No2_Array_SPX工程安装配置手册_虚拟站点配置部分

Array SPX工程安装配置手册 虚拟站点配置部分 一、 SSL VPN门户（Virtual Site）的建立 1 1. 增加Virtual Site 1 2. 配置virtual site 的SSL协议及数字证书 3 1.1 Global Mode 与 Virtual Site Mode 3 1.2 SSL 协议部分配置概述 4 1.3 生成CSR 4 1.4 导入virtual site 数字证书 5 1.5 客户端数字证书验证配置 8 1.6 LocalDB用户认证配置 10 SSL VPN门户（Virtual Site）的建立 增加Virtual Site 建立一个virtual site ，假设IP地址为192.168.1.2，Array 的SSL VPN 门户的地址不能使用设备端口地址。

Virtual Sites->Virtual Sites->Virtual Sites 上图是图形界面方式，此时需要在左上角Global Mode 为 config 状态下加入新的SSL门VPN户，即virtual site。

其中：
Site Name ：为站点的英文表示，取较易记忆的名字，如：SP-Demo Site FQDN：full qualified domain name，在IE等浏览器中输入的域名。如果使用域名登陆，此项输入域名，如：spdemo.arraynetworks.com.cn；
如果使用IP地址登陆，此项需输入IP地址，如：192.168.1.2，如果使用NAT，则此项输入NAT之后的公网地址。

IP Address：指virtual site 的IP地址。

Port：virtual site 的https 访问的端口地址，缺省为443。

Virtual Site Type：缺省为Exclusive，指没有子站点，也可以配成share方式，使用别名。

命令行为：
AN(config)# virtual site host <virtual_site_id> <domain_name> <vip> [port][(shared|exclusive)] Virtual site id:即site name Domain_name: 即FQDN。

Vip: 即virtual site ip address AN(config)#ssl host virtual <SSL_host> <virtual_site_id> ssl_host：采用何FQDN相同的名字。

virtual_site_id：site name 如：
AN(config)#virtual site host “SP-Demo” “192.168.1.2” 192.168.1.2 443 exclusive AN(config)#ssl host virtual “192.168.1.22” “SP-Demo” 或者：
AN(config)#virtual site host “SP-Demo” “spdemo.arraynetworks.com.cn” 192.168.1.22 443 exclusive AN(config)#ssl host virtual “spdemo.arraynetworks.com.cn” “SP-Demo” 我们可以用命令查看virtual site 的建立情况：
AN(config)#show virtual site host 配置virtual site 的SSL协议及数字证书 Global Mode 与 Virtual site Mode 对于SPX设备而言，存在两种配置方式：
Global Mode：配置SPX的全局设置，如上一章所述的基本配置，加站点配置等。

Virtual Site Mode：配置各个站点，每个站点可以进入自己的配置模式而不互相干扰，可以为每个virtual site 分配管理员，global 管理员 array可以进入每个站点配置。

从global mode 进入 virtual site mode命令为：
AN# switch <virtual_site_id>[< mode>] 如：AN# switch SP-Demo 配置virtual site 的SSL 部分需要进入virtual site 的 config 模式。

SSL 协议部分配置概述 建议您在作此配置之前阅读一些关于PKI、数字证书、CA、SSL协议的相关材料，这样您就非常容易理解这些配置了。

首先需要为virtual site 配置一个数字证书，供客户端进行检验，让客户端检查访问的是否信任的SSL VPN网关。需要在SPX上生成一个CSR ( certificate sign request)，即数字证书签名申请供CA(认证中心)生成数字证书。

如果您有CA，您可以将CSR提交给他，并由他生成Virtual Site 的数字证书，然后将数字证书import到SPX内。

如果您没有CA，SPX会为您自动签名一个证书。

对于客户端的数字证书验证是可选的，在一些对客户端有较高安全验证的情况下会使用，这时您需要一个CA来进行客户端数字证书的颁发管理。同时，需要将CA的信任证书链导入的SPX内部作为客户端数字证书的签名验证。

