No2_Array_SPX工程安装配置手册_虚拟站点配置部分

1、 Array SPX工程安装配置手册虚拟站点配置部分一、 SSL VPN门户（Virtual Site）的建立11. 增加Virtual Site12. 配置virtual site 的SSL协议及数字证书31.1 Global Mode 与 Virtual Site Mode31.2 SSL 协议部分配置概述41.3 生成CSR41.4 导入virtual site 数字证书51.5 客户端数字证书验证配置81.6 LocalDB用户认证配置10SSL VPN门户（Virtual Site）的建立增加Virtual Site建立一个virtual site ，假设IP地址为192.168.1

2、.2，Array 的SSL VPN 门户的地址不能使用设备端口地址。Virtual Sites-Virtual Sites-Virtual Sites上图是图形界面方式，此时需要在左上角Global Mode 为 config 状态下加入新的SSL门VPN户，即virtual site。其中：Site Name ：为站点的英文表示，取较易记忆的名字，如：SP-DemoSite FQDN：full qualified domain name，在IE等浏览器中输入的域名。如果使用域名登陆，此项输入域名，如：；如果使用IP地址登陆，此项需输入IP

3、地址，如：，如果使用NAT，则此项输入NAT之后的公网地址。IP Address：指virtual site 的IP地址。Port：virtual site 的https 访问的端口地址，缺省为443。Virtual Site Type：缺省为Exclusive，指没有子站点，也可以配成share方式，使用别名。命令行为：AN(config)# virtual site host port(shared|exclusive)Virtual site id:即site nameDomain_name: 即FQDN。Vip: 即virtual site ip addressA

4、N(config)#ssl host virtual ssl_host：采用何FQDN相同的名字。virtual_site_id：site name如：AN(config)#virtual site host “SP-Demo” “” 443 exclusiveAN(config)#ssl host virtual “2” “SP-Demo”或者：AN(config)#virtual site host “SP-Demo” “” 2 443 exclu

5、siveAN(config)#ssl host virtual “” “SP-Demo”我们可以用命令查看virtual site 的建立情况：AN(config)#show virtual site host配置virtual site 的SSL协议及数字证书Global Mode 与 Virtual site Mode对于SPX设备而言，存在两种配置方式：Global Mode：配置SPX的全局设置，如上一章所述的基本配置，加站点配置等。Virtual Site Mode：配置各个站点，每个站点可以进入自己的配置模式而不互相干扰，可以为

6、每个virtual site 分配管理员，global 管理员 array可以进入每个站点配置。从global mode 进入 virtual site mode命令为：AN# switch 如：AN# switch SP-Demo配置virtual site 的SSL 部分需要进入virtual site 的 config 模式。SSL 协议部分配置概述建议您在作此配置之前阅读一些关于PKI、数字证书、CA、SSL协议的相关材料，这样您就非常容易理解这些配置了。首先需要为virtual site 配置一个数字证书，供客户端进行检验，让客户端检查访问的是否信任的SSL VPN网关。需要在SPX

7、上生成一个CSR ( certificate sign request)，即数字证书签名申请供CA(认证中心)生成数字证书。如果您有CA，您可以将CSR提交给他，并由他生成Virtual Site 的数字证书，然后将数字证书import到SPX内。如果您没有CA，SPX会为您自动签名一个证书。对于客户端的数字证书验证是可选的，在一些对客户端有较高安全验证的情况下会使用，这时您需要一个CA来进行客户端数字证书的颁发管理。同时，需要将CA的信任证书链导入的SPX内部作为客户端数字证书的签名验证。生成CSR命令行为：AN(config)#switch SP-DemoSP-Demo(config)$s

8、sl csr We will now gather some required information about your ssl virtual host,This information is encoded into your certificate.Two character country code for your organization (eg. US): CNState or province: beijinglocation or local city: bjOrganization Name: arraynetworksOrganizational Unit: Trai

9、ningemail address of administrator: Do you want the private key to be exportable Yes/(No):No图形界面为： 查看csr的生成，命令行为：SP-Demo(config)$show ssl csr如：SP-Demo(config)$show ssl csr-BEGIN CERTIFICATE REQUEST-MIIBzzCCATgCAQAwgY4xCzAJBgNVBAYTAkNOMRAwDgYDVQQIEwdiZWlqaW5nMQswCQYDVQQHEwJiajEWMBQGA1

