您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 销售管理 > SSL-VPN-实现双向证书认证方式的配置方法
Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页SSL-VPN实现双向证书认证方式的配置方法1配置思路..................................................................................................................................22应用场合..................................................................................................................................23测试使用设备和版本................................................................................................................24配置步骤..................................................................................................................................24.1WindowsCA证书服务器配置—Microsoft证书服务安装.............................................24.2windows2003证书服务器生成ssl-vpn所使用的证书。................................................104.3将新的证书上传到ssl-vpn设备中并与PKI域绑定。.....................................................194.3.1将新的证书通过FTP或者TFTP上传到Secpath1000F的flash中。...................194.3.2停止SSL服务和web服务...................................................................................194.3.3secpath1000F上将原有证书和PKI域分离(此前已经使用系统自带证书).....204.3.4secpath1000F上将原有密钥对销毁.................................................................204.3.5secpath1000F上将PKI域与新的证书绑定........................................................204.3.6查看已经上传的证书.........................................................................................214.3.7启用SSL和web服务..........................................................................................254.4在ssl-vpn设备中选择密码+证书认证以实现双向认证。............................................254.4.1新建管理员帐号.................................................................................................254.4.2更改Ssl-vpn认证策略为密码+证书认证...........................................................264.4.3pc申请证书........................................................................................................284.4.4测试ssl-vpn认证策略方式为证书方式...............................................................335关于使用USB-KEY实现SSL-VPN配置的说明.......................................................................356配置注意事项.........................................................................................................................35Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页1配置思路1.windows2003CA服务的安装。2.windows2003证书服务器生成ssl-vpn所使用的证书。3.将新的证书上传到ssl-vpn设备中并与PKI域绑定。4.在ssl-vpn设备中选择密码+证书认证以实现双向认证。2应用场合适用于用户对数据安全性较高场合。3测试使用设备和版本CA服务器Windows20032.ssl-vpn设备SecpathF1000软件版本Version3.40,Release1626P014配置步骤4.1WindowsCA证书服务器配置—Microsoft证书服务安装安装准备:插入WindowsServer2003系统安装光盘添加IIS组件:Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页点击‘确定’,安装完毕后,查看IIS管理器,如下:添加‘证书服务’组件:Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口:由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页Microsoft证书服务的默认CSP为:MicrosoftStrongCryptographicProvider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’:填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。点击‘下一步’:Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口:单击‘是’,继续安装,可能再弹出如下窗口:由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击‘是’继续安装:Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页‘完成’证书服务的安装。开始》》》管理工具》》》证书颁发机构,打开如下窗口:Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器(CA)的IIS下多出以下几项:我们可以通过在浏览器中输入以下网址进行数字证书的申请:或申请界面如下:Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页4.2windows2003证书服务器生成ssl-vpn所使用的证书。我们可以通过在浏览器中输入以下网址进行数字证书的申请点击“申请一个证书”显示如下视图点击“高级证书申请”,显示如下视图Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页上图中必须填写姓名,其它可选,需要的证书类型选择“服务器身份验证证书”在密钥选项中,一定要选择“标记密钥可导出”否则会造成根证书无法倒出给SSL使用的现象Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页点击上图中的“安装此证书”出现如下视图点击上图中的“是”证书就会被安装到IE浏览器中。Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页点击浏览器工具》internet》内容》证书,就可以看到已经下载的证书,如上图选择证书并点击导出,出现上图,点击下一步。Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页选择“是,导出私钥”,点击下一步,出现如下视图选择“私人信息交换”中的前两个选项,点击“下一步”Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页在密码中设置密码,(此密码在SSL设备倒入此证书时需要)输入此证书名称(建议配置一个比较好记忆的名称,后缀为pfx)。Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页从上图中可看到证书的相关信息,确认无误后,点击“完成”。上图显示证书已经导出成功,至此本地证书已经生成。Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页接下来,下载一个CA证书,如上图“下载一个CA证书,证书链或CRL”点击“下载CA证书”Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页点击上图的中“保存”选择CA证书存放在本地的位置并指定文件名(建议配置一个易记的名字,后缀为crt)Ssl-vpn实现双向证书认证方式的配置方法杭州华三通信技术有限公司页,共35页至此,两个证书都已经生成,见上图中红色方框4.3将新的证书上传到ssl-vpn设备中并与PKI域绑定。4.3.1将新的证书通过FTP或TFTP上传到Secpath1000F的flash中。QuidwaydirDirectoryofflash:/1-rw-3292Mar22200918:48:42sslvpn_local.pfx2-rw-874Mar22200918:49:18sslvpn_ca.crt3-rw-9055389Mar22200918:51:30system4-rw-1241Mar22200919:10:49sv
本文标题:SSL-VPN-实现双向证书认证方式的配置方法
链接地址:https://www.777doc.com/doc-4384277 .html