513vpn()

投稿用户 • 2022年11月13日 am11:30 • 创业项目 • 阅读 374

概要说明

当前在企业中大量使用SSL VPN解决方案，员工与公司内部系统的互联更加便利，近期疫情加剧，某企业全员居家办公，SSL VPN访问增加，但是出现了一个恼人的提示符，解决问题后记录如下，期间参考了华为的技术文档，推荐使用xca解决方案，但此方案属于自签名方案的一种，管理员还需维护很多的用户证书，另外xca软件在制作用户证书的一个环节有问题，无法选择私钥，其实用性不强，还增加了一个软件和并不可靠的自签名方式，但以下提到的方式在华为的官网文档中没有出现过，特此说明。

这篇文档适用于华为的大部分SSL VPN的系统，包括USG和SVN系统。
华为原有的Seco client已经不再维护，Seco client已经在官网下载不到了，现在使用与联软共同开发的uniVPN,使用方式大致一致，只是界面不太相同
最优的解决方案是由权威证书机构购买SSL证书（需要采购费用）
还有一个更为简单的解决方案写在最后，但不推荐。

现象描述

用户使用SecoClient/uniVPN通过SSL VPN隧道登录SSL VPN虚拟网关时，系统弹出如下提示:

安全警告，不可信的VPN服务器证书

原因

设备中用户SSL VPN的证书是自签名，不补客户端软件所信任

解决方案、步骤

为防火墙 SSL VPN设置一个公网域名比如sslvpn.example.com
去证书服务商购买SSL加密证书，比如去阿里云，后面附了一些可参考的图
把买好的证书下载回来，建议带私钥的pfx格式，注意这里会有一个打开文件的密码
打开SSL VPN的管理界面,按照箭头的方向点按钮，选中上传后，点选上传上来的证书就算完成

步骤2 SSL 证书购买路径

步骤2 需要填写一些信息

步骤4 按箭头操作

总结

上面这个方案的优点是客户端不需要制作和管理证书，只要管好SSL VPN网关的证书就可以
安全性好，自签名的证书在安全方面还是有隐患的
如果用户规模很小，可以采用在client端改配置的方法如下图，这其实才是最简单的方法，但这个法子与我的耿直不阿不相称。

最简单方式不弹窗

特别说明：上面的问题也许只是个小问题，我之所以记下来是怕我哪一天会想不起来我今天怎么样的努力程度。

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 630371849@qq.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.mcw3.com/13456.html

513vpn()

概要说明

现象描述

原因

解决方案、步骤

总结

相关推荐