No2_Array_SPX工程安裝配置手冊_虛擬站點配置部分

1、 Array SPX工程安裝配置手冊虛擬站點配置部分一、 SSL VPN門戶（Virtual Site）的建立11. 增加Virtual Site12. 配置virtual site 的SSL協(xié)議及數(shù)字證書31.1 Global Mode 與 Virtual Site Mode31.2 SSL 協(xié)議部分配置概述41.3 生成CSR41.4 導(dǎo)入virtual site 數(shù)字證書51.5 客戶端數(shù)字證書驗證配置81.6 LocalDB用戶認證配置10SSL VPN門戶（Virtual Site）的建立增加Virtual Site建立一個virtual site ，假設(shè)IP地址為192.168.1

2、.2，Array 的SSL VPN 門戶的地址不能使用設(shè)備端口地址。Virtual Sites-Virtual Sites-Virtual Sites上圖是圖形界面方式，此時需要在左上角Global Mode 為 config 狀態(tài)下加入新的SSL門VPN戶，即virtual site。其中：Site Name ：為站點的英文表示，取較易記憶的名字，如：SP-DemoSite FQDN：full qualified domain name，在IE等瀏覽器中輸入的域名。如果使用域名登陸，此項輸入域名，如：；如果使用IP地址登陸，此項需輸入IP

3、地址，如：，如果使用NAT，則此項輸入NAT之后的公網(wǎng)地址。IP Address：指virtual site 的IP地址。Port：virtual site 的https 訪問的端口地址，缺省為443。Virtual Site Type：缺省為Exclusive，指沒有子站點，也可以配成share方式，使用別名。命令行為：AN(config)# virtual site host port(shared|exclusive)Virtual site id:即site nameDomain_name: 即FQDN。Vip: 即virtual site ip addressA

4、N(config)#ssl host virtual ssl_host：采用何FQDN相同的名字。virtual_site_id：site name如：AN(config)#virtual site host “SP-Demo” “” 443 exclusiveAN(config)#ssl host virtual “2” “SP-Demo”或者：AN(config)#virtual site host “SP-Demo” “” 2 443 exclu

5、siveAN(config)#ssl host virtual “” “SP-Demo”我們可以用命令查看virtual site 的建立情況：AN(config)#show virtual site host配置virtual site 的SSL協(xié)議及數(shù)字證書Global Mode 與 Virtual site Mode對于SPX設(shè)備而言，存在兩種配置方式：Global Mode：配置SPX的全局設(shè)置，如上一章所述的基本配置，加站點配置等。Virtual Site Mode：配置各個站點，每個站點可以進入自己的配置模式而不互相干擾，可以為

6、每個virtual site 分配管理員，global 管理員 array可以進入每個站點配置。從global mode 進入 virtual site mode命令為：AN# switch 如：AN# switch SP-Demo配置virtual site 的SSL 部分需要進入virtual site 的 config 模式。SSL 協(xié)議部分配置概述建議您在作此配置之前閱讀一些關(guān)于PKI、數(shù)字證書、CA、SSL協(xié)議的相關(guān)材料，這樣您就非常容易理解這些配置了。首先需要為virtual site 配置一個數(shù)字證書，供客戶端進行檢驗，讓客戶端檢查訪問的是否信任的SSL VPN網(wǎng)關(guān)。需要在SPX

7、上生成一個CSR ( certificate sign request)，即數(shù)字證書簽名申請供CA(認證中心)生成數(shù)字證書。如果您有CA，您可以將CSR提交給他，并由他生成Virtual Site 的數(shù)字證書，然后將數(shù)字證書import到SPX內(nèi)。如果您沒有CA，SPX會為您自動簽名一個證書。對于客戶端的數(shù)字證書驗證是可選的，在一些對客戶端有較高安全驗證的情況下會使用，這時您需要一個CA來進行客戶端數(shù)字證書的頒發(fā)管理。同時，需要將CA的信任證書鏈導(dǎo)入的SPX內(nèi)部作為客戶端數(shù)字證書的簽名驗證。生成CSR命令行為：AN(config)#switch SP-DemoSP-Demo(config)$s

8、sl csr We will now gather some required information about your ssl virtual host,This information is encoded into your certificate.Two character country code for your organization (eg. US): CNState or province: beijinglocation or local city: bjOrganization Name: arraynetworksOrganizational Unit: Trai

9、ningemail address of administrator: Do you want the private key to be exportable Yes/(No):No圖形界面為： 查看csr的生成，命令行為：SP-Demo(config)$show ssl csr如：SP-Demo(config)$show ssl csr-BEGIN CERTIFICATE REQUEST-MIIBzzCCATgCAQAwgY4xCzAJBgNVBAYTAkNOMRAwDgYDVQQIEwdiZWlqaW5nMQswCQYDVQQHEwJiajEWMBQGA1

