华为防火墙配置SSL+自签CA证书挑战登录
HW USG部署SSL+CA证书登录
-
- 前言
- 了解证书
- 自签证书
- 服务器配置
- 客户端配置
- 客户端登录
前言
关于证书,涉及作者的知识盲区,本人仅根据自己的理解编写,仅供参考!
了解证书
公钥CA:理解为母体,公开信息,唯一
公钥RSA:理解为母体的密码
私钥CA:理解为包含公钥信息+个人用户名的子证书
私钥RSA:理解为私钥的密码,可以与公钥共用一个密码
证书导出密码:文件的解压密码(文件=私钥CA+私钥RSA)
在华为USG的作用:
公钥CA:服务器证书,验证客户端证书是否通过公钥签发
私钥CA:客户端证书,用于识别用户名
证书导出密码:客户端导入时解压密码
自签证书
下载XCA证书生成工具,由于本人测试时花费了不少时间,所以直接上传了,解压密码:huawei
https://download.csdn.net/download/qq948718360/19469672
1、安装软件后打开,先创建公钥CA,在创建私钥CA
2、打开>新建数据库>输入数据库密码
3、证书>创建证书
4、来源>使用模板CA>应用模板信息创建
5、主题内部名称和commonName输入同样的内容,示例:usg-ca1,其它可根据需求填写。完成后点下发生成新秘钥
6、默认配置即可,点创建
7、完成后弹出窗口,点 OK
8、勾选 包含已使用的密钥,选择刚才创建的私钥,点OK
9、提示证书创建成功
10、证书列表已经生成,时间可调节,各位自行研究设置
11、创建客户端私钥:先单击证书,然后选择创建证书
12、签名处选择CA证书,模板使用 TLS_client,应用模板所有信息
13、主体输入用户信息,勾选私钥,点OK
14、生成证书,点OK
15、此时已经生成了用户证书。
16、导出CA证书为cer格式:单选证书,导出,选择*.cer
17、完成后桌面确认
18、导出用户证书:单选用户证书>导出>选择导出格式 PKCS #12(*.pfx),注意要把格式改为P12
19、修改后缀名,OK
20、输入导出密码,此密码导入证书时候用,牢记
21、完成后桌面确认
服务器配置
找一下测试机器,搭建服务器进行外网测试
USG6507 V500R005C20SPC500
1、上传公钥CA到设备
2、本地上传,选择usg-ca1.cer,公钥无密码,点确定
3、完成后列表多出一个证书
4、开始创建SSL网关。客户端CA证书选择刚才的证书,认证方式选择证书挑战,用户过滤字段选择:主体-CN。其它默认即可,本人示例端口10000
5、SSL配置,默认
6、根据需要选择功能
7、可分配IP地址范围是客户端,示例:192.168.180.11-192.168.180.30/24,此IP要写策略,否则无法接入内网。
注意:路由模式此版本用户权限处可以单独控制,所以此次默认即可。旧版本只能在此选择用户扩展。优先级:组权限大于系统默认权限
8、主机检查:可选择检查进程,防火墙,端口等,后面有机会单独介绍
9、角色授权/用户,先授予默认角色权限,或者单独创建也可以。
10、授予网络拓展权限
11、完后可以看到角色已经拥有权限了,用户/用户组列表创建用户组合用户。先新建用户组,授权网络扩展权限,用户关联进组即可。每个组权限都可以不同
注意:不同版本功能不一样,有的版本没有这个功能,需要在网络扩展处填写需要访问的内网
12、创建用户信息,注意:用户名需要与证书名一致。用户所属组注意关联,否则只有默认权限
13、完成后确定
14、完成,结束创建。
客户端配置
目前个人证书为空
1、找到证书,双击即可安装
2、默认路径,切勿改动
3、文件路径,默认
4、输入证书导出时设置的密码,其它默认
5、存储路径,默认,切勿改动
6、完后,弹出成功
7、刷新个人证书列表
客户端登录
网络扩展有两种方式:IE插件和浏览器,由于IE设置比较麻烦,本人以客户端为例
1、手机开个热点,切换网络,Edge浏览器输入SSL端口 https://公网IP:10000,如果浏览器显示不安全,高级,继续即可
2、输入用户名和密码登录,弹出的证书选择个人证书。
3、如果是IE浏览器,此处会弹出网络扩展按钮
4、点击右上角 用户选项
5、可以选择修改密码或者安装客户端
6、此处我们下载64位客户端
7、安装过程不在介绍,一路默认即可
8、完成后双击打开
9、点下拉符号,新建连接
10、输入网关地址和端口,其它默认
11、完成后点连接
12、输入密码,这个是账号的密码
13、静待连接成功
14、查看用户登录情况
15、验证路由表是否生效
16、对于客户端登录和访问内网,安全策略需要放行,由于属于基本内容,本文不在详细介绍。
①需要允许所有IP访问10000端口,简单操作:any到目的端口10000,允许
②需要允许客户端地址访问内网地址段,简单操作,分配地址到any允许