华为防火墙配置SSL+自签CA证书挑战登录

关于证书，涉及作者的知识盲区，本人仅根据自己的理解编写，仅供参考！

公钥CA：理解为母体，公开信息，唯一 公钥RSA：理解为母体的密码 私钥CA：理解为包含公钥信息+个人用户名的子证书 私钥RSA：理解为私钥的密码，可以与公钥共用一个密码 证书导出密码：文件的解压密码（文件=私钥CA+私钥RSA）

在华为USG的作用： 公钥CA：服务器证书，验证客户端证书是否通过公钥签发 私钥CA：客户端证书，用于识别用户名 证书导出密码：客户端导入时解压密码

下载XCA证书生成工具，由于本人测试时花费了不少时间，所以直接上传了，解压密码：huawei

https://download.csdn.net/download/qq948718360/19469672

1、安装软件后打开，先创建公钥CA，在创建私钥CA 2、打开>新建数据库>输入数据库密码

3、证书>创建证书

4、来源>使用模板CA>应用模板信息创建

5、主题内部名称和commonName输入同样的内容，示例：usg-ca1，其它可根据需求填写。完成后点下发生成新秘钥

6、默认配置即可，点创建

7、完成后弹出窗口，点 OK

8、勾选 包含已使用的密钥，选择刚才创建的私钥，点OK

9、提示证书创建成功

10、证书列表已经生成，时间可调节，各位自行研究设置

11、创建客户端私钥：先单击证书，然后选择创建证书

12、签名处选择CA证书，模板使用 TLS_client，应用模板所有信息

13、主体输入用户信息，勾选私钥，点OK

14、生成证书，点OK 15、此时已经生成了用户证书。

16、导出CA证书为cer格式：单选证书，导出，选择*.cer 17、完成后桌面确认

18、导出用户证书：单选用户证书>导出>选择导出格式 PKCS #12(*.pfx)，注意要把格式改为P12

19、修改后缀名，OK

20、输入导出密码，此密码导入证书时候用，牢记

21、完成后桌面确认

找一下测试机器，搭建服务器进行外网测试 USG6507 V500R005C20SPC500

1、上传公钥CA到设备 2、本地上传，选择usg-ca1.cer，公钥无密码，点确定

3、完成后列表多出一个证书

4、开始创建SSL网关。客户端CA证书选择刚才的证书，认证方式选择证书挑战，用户过滤字段选择：主体-CN。其它默认即可，本人示例端口10000

5、SSL配置，默认 6、根据需要选择功能

7、可分配IP地址范围是客户端，示例：192.168.180.11-192.168.180.30/24，此IP要写策略，否则无法接入内网。 注意：路由模式此版本用户权限处可以单独控制，所以此次默认即可。旧版本只能在此选择用户扩展。优先级：组权限大于系统默认权限

8、主机检查：可选择检查进程，防火墙，端口等，后面有机会单独介绍

9、角色授权/用户，先授予默认角色权限，或者单独创建也可以。

10、授予网络拓展权限

11、完后可以看到角色已经拥有权限了，用户/用户组列表创建用户组合用户。先新建用户组，授权网络扩展权限，用户关联进组即可。每个组权限都可以不同

注意：不同版本功能不一样，有的版本没有这个功能，需要在网络扩展处填写需要访问的内网

12、创建用户信息，注意：用户名需要与证书名一致。用户所属组注意关联，否则只有默认权限

13、完成后确定

14、完成，结束创建。

目前个人证书为空

1、找到证书，双击即可安装 2、默认路径，切勿改动

3、文件路径，默认

4、输入证书导出时设置的密码，其它默认

5、存储路径，默认，切勿改动

6、完后，弹出成功 7、刷新个人证书列表

网络扩展有两种方式：IE插件和浏览器，由于IE设置比较麻烦，本人以客户端为例

1、手机开个热点，切换网络，Edge浏览器输入SSL端口 https://公网IP:10000，如果浏览器显示不安全，高级，继续即可

2、输入用户名和密码登录，弹出的证书选择个人证书。

3、如果是IE浏览器，此处会弹出网络扩展按钮 4、点击右上角 用户选项 5、可以选择修改密码或者安装客户端

6、此处我们下载64位客户端

7、安装过程不在介绍，一路默认即可

8、完成后双击打开

9、点下拉符号，新建连接 10、输入网关地址和端口，其它默认

11、完成后点连接 12、输入密码，这个是账号的密码 13、静待连接成功

14、查看用户登录情况

15、验证路由表是否生效 16、对于客户端登录和访问内网，安全策略需要放行，由于属于基本内容，本文不在详细介绍。 ①需要允许所有IP访问10000端口，简单操作：any到目的端口10000，允许 ②需要允许客户端地址访问内网地址段，简单操作，分配地址到any允许