No2_Array_SPX工程安装配置手册_虚拟站点配置部分

1ArraySPX工程安装配置手册虚拟站点配置部分一、SSLVPN门户（VirtualSite）的建立.................................................................11.增加VirtualSite..............................................................................................12.配置virtualsite的SSL协议及数字证书.....................................................31.1GlobalMode与VirtualSiteMode....................................................31.2SSL协议部分配置概述.....................................................................41.3生成CSR.............................................................................................41.4导入virtualsite数字证书..................................................................51.5客户端数字证书验证配置..................................................................81.6LocalDB用户认证配置......................................................................9SSLVPN门户（VirtualSite）的建立增加VirtualSite建立一个virtualsite，假设IP地址为192.168.1.2，Array的SSLVPN门户的地址不能使用设备端口地址。VirtualSites-VirtualSites-VirtualSites2上图是图形界面方式，此时需要在左上角GlobalMode为config状态下加入新的SSL门VPN户，即virtualsite。其中：SiteName：为站点的英文表示，取较易记忆的名字，如：SP-DemoSiteFQDN：fullqualifieddomainname，在IE等浏览器中输入的域名。如果使用域名登陆，此项输入域名，如：spdemo.arraynetworks.com.cn；如果使用IP地址登陆，此项需输入IP地址，如：192.168.1.2，如果使用NAT，则此项输入NAT之后的公网地址。IPAddress：指virtualsite的IP地址。Port：virtualsite的https访问的端口地址，缺省为443。VirtualSiteType：缺省为Exclusive，指没有子站点，也可以配成share方式，使用别名。命令行为：AN(config)#virtualsitehostvirtual_site_iddomain_namevip[port][(shared|exclusive)]Virtualsiteid:即sitenameDomain_name:即FQDN。3Vip:即virtualsiteipaddressAN(config)#sslhostvirtualSSL_hostvirtual_site_idssl_host：采用何FQDN相同的名字。virtual_site_id：sitename如：AN(config)#virtualsitehost“SP-Demo”“192.168.1.2”192.168.1.2443exclusiveAN(config)#sslhostvirtual“192.168.1.22”“SP-Demo”或者：AN(config)#virtualsitehost“SP-Demo”“spdemo.arraynetworks.com.cn”192.168.1.22443exclusiveAN(config)#sslhostvirtual“spdemo.arraynetworks.com.cn”“SP-Demo”我们可以用命令查看virtualsite的建立情况：AN(config)#showvirtualsitehost配置virtualsite的SSL协议及数字证书GlobalMode与VirtualsiteMode对于SPX设备而言，存在两种配置方式：GlobalMode：配置SPX的全局设置，如上一章所述的基本配置，加站点配置等。VirtualSiteMode：配置各个站点，每个站点可以进入自己的配置模式而不互相干扰，可以为每个virtualsite分配管理员，global管理员array可以进入每个站点配置。从globalmode进入virtualsitemode命令为：AN#switchvirtual_site_id[mode]如：AN#switchSP-Demo4配置virtualsite的SSL部分需要进入virtualsite的config模式。SSL协议部分配置概述建议您在作此配置之前阅读一些关于PKI、数字证书、CA、SSL协议的相关材料，这样您就非常容易理解这些配置了。首先需要为virtualsite配置一个数字证书，供客户端进行检验，让客户端检查访问的是否信任的SSLVPN网关。需要在SPX上生成一个CSR(certificatesignrequest)，即数字证书签名申请供CA(认证中心)生成数字证书。如果您有CA，您可以将CSR提交给他，并由他生成VirtualSite的数字证书，然后将数字证书import到SPX内。如果您没有CA，SPX会为您自动签名一个证书。对于客户端的数字证书验证是可选的，在一些对客户端有较高安全验证的情况下会使用，这时您需要一个CA来进行客户端数字证书的颁发管理。同时，需要将CA的信任证书链导入的SPX内部作为客户端数字证书的签名验证。生成CSR命令行为：AN(config)#switchSP-DemoSP-Demo(config)$sslcsrWewillnowgathersomerequiredinformationaboutyoursslvirtualhost,Thisinformationisencodedintoyourcertificate.Twocharactercountrycodeforyourorganization(eg.US):CNStateorprovince:beijinglocationorlocalcity:bjOrganizationName:arraynetworksOrganizationalUnit:Trainingemailaddressofadministrator:admin@example.comDoyouwanttheprivatekeytobeexportable[Yes/(No)]:No图形界面为：5查看csr的生成，命令行为：SP-Demo(config)$showsslcsr如：SP-Demo(config)$showsslcsr-----BEGINCERTIFICATEREQUEST-----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-----ENDCERTIFICATEREQUEST-----导入virtualsite数字证书这时您可以将上面生成的csr提交给CA生成数字证书，如过您没有CA，SPX会为您签名一个数字证书，您只需要SP-Demo(config)$sslstart即可使用virtualsite了。SiteConfiguration-SecuritySettings-SSLSettings-General6如果您有CA并为您的virtualsite签名了一个数字证书，您可以导入到virtualsite里面。如：SP-Demo(config)$sslimportcertificateYoumayoverwriteanexistingcertificatefile,typeYESwithoutquotestocontinue:YESEntercertificate,use...onasingleline,withoutquotes,toterminateimport-----BEGINCERTIFICATE-----MIICnjCANgcANgEUMA0GCSqGSIb3DQEBBAUAMIG5MQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxHDAaBgNVBAoTE0NsaWNrQXJyYXkgTmV0d29yK4RHM11OClXVjm3xRhqKQnjzNboExIvkZsKIBbfLkBrM1eBnEaiYWXmsYGfxPkwdhKlQCLQgN+G3IKu2cRQLU=-----ENDCERTIFICATE-----...注意要以“…”结尾。上面使用的是数字证书的PEM格式，如果您用其他格式，可以使用TFTP方式倒入。命令行为：SP-Demo(config)$sslimportcertificatehost_name[tftp_ip]这时您需要在tftp服务器上存在host_name.crt这个数字证书文件。图形界面为：7SiteConfiguration-SSLCertificates-Certificates-ImportSiteConfiguration-SSLCertificates-Certificates-ImportViaTFTP8通过如下命令可以查看sslcertificate:SP-Demo(config)$showsslcertificate客户端数字证书验证配置如果您不需要认证客户端的数字证书，则可以越过本小节。需要将CA的证书输入SP.SP-Demo(config)$sslimportrootcaThiscommandisusedtoimportthecertificateofatrustedCertificateAuthority.Thiswillbeutilize