收藏
下载资源

SSL-VPN 实现双向证书认证方式的配置方法.doc

上传人:s9****2 文档编号:545724294 上传时间:2022-12-18 格式:DOC 页数:35 大小:4.09MB
返回 下载 相关 举报
SSL-VPN 实现双向证书认证方式的配置方法.doc_第1页
第1页 / 共35页
SSL-VPN 实现双向证书认证方式的配置方法.doc_第2页
第2页 / 共35页
SSL-VPN 实现双向证书认证方式的配置方法.doc_第3页
第3页 / 共35页
SSL-VPN 实现双向证书认证方式的配置方法.doc_第4页
第4页 / 共35页
SSL-VPN 实现双向证书认证方式的配置方法.doc_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《SSL-VPN 实现双向证书认证方式的配置方法.doc》由会员分享,可在线阅读,更多相关《SSL-VPN 实现双向证书认证方式的配置方法.doc(35页珍藏版)》请在金锄头文库上搜索。

1、Ssl-vpn实现双向证书认证方式的配置方法 SSL-VPN 实现双向证书认证方式的配置方法1 配置思路22 应用场合23 测试使用设备和版本24 配置步骤24.1 Windows CA 证书服务器配置 Microsoft 证书服务安装24.2 windows2003证书服务器生成ssl-vpn所使用的证书。104.3 将新的证书上传到ssl-vpn设备中并与PKI域绑定。194.3.1 将新的证书通过FTP或者TFTP上传到Secpath 1000F的flash中。194.3.2 停止SSL服务和web服务194.3.3 secpath 1000F上将原有证书和PKI域分离(此前已经使用系统

2、自带证书)204.3.4 secpath 1000F上将原有密钥对销毁204.3.5 secpath 1000F上将PKI域与新的证书绑定204.3.6 查看已经上传的证书214.3.7 启用SSL和web服务254.4 在ssl-vpn设备中选择密码证书认证以实现双向认证。254.4.1 新建管理员帐号254.4.2 更改Ssl-vpn认证策略为密码证书认证264.4.3 pc申请证书284.4.4 测试ssl-vpn认证策略方式为证书方式335 关于使用USB-KEY实现SSL-VPN配置的说明356 配置注意事项351 配置思路 1. windows2003 CA服务的安装。2. win

3、dows2003证书服务器生成ssl-vpn所使用的证书。3. 将新的证书上传到ssl-vpn设备中并与PKI域绑定。4. 在ssl-vpn设备中选择密码证书认证以实现双向认证。2 应用场合适用于用户对数据安全性较高场合。3 测试使用设备和版本CA服务器 Windows20032. ssl-vpn设备 Secpath F1000 软件版本 Version 3.40, Release 1626P014 配置步骤4.1 Windows CA 证书服务器配置 Microsoft 证书服务安装安装准备:插入Windows Server 2003 系统安装光盘添加IIS组件:点击确定,安装完毕后,查看I

4、IS管理器,如下:添加证书服务组件:如果您的机器没有安装活动目录,在勾选以上证书服务时,将弹出如下窗口:由于我们将要安装的是独立CA,所以不需要安装活动目录,点击是,窗口跳向如下:默认情况下,用自定义设置生成密钥对和CA证书没有勾选,我们勾选之后点击下一步可以进行密钥算法的选择:Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048您可以根据需要做相应的选择,这里我们使用默认。点击下一步:填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在可分辨名称后缀中添

5、加,有效期限默认为5年(可根据需要作相应改动,此处默认)。点击下一步:点击下一步进入组件的安装,安装过程中可能弹出如下窗口:单击是,继续安装,可能再弹出如下窗口:由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击是继续安装:完成证书服务的安装。开始 管理工具 证书颁发机构,打开如下窗口:我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器(CA)的IIS下多出以下几项:我们可以通过在浏览器中输入以

