华为防火墙配置SSL+自签CA证书挑战登录 | 您所在的位置:网站首页 › 华为防火墙web登陆端口号 › 华为防火墙配置SSL+自签CA证书挑战登录 |
HW USG部署SSL+CA证书登录
前言了解证书自签证书服务器配置客户端配置客户端登录
前言
关于证书,涉及作者的知识盲区,本人仅根据自己的理解编写,仅供参考! 了解证书公钥CA:理解为母体,公开信息,唯一 公钥RSA:理解为母体的密码 私钥CA:理解为包含公钥信息+个人用户名的子证书 私钥RSA:理解为私钥的密码,可以与公钥共用一个密码 证书导出密码:文件的解压密码(文件=私钥CA+私钥RSA) 在华为USG的作用: 公钥CA:服务器证书,验证客户端证书是否通过公钥签发 私钥CA:客户端证书,用于识别用户名 证书导出密码:客户端导入时解压密码 自签证书下载XCA证书生成工具,由于本人测试时花费了不少时间,所以直接上传了,解压密码:huawei https://download.csdn.net/download/qq948718360/19469672 1、安装软件后打开,先创建公钥CA,在创建私钥CA 2、打开>新建数据库>输入数据库密码 3、证书>创建证书 4、来源>使用模板CA>应用模板信息创建 5、主题内部名称和commonName输入同样的内容,示例:usg-ca1,其它可根据需求填写。完成后点下发生成新秘钥 6、默认配置即可,点创建
10、证书列表已经生成,时间可调节,各位自行研究设置 11、创建客户端私钥:先单击证书,然后选择创建证书 12、签名处选择CA证书,模板使用 TLS_client,应用模板所有信息
16、导出CA证书为cer格式:单选证书,导出,选择*.cer 18、导出用户证书:单选用户证书>导出>选择导出格式 PKCS #12(*.pfx),注意要把格式改为P12 19、修改后缀名,OK
找一下测试机器,搭建服务器进行外网测试 USG6507 V500R005C20SPC500 1、上传公钥CA到设备
4、开始创建SSL网关。客户端CA证书选择刚才的证书,认证方式选择证书挑战,用户过滤字段选择:主体-CN。其它默认即可,本人示例端口10000
10、授予网络拓展权限
注意:不同版本功能不一样,有的版本没有这个功能,需要在网络扩展处填写需要访问的内网 12、创建用户信息,注意:用户名需要与证书名一致。用户所属组注意关联,否则只有默认权限
14、完成,结束创建。 目前个人证书为空 1、找到证书,双击即可安装 3、文件路径,默认 4、输入证书导出时设置的密码,其它默认
网络扩展有两种方式:IE插件和浏览器,由于IE设置比较麻烦,本人以客户端为例 1、手机开个热点,切换网络,Edge浏览器输入SSL端口 https://公网IP:10000,如果浏览器显示不安全,高级,继续即可
9、点下拉符号,新建连接
15、验证路由表是否生效 |
CopyRight 2018-2019 实验室设备网 版权所有 |