No2_Array_SPX工程安裝配置手冊(cè)_虛擬站點(diǎn)配置部分_第1頁(yè)
No2_Array_SPX工程安裝配置手冊(cè)_虛擬站點(diǎn)配置部分_第2頁(yè)
已閱讀5頁(yè),還剩8頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、 Array SPX工程安裝配置手冊(cè)虛擬站點(diǎn)配置部分一、 SSL VPN門(mén)戶(hù)(Virtual Site)的建立11. 增加Virtual Site12. 配置virtual site 的SSL協(xié)議及數(shù)字證書(shū)31.1 Global Mode 與 Virtual Site Mode31.2 SSL 協(xié)議部分配置概述41.3 生成CSR41.4 導(dǎo)入virtual site 數(shù)字證書(shū)51.5 客戶(hù)端數(shù)字證書(shū)驗(yàn)證配置81.6 LocalDB用戶(hù)認(rèn)證配置10SSL VPN門(mén)戶(hù)(Virtual Site)的建立增加Virtual Site建立一個(gè)virtual site ,假設(shè)IP地址為192.168.1

2、.2,Array 的SSL VPN 門(mén)戶(hù)的地址不能使用設(shè)備端口地址。Virtual Sites-Virtual Sites-Virtual Sites上圖是圖形界面方式,此時(shí)需要在左上角Global Mode 為 config 狀態(tài)下加入新的SSL門(mén)VPN戶(hù),即virtual site。其中:Site Name :為站點(diǎn)的英文表示,取較易記憶的名字,如:SP-DemoSite FQDN:full qualified domain name,在IE等瀏覽器中輸入的域名。如果使用域名登陸,此項(xiàng)輸入域名,如:;如果使用IP地址登陸,此項(xiàng)需輸入IP

3、地址,如:,如果使用NAT,則此項(xiàng)輸入NAT之后的公網(wǎng)地址。IP Address:指virtual site 的IP地址。Port:virtual site 的https 訪(fǎng)問(wèn)的端口地址,缺省為443。Virtual Site Type:缺省為Exclusive,指沒(méi)有子站點(diǎn),也可以配成share方式,使用別名。命令行為:AN(config)# virtual site host port(shared|exclusive)Virtual site id:即site nameDomain_name: 即FQDN。Vip: 即virtual site ip addressA

4、N(config)#ssl host virtual ssl_host:采用何FQDN相同的名字。virtual_site_id:site name如:AN(config)#virtual site host “SP-Demo” “” 443 exclusiveAN(config)#ssl host virtual “2” “SP-Demo”或者:AN(config)#virtual site host “SP-Demo” “” 2 443 exclu

5、siveAN(config)#ssl host virtual “” “SP-Demo”我們可以用命令查看virtual site 的建立情況:AN(config)#show virtual site host配置virtual site 的SSL協(xié)議及數(shù)字證書(shū)Global Mode 與 Virtual site Mode對(duì)于SPX設(shè)備而言,存在兩種配置方式:Global Mode:配置SPX的全局設(shè)置,如上一章所述的基本配置,加站點(diǎn)配置等。Virtual Site Mode:配置各個(gè)站點(diǎn),每個(gè)站點(diǎn)可以進(jìn)入自己的配置模式而不互相干擾,可以為

6、每個(gè)virtual site 分配管理員,global 管理員 array可以進(jìn)入每個(gè)站點(diǎn)配置。從global mode 進(jìn)入 virtual site mode命令為:AN# switch 如:AN# switch SP-Demo配置virtual site 的SSL 部分需要進(jìn)入virtual site 的 config 模式。SSL 協(xié)議部分配置概述建議您在作此配置之前閱讀一些關(guān)于PKI、數(shù)字證書(shū)、CA、SSL協(xié)議的相關(guān)材料,這樣您就非常容易理解這些配置了。首先需要為virtual site 配置一個(gè)數(shù)字證書(shū),供客戶(hù)端進(jìn)行檢驗(yàn),讓客戶(hù)端檢查訪(fǎng)問(wèn)的是否信任的SSL VPN網(wǎng)關(guān)。需要在SPX

7、上生成一個(gè)CSR ( certificate sign request),即數(shù)字證書(shū)簽名申請(qǐng)供CA(認(rèn)證中心)生成數(shù)字證書(shū)。如果您有CA,您可以將CSR提交給他,并由他生成Virtual Site 的數(shù)字證書(shū),然后將數(shù)字證書(shū)import到SPX內(nèi)。如果您沒(méi)有CA,SPX會(huì)為您自動(dòng)簽名一個(gè)證書(shū)。對(duì)于客戶(hù)端的數(shù)字證書(shū)驗(yàn)證是可選的,在一些對(duì)客戶(hù)端有較高安全驗(yàn)證的情況下會(huì)使用,這時(shí)您需要一個(gè)CA來(lái)進(jìn)行客戶(hù)端數(shù)字證書(shū)的頒發(fā)管理。同時(shí),需要將CA的信任證書(shū)鏈導(dǎo)入的SPX內(nèi)部作為客戶(hù)端數(shù)字證書(shū)的簽名驗(yàn)證。生成CSR命令行為:AN(config)#switch SP-DemoSP-Demo(config)$s

8、sl csr We will now gather some required information about your ssl virtual host,This information is encoded into your certificate.Two character country code for your organization (eg. US): CNState or province: beijinglocation or local city: bjOrganization Name: arraynetworksOrganizational Unit: Trai

