策略,如下图所示。选择RSA服务器也就是刚才导入的SSL证书。[应用负载/SSL策略/SSL卸载策略],在[应用负载]菜单下,点击<SSL策略>,在右边SSL策略窗口中,选择[SSL卸载策略],点击<新增>。 7.配置完成在运行概论中查看相应虚拟服务、虚拟IP、节电池等信息
8.对配置进行验证 3.U-key登录设备配置3.1.格式化U-key把U-KEY插到PC上面,使用下面工具先把U-KEY进行格式化操作 点击:创建应用,显示格式化成功: 注意:如果点击创建应用没有反应,可以修改下兼容模式或使用其他PC测试 3.2.安装U-key驱动
在PC上面安装下面驱动程序: 安装完后,电脑插入U-KEY,确认电脑可以正常识别U-KEY 3.3.清除U-key证书在PC上面,采用管理员权限打开IE浏览器,然后打开下面网页,在网页里面对key进行格式化,IE选择:允许阻止的内容
注:只能使用Win10系统进行U-key证书格式化 如果网页运行无法识别U-KEY,在PC上面可以使用下面这个软件“以管理员身份运行”
注意:如果点击之后看不到U-KEY,可以修改下兼容模式或使用其他PC测试 · 点击“登录”,PIN密码:123456
点击向上箭头:
点击“初始化”,输入密码,点击“确定” SO PIN和用户PIN码密码一致:123456
3.4.烧录用户证书到U-KEY
U-KEY插入在PC上格式化成功后,然后打开AD国密设备,查看国密算法是否激活 创建管理员账号,用户证书:生成证书,PIN码:123456 即可烧录到U-KEY里面 3.5 管理员账号认证登录
进入系统管理-用户管理,点击管理员-编辑用户,勾选证书认证 3.6.测试结果呈现(注:必须使用国密浏览器登录访问)
3.6.1正常登录3.5.2假设输入错误用户名密码 3.5.3假设PIN输入错误 3.5.4 不插key登录
注:工具已上传
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-9-19 16:12
技术员2级 