5-SVN3000sslCA认证之使用usbkey认证.doc

场景、使用usbkey存储证书认证sslsvn3000 场景需求： 组网设备型号设备型号： 注意事项： 网络拓扑： 配置步骤： 配置虚拟网关，选择认证方式 NOTE:在选择认证方式中有两个选择，一个是挑战模式（cert-challege），一个是证书匿名（cert-anonymous），两者的区别是前者需要输入一个用户名和密码，而后者不需要输入，本文档选用的是证书匿名方式，即不需要输入用户名和密码 配置vpndb用户 Note：该步骤必须要配置，并且用户名与证书中的名字要相同。不过密码可以随便配置 CA证书申请部分，选择下载一个CA证书 选择下载CA证书 保存到本地 申请用户证书（client证书），选择申请一个证书 选择高级证书申请 选择创建并向此CA提交一个申请 填写用户证书信息 Note：1、这里的姓名一定要和svn3000中的vpndb里的用户要一样 2、要选择类型中为：客户端身份验证证书 NOTE:这里一定要选择：标记密钥为可导出，否则无法制作pkcs #12的证书 点击提交，yes即可 在颁发机构中颁发该证书 然后回到该主页，选择第2项：查看挂起的证书申请的状态 进去之后，点击客户端身份验证证书（注意时间，看是否是刚刚颁发的证书） 安装此证书，即可 选择yes即可 导出用户证书，导出的格式最终为PKCS #12的格式，后缀名为.pfx 选择：internet选项-----内容-----证书------个人-------导出 点击下一步 选择：是，导出私钥 点击下一步 输入私钥的保护密码 NOTE：这个密码只是保护自己的私钥而已，对数据通信没任何关系 导出到本地，点击下一步，即可 制作svn3000的设备证书（和制作用户的证书一下，原理都差不多，只是里面的部分参数不相同，需要特别注意） 选择高级证书申请 选择创建并向此CA提交一个申请 填写用户证书信息 填写设备证书的信息 Note：1、姓名必须写ssl vpn的虚拟网关的IP地址，否则证书是无法导入到设备里去 2、证书类型选择：服务器身份验证证书 Note：这里的一定要选择：标记密钥为可导出 点击提交，选择yes即可 在证书颁发机构中选择颁发 然后回到该主页，选择第2项：查看挂起的证书申请的状态 选择服务器身份验证证书（注意时间，看是否是刚刚颁发的证书） 点击安装此证书 选择YES 导出svn3000的设备证书，导出的格式最终为PKCS #12的格式，后缀名为.pfx 选择：internet选项-----内容-----证书------个人-------导出 点击下一步 选择：是，导出私钥 点击下一步 输入私钥的保护密码 NOTE：这个密码只是保护自己的私钥而已，对数据通信没任何关系 导出到本地，点击下一步，即可 这个时候，本地上就有3个证书，一个CA证书，格式为.cer；还有2个.pfx格式的证书，分别是用户证书和svn3000设备证书 把在CA服务器中的这三个证书，分别上传到svn3000设备和pc的usbkey上，不管是什么设备还是pc，都需要两个证书，一个是CA server证书，一个便是自己的证书 导入证书到svn3000中 进入svn3000web界面，虚拟网关列表-----ssl配置-----上传对应的证书即可 需要上传两个证书，CA证书，还有svn3000设备证书 导入ca证书： 导入设备证书 导入成功 导入用户证书到usbkey中 首先把usbkey插入到pc上，打开usbkey的软件 选择导入证书 成功导入 查看导入用户证书情况 把usbkey刷新一下 再到internet选项中查看个人证书情况，usbkey会把公钥证书放在 证书----个人 里（注意：这里仅仅是一个公钥证书,并不是之前的.pfx的证书了） 安装CA证书到该pc中（其实也可以在第一次认证的时候弹出证书对话框那里安装CA证书，但是从安全的角度来说，还是先把CA证书安装之后，再去认证） 双击CA的证书，安装CA证书，在常规里选择安装证书 选择下一步 选择下一步 CA证书导入成功。 验证，测试；输入https：// 验证成功 配置完成 总结：