6、下网址进行数字证书的申请:http:/hostname/certsrv或http:/hostip/certsrv申请界面如下:4.2 windows2003证书服务器生成ssl-vpn所使用的证书。 我们可以通过在浏览器中输入以下网址进行数字证书的申请点击“申请一个证书”显示如下视图 点击“高级证书申请”,显示如下视图上图中必须填写姓名,其它可选,需要的证书类型选择“服务器身份验证证书”在密钥选项中,一定要选择“标记密钥可导出”否则会造成根证书无法倒出给SSL使用的现象点击上图中的“安装此证书”出现如下视图点击上图中的“是”证书就会被安装到IE浏览器中。点击浏览器 工具internet内容证书

7、,就可以看到已经下载的证书,如上图选择证书并点击导出,出现上图,点击下一步。选择“是,导出私钥”,点击下一步,出现如下视图选择“私人信息交换”中的前两个选项,点击“下一步”在密码中设置密码,(此密码在SSL设备倒入此证书时需要)输入此证书名称(建议配置一个比较好记忆的名称,后缀为pfx)。从上图中可看到证书的相关信息,确认无误后,点击“完成”。上图显示证书已经导出成功,至此本地证书已经生成。接下来,下载一个CA证书,如上图“下载一个CA证书,证书链或CRL”点击“下载CA证书”点击上图的中“保存”选择CA证书存放在本地的位置并指定文件名(建议配置一个易记的名字,后缀为crt)至此,两个证书都已

8、经生成,见上图中红色方框4.3 将新的证书上传到ssl-vpn设备中并与PKI域绑定。4.3.1 将新的证书通过FTP或TFTP上传到Secpath 1000F的flash中。 dirDirectory of flash:/ 1 -rw- 3292 Mar 22 2009 18:48:42 sslvpn_local.pfx 2 -rw- 874 Mar 22 2009 18:49:18 sslvpn_ca.crt 3 -rw- 9055389 Mar 22 2009 18:51:30 system 4 -rw- 1241 Mar 22 2009 19:10:49 svpndefdom_ca.c

9、er 5 -rw- 65 Mar 22 2009 18:54:07 svpn.cfg 6 drw- - Mar 22 2009 18:54:02 domain1 7 -rw- 0 Mar 22 2009 18:54:02 svpn.cfg.bak 8 -rw- 1533 Mar 22 2009 19:11:00 svpndefdom_local.cer 9 -rw- 2804921 Mar 22 2009 19:02:27 http.zip4.3.2 停止SSL服务和web服务Quidwayundo svpn service enable Stopping SSL VPN Service. S

10、SL VPN is stopped! Quidwayundo web ser enable Stopping Web server4.3.3 secpath 1000F上将原有证书和PKI域分离(此前已经使用系统自带证书)Quidwaypki delete-certificate ca domain svpndefdom When deleting CA certificates, the local device certificate will also be deleted.Please confirmY/NyThis operation may take a few seconds ,

11、 please wait.The CA certificate will be deleted.Please confirmY/N%Mar 22 19:04:39:460 2009 Quidway PKI/4/Delete_Local_Cert:Delete local certificate of the domain svpndefdom successfully.Before pressing ENTER you must choose YES or NOY/N:yThis operation may take a few seconds , please wait.Quidwaypki

12、 delete-certificate ca domain svpndefdomNo local certificate!4.3.4 secpath 1000F上将原有密钥对销毁Quidwayrsa local-key-pair destroy % The name for the keys which will be destroyed is Quidway_Host .% Confirm to destroy these keys? Y/N:y.Done.4.3.5 secpath 1000F上将PKI域与新的证书绑定 Quidwaypki import-certificate ca do

13、main svpndefdom der filename sslvpn_cal.crtImporting certificates. Please wait a while.The trusted CAs finger print is: MD5 fingerprint:2951 39CF 3414 67B0 9480 37D8 848A 43A9 SHA1 fingerprint:B919 EA20 D0C0 1292 7BE3 06CE 6E81 61AF B27A A152 Is the finger print correct?(Y/N):y.%Mar 22 19:09:26:034

14、2009 Quidway PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain svpndefdom is trusted.Import CA certificate successfully.Quidwaypki import-certificate local domain svpndefdom p12 filename sslvpn_local.pfxPlease input challenge password:Importing certificates. Please wait a while.The trusted CAs finger print is: MD5 fingerprint:2951 39CF 3414 67B0 9480 37D8 848A 43A9

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号