生成CSR 命令行为：
AN(config)#switch SP-Demo SP-Demo(config)$ssl csr We will now gather some required information about your ssl virtual host, This information is encoded into your certificate. Two character country code for your organization (eg. US): CN State or province: beijing location or local city: bj Organization Name: arraynetworks Organizational Unit: Training email address of administrator: admin@example.com Do you want the private key to be exportable [Yes/(No)]:No 图形界面为：
查看csr的生成，命令行为：
SP-Demo(config)$show ssl csr 如：
SP-Demo(config)$show ssl csr -----BEGIN CERTIFICATE REQUEST----- MIIBzzCCATgCAQAwgY4xCzAJBgNVBAYTAkNOMRAwDgYDVQQIEwdiZWlqaW5nMQsw CQYDVQQHEwJiajEWMBQGA1UEChMNYXJyYXluZXR3b3JrczEOMAwGA1UECxMFdHJh aW4xFDASBgNVBAMTCzE5Mi4xNjguMS4yMSIwIAYJKoZIhvcNAQkBFhNhZG1pbkBh cnJheWRlbW8uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDnpTJfGnEP 8KYl0TW+GV6p7eVHpkzKlgFcmNG+C5XT9i9q8fCfC9z3B4L5EFoJbMU9gMP5VBPw XL7OucR0OUxwnie+6C0eaLLN2OHz38B9OQUeoP+jT6ugQR7DVgAf8QegJHOlFon2 rY+aeKON+lmo01VJgV42dNbkrNH//sndOQIDAQABoAAwDQYJKoZIhvcNAQEEBQAD gYEAUtmxqnOIGrFMvw+t8cXF2yIpWeqsxcEKEZnDjTz66R+CkqFkX1yFV71fF/sH u9qIk7Q3urARZ/w+TRlEVEFMvDBG7qSRc7NwIg8POFQ5efdtlOU0/x9Km/48cVx+ M6YIEkBv9Nqnk7G2XkngfQNiOfPrjz99spVeK10anf0t8rE= -----END CERTIFICATE REQUEST----- 导入virtual site 数字证书 这时您可以将上面生成的csr 提交给CA生成数字证书，如过您没有CA，SPX会为您签名一个数字证书，您只需要 SP-Demo(config)$ssl start 即可使用virtual site 了。

Site Configuration->Security Settings->SSL Settings->General 如果您有CA并为您的virtual site 签名了一个数字证书，您可以导入到virtual site 里面。

如：
SP-Demo(config)$ssl import certificate You may overwrite an existing certificate file, type “YES“ without quotes to continue:YES Enter certificate, use “...“ on a single line, without quotes, to terminate import -----BEGIN CERTIFICATE----- MIICnjCANgcANgEUMA0GCSqGSIb3DQEBBAUAMIG5MQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxHDAaBgNVBAoTE0NsaWNrQXJyYXkgTmV0d29yK4RHM11OClXVjm3xRhqKQnjzNboExIvkZsKIBbfLkBrM1eBnEaiYWXmsYGfxPkwdhKlQCLQgN+G3IKu2cRQLU= -----END CERTIFICATE----- ... 注意要以“…”结尾。

上面使用的是数字证书的PEM格式，如果您用其他格式，可以使用TFTP方式倒入。

命令行为：
SP-Demo(config)$ssl import certificate <host_name> [tftp_ip] 这时您需要在tftp服务器上存在 <host_name>.crt这个数字证书文件。

图形界面为：
Site Configuration->SSL Certificates->Certificates->Import Site Configuration->SSL Certificates->Certificates->Import Via TFTP 通过如下命令可以查看ssl certificate: SP-Demo(config)$ show ssl certificate 客户端数字证书验证配置 如果您不需要认证客户端的数字证书，则可以越过本小节。

需要将CA的证书输入SP. SP-Demo(config)$ ssl import rootca This command is used to import the certificate of a trusted Certificate Authority. This will be utilized for the verification of client certificates. It must be present when client authentication is enabled for a virtual site. Site Configuration->SSL Certificates->Trusted Root CA 将客户端证书验证功能打开：
SP-Demo(config)$ssl settings clientauth This command allows the user to establish client authorization for the host. All SSL clients connecting to the specified virtual site will be required to present a client certificate before communication will be allowed to continue. Site Configuration->Security Settings->SSL Settings->Client Authentication LocalDB用户认证配置 SSL VPN的用户认证是SSL VPN比较复杂的部分，我们会在下一章详细叙述各种认证方法，我们在本节主要叙述系统的缺省认证方式Local DB，以使我们的SSL VPN门户virtual site 的基本配置工作成功。

SP-Demo(config)$show run aaa #aaa configuration aaa on aaa radius accounting off aaa method localdb 1 但要让Local DB成功工作，您还需要建立一个用户数据库，并为这个数据库分配一个关联的virtual site ，之后您可以加入新的用户或者组。

建立一个新的用户数据库,使用global mode：
AN(config)#localdb database <virtual_database name> 如：
AN(config)#localdb database spdemo_db 将这个数据库与virtual site相关联，命令行为：
AN(config)#localdb associate <virtual_site_id> <virtual_database name> 如：
AN(config)#localdb associate SP-Demo spdemo_db Global Resources->Local Database->Local Database 加入新的用户登陆帐号，命令行为：
SP-Demo(config)$localdb account username password 如：
SP-Demo(config)$localdb account user1 pass1 Local Users & Group->Local Users->Local User 其中UID 和 GID 是使用NFS时用到的选项，internal IP address 和 internal IP mask是指作L3VPN时静态地址分配时，这个用户使用的L3 VPN地址。

这是您可以通过https://192.168.1.2 ，使用 username/password 来登陆验证SSL VPN门户的建立情况。