10、UEChMNYXJyYXluZXR3b3JrczEOMAwGA1UECxMFdHJhaW4xFDASBgNVBAMTCzE5Mi4xNjguMS4yMSIwIAYJKoZIhvcNAQkBFhNhZG1pbkBhcnJheWRlbW8uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDnpTJfGnEP8KYl0TW+GV6p7eVHpkzKlgFcmNG+C5XT9i9q8fCfC9z3B4L5EFoJbMU9gMP5VBPwXL7OucR0OUxwnie+6C0eaLLN2OHz38B9OQUeoP+jT6ugQR7DVgAf8QegJHOlFon2rY

11、+aeKON+lmo01VJgV42dNbkrNH/sndOQIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAUtmxqnOIGrFMvw+t8cXF2yIpWeqsxcEKEZnDjTz66R+CkqFkX1yFV71fF/sHu9qIk7Q3urARZ/w+TRlEVEFMvDBG7qSRc7NwIg8POFQ5efdtlOU0/x9Km/48cVx+M6YIEkBv9Nqnk7G2XkngfQNiOfPrjz99spVeK10anf0t8rE=-END CERTIFICATE REQUEST-导入virtual site 数字证书这时您可以将上面生成的csr 提交给C

12、A生成数字证书，如过您没有CA，SPX会为您签名一个数字证书，您只需要SP-Demo(config)$ssl start 即可使用virtual site 了。Site Configuration-Security Settings-SSL Settings-General如果您有CA并为您的virtual site 签名了一个数字证书，您可以导入到virtual site 里面。如：SP-Demo(config)$ssl import certificate You may overwrite an existing certificate file, type YES without qu

13、otes to continue:YES Enter certificate, use . on a single line, without quotes, to terminate import-BEGIN CERTIFICATE-MIICnjCANgcANgEUMA0GCSqGSIb3DQEBBAUAMIG5MQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxHDAaBgNVBAoTE0NsaWNrQXJyYXkgTmV0d29yK4RHM11OClXVjm3xRhqKQnjzNboExIvkZs

14、KIBbfLkBrM1eBnEaiYWXmsYGfxPkwdhKlQCLQgN+G3IKu2cRQLU= -END CERTIFICATE-.注意要以“”结尾。上面使用的是数字证书的PEM格式，如果您用其他格式，可以使用TFTP方式倒入。命令行为：SP-Demo(config)$ssl import certificate tftp_ip这时您需要在tftp服务器上存在 .crt这个数字证书文件。图形界面为：Site Configuration-SSL Certificates-Certificates-ImportSite Configuration-SSL Certificates-Cer

15、tificates-Import Via TFTP通过如下命令可以查看ssl certificate:SP-Demo(config)$ show ssl certificate客户端数字证书验证配置如果您不需要认证客户端的数字证书，则可以越过本小节。需要将CA的证书输入SP.SP-Demo(config)$ ssl import rootcaThis command is used to import the certificate of a trusted Certificate Authority. This willbe utilized for the verification of

16、client certificates. It must be present when clientauthentication is enabled for a virtual site.Site Configuration-SSL Certificates-Trusted Root CA将客户端证书验证功能打开：SP-Demo(config)$ssl settings clientauthThis command allows the user to establish client authorization for the host. All SSL clientsconnectin

17、g to the specified virtual site will be required to present a client certificate beforecommunication will be allowed to continue. Site Configuration-Security Settings-SSL Settings-Client AuthenticationLocalDB用户认证配置SSL VPN的用户认证是SSL VPN比较复杂的部分，我们会在下一章详细叙述各种认证方法，我们在本节主要叙述系统的缺省认证方式Local DB，以使我们的SSL VPN门

18、户virtual site 的基本配置工作成功。SP-Demo(config)$show run aaa #aaa configurationaaa on aaa radius accounting off aaa method localdb 1但要让Local DB成功工作，您还需要建立一个用户数据库，并为这个数据库分配一个关联的virtual site ，之后您可以加入新的用户或者组。建立一个新的用户数据库,使用global mode：AN(config)#localdb database 如：AN(config)#localdb database spdemo_db将这个数据库与virtual site相关联，命令行为：AN(config)#localdb associate 如：AN(config)#localdb associate SP-Demo spdemo_dbGlobal Resources-Local Database-Local Database加入新的用户登陆帐号，命令行为：SP-Demo(co