9、ningemail address of administrator: Do you want the private key to be exportable Yes/(No):No圖形界面為: 查看csr的生成,命令行為:SP-Demo(config)$show ssl csr如:SP-Demo(config)$show ssl csr-BEGIN CERTIFICATE REQUEST-MIIBzzCCATgCAQAwgY4xCzAJBgNVBAYTAkNOMRAwDgYDVQQIEwdiZWlqaW5nMQswCQYDVQQHEwJiajEWMBQGA1

10、UEChMNYXJyYXluZXR3b3JrczEOMAwGA1UECxMFdHJhaW4xFDASBgNVBAMTCzE5Mi4xNjguMS4yMSIwIAYJKoZIhvcNAQkBFhNhZG1pbkBhcnJheWRlbW8uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDnpTJfGnEP8KYl0TW+GV6p7eVHpkzKlgFcmNG+C5XT9i9q8fCfC9z3B4L5EFoJbMU9gMP5VBPwXL7OucR0OUxwnie+6C0eaLLN2OHz38B9OQUeoP+jT6ugQR7DVgAf8QegJHOlFon2rY

11、+aeKON+lmo01VJgV42dNbkrNH/sndOQIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAUtmxqnOIGrFMvw+t8cXF2yIpWeqsxcEKEZnDjTz66R+CkqFkX1yFV71fF/sHu9qIk7Q3urARZ/w+TRlEVEFMvDBG7qSRc7NwIg8POFQ5efdtlOU0/x9Km/48cVx+M6YIEkBv9Nqnk7G2XkngfQNiOfPrjz99spVeK10anf0t8rE=-END CERTIFICATE REQUEST-導(dǎo)入virtual site 數(shù)字證書(shū)這時(shí)您可以將上面生成的csr 提交給C

12、A生成數(shù)字證書(shū),如過(guò)您沒(méi)有CA,SPX會(huì)為您簽名一個(gè)數(shù)字證書(shū),您只需要SP-Demo(config)$ssl start 即可使用virtual site 了。Site Configuration-Security Settings-SSL Settings-General如果您有CA并為您的virtual site 簽名了一個(gè)數(shù)字證書(shū),您可以導(dǎo)入到virtual site 里面。如:SP-Demo(config)$ssl import certificate You may overwrite an existing certificate file, type YES without qu

13、otes to continue:YES Enter certificate, use . on a single line, without quotes, to terminate import-BEGIN CERTIFICATE-MIICnjCANgcANgEUMA0GCSqGSIb3DQEBBAUAMIG5MQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxHDAaBgNVBAoTE0NsaWNrQXJyYXkgTmV0d29yK4RHM11OClXVjm3xRhqKQnjzNboExIvkZs

14、KIBbfLkBrM1eBnEaiYWXmsYGfxPkwdhKlQCLQgN+G3IKu2cRQLU= -END CERTIFICATE-.注意要以“”結(jié)尾。上面使用的是數(shù)字證書(shū)的PEM格式,如果您用其他格式,可以使用TFTP方式倒入。命令行為:SP-Demo(config)$ssl import certificate tftp_ip這時(shí)您需要在tftp服務(wù)器上存在 .crt這個(gè)數(shù)字證書(shū)文件。圖形界面為:Site Configuration-SSL Certificates-Certificates-ImportSite Configuration-SSL Certificates-Cer

15、tificates-Import Via TFTP通過(guò)如下命令可以查看ssl certificate:SP-Demo(config)$ show ssl certificate客戶(hù)端數(shù)字證書(shū)驗(yàn)證配置如果您不需要認(rèn)證客戶(hù)端的數(shù)字證書(shū),則可以越過(guò)本小節(jié)。需要將CA的證書(shū)輸入SP.SP-Demo(config)$ ssl import rootcaThis command is used to import the certificate of a trusted Certificate Authority. This willbe utilized for the verification of

16、client certificates. It must be present when clientauthentication is enabled for a virtual site.Site Configuration-SSL Certificates-Trusted Root CA將客戶(hù)端證書(shū)驗(yàn)證功能打開(kāi):SP-Demo(config)$ssl settings clientauthThis command allows the user to establish client authorization for the host. All SSL clientsconnectin

17、g to the specified virtual site will be required to present a client certificate beforecommunication will be allowed to continue. Site Configuration-Security Settings-SSL Settings-Client AuthenticationLocalDB用戶(hù)認(rèn)證配置SSL VPN的用戶(hù)認(rèn)證是SSL VPN比較復(fù)雜的部分,我們會(huì)在下一章詳細(xì)敘述各種認(rèn)證方法,我們?cè)诒竟?jié)主要敘述系統(tǒng)的缺省認(rèn)證方式Local DB,以使我們的SSL VPN門(mén)

18、戶(hù)virtual site 的基本配置工作成功。SP-Demo(config)$show run aaa #aaa configurationaaa on aaa radius accounting off aaa method localdb 1但要讓Local DB成功工作,您還需要建立一個(gè)用戶(hù)數(shù)據(jù)庫(kù),并為這個(gè)數(shù)據(jù)庫(kù)分配一個(gè)關(guān)聯(lián)的virtual site ,之后您可以加入新的用戶(hù)或者組。建立一個(gè)新的用戶(hù)數(shù)據(jù)庫(kù),使用global mode:AN(config)#localdb database 如:AN(config)#localdb database spdemo_db將這個(gè)數(shù)據(jù)庫(kù)與virtual site相關(guān)聯(lián),命令行為:AN(config)#localdb associate 如:AN(config)#localdb associate SP-Demo spdemo_dbGlobal Resources-Local Database-Local Database加入新的用戶(hù)登陸帳號(hào),命令行為:SP-Demo(co

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論