10、UEChMNYXJyYXluZXR3b3JrczEOMAwGA1UECxMFdHJhaW4xFDASBgNVBAMTCzE5Mi4xNjguMS4yMSIwIAYJKoZIhvcNAQkBFhNhZG1pbkBhcnJheWRlbW8uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDnpTJfGnEP8KYl0TW+GV6p7eVHpkzKlgFcmNG+C5XT9i9q8fCfC9z3B4L5EFoJbMU9gMP5VBPwXL7OucR0OUxwnie+6C0eaLLN2OHz38B9OQUeoP+jT6ugQR7DVgAf8QegJHOlFon2rY

11、+aeKON+lmo01VJgV42dNbkrNH/sndOQIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAUtmxqnOIGrFMvw+t8cXF2yIpWeqsxcEKEZnDjTz66R+CkqFkX1yFV71fF/sHu9qIk7Q3urARZ/w+TRlEVEFMvDBG7qSRc7NwIg8POFQ5efdtlOU0/x9Km/48cVx+M6YIEkBv9Nqnk7G2XkngfQNiOfPrjz99spVeK10anf0t8rE=-END CERTIFICATE REQUEST-導(dǎo)入virtual site 數(shù)字證書這時您可以將上面生成的csr 提交給C

12、A生成數(shù)字證書，如過您沒有CA，SPX會為您簽名一個數(shù)字證書，您只需要SP-Demo(config)$ssl start 即可使用virtual site 了。Site Configuration-Security Settings-SSL Settings-General如果您有CA并為您的virtual site 簽名了一個數(shù)字證書，您可以導(dǎo)入到virtual site 里面。如：SP-Demo(config)$ssl import certificate You may overwrite an existing certificate file, type YES without qu

13、otes to continue:YES Enter certificate, use . on a single line, without quotes, to terminate import-BEGIN CERTIFICATE-MIICnjCANgcANgEUMA0GCSqGSIb3DQEBBAUAMIG5MQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxHDAaBgNVBAoTE0NsaWNrQXJyYXkgTmV0d29yK4RHM11OClXVjm3xRhqKQnjzNboExIvkZs

14、KIBbfLkBrM1eBnEaiYWXmsYGfxPkwdhKlQCLQgN+G3IKu2cRQLU= -END CERTIFICATE-.注意要以“”結(jié)尾。上面使用的是數(shù)字證書的PEM格式，如果您用其他格式，可以使用TFTP方式倒入。命令行為：SP-Demo(config)$ssl import certificate tftp_ip這時您需要在tftp服務(wù)器上存在 .crt這個數(shù)字證書文件。圖形界面為：Site Configuration-SSL Certificates-Certificates-ImportSite Configuration-SSL Certificates-Cer

15、tificates-Import Via TFTP通過如下命令可以查看ssl certificate:SP-Demo(config)$ show ssl certificate客戶端數(shù)字證書驗證配置如果您不需要認證客戶端的數(shù)字證書，則可以越過本小節(jié)。需要將CA的證書輸入SP.SP-Demo(config)$ ssl import rootcaThis command is used to import the certificate of a trusted Certificate Authority. This willbe utilized for the verification of

16、client certificates. It must be present when clientauthentication is enabled for a virtual site.Site Configuration-SSL Certificates-Trusted Root CA將客戶端證書驗證功能打開：SP-Demo(config)$ssl settings clientauthThis command allows the user to establish client authorization for the host. All SSL clientsconnectin

17、g to the specified virtual site will be required to present a client certificate beforecommunication will be allowed to continue. Site Configuration-Security Settings-SSL Settings-Client AuthenticationLocalDB用戶認證配置SSL VPN的用戶認證是SSL VPN比較復(fù)雜的部分，我們會在下一章詳細敘述各種認證方法，我們在本節(jié)主要敘述系統(tǒng)的缺省認證方式Local DB，以使我們的SSL VPN門

18、戶virtual site 的基本配置工作成功。SP-Demo(config)$show run aaa #aaa configurationaaa on aaa radius accounting off aaa method localdb 1但要讓Local DB成功工作，您還需要建立一個用戶數(shù)據(jù)庫，并為這個數(shù)據(jù)庫分配一個關(guān)聯(lián)的virtual site ，之后您可以加入新的用戶或者組。建立一個新的用戶數(shù)據(jù)庫,使用global mode：AN(config)#localdb database 如：AN(config)#localdb database spdemo_db將這個數(shù)據(jù)庫與virtual site相關(guān)聯(lián)，命令行為：AN(config)#localdb associate 如：AN(config)#localdb associate SP-Demo spdemo_dbGlobal Resources-Local Database-Local Database加入新的用戶登陸帳號，命令行為：SP-Demo(co