概要说明
当前在企业中大量使用SSL 解决方案,员工与公司内部系统的互联更加便利,近期疫情加剧,某企业全员居家办公,SSL 访问增加,但是出现了一个恼人的提示符,解决问题后记录如下,期间参考了华为的技术文档,推荐使用xca解决方案,但此方案属于自签名方案的一种,管理员还需维护很多的用户证书,另外xca软件在制作用户证书的一个环节有问题,无法选择私钥,其实用性不强,还增加了一个软件和并不可靠的自签名方式,但以下提到的方式在华为的官网文档中没有出现过,特此说明。
- 这篇文档适用于华为的大部分SSL 的系统,包括USG和SVN系统。
- 华为原有的Seco client已经不再维护,Seco client已经在官网下载不到了,现在使用与联软共同开发的uni,使用方式大致一致,只是界面不太相同
- 最优的解决方案是由权威证书机构购买SSL证书(需要采购费用)
- 还有一个更为简单的解决方案写在最后,但不推荐。
现象描述
用户使用SecoClient/uni通过SSL 隧道登录SSL 虚拟网关时,系统弹出如下提示:
安全警告,不可信的服务器证书
原因
设备中用户SSL 的证书是自签名,不补客户端软件所信任
解决方案、步骤
- 为防火墙 SSL 设置一个公网域名 比如ssl.example.com
- 去证书服务商购买SSL加密证书,比如去阿里云,后面附了一些可参考的图
- 把买好的证书下载回来,建议带私钥的pfx格式,注意这里会有一个打开文件的密码
- 打开SSL 的管理界面,按照箭头的方向点按钮,选中上传后,点选上传上来的证书就算完成
步骤2 SSL 证书购买路径
步骤2 需要填写一些信息
步骤4 按箭头操作
总结
- 上面这个方案的优点是客户端不需要制作和管理证书,只要管好SSL 网关的证书就可以
- 安全性好,自签名的证书在安全方面还是有隐患的
- 如果用户规模很小,可以采用在client端改配置的方法如下图,这其实才是最简单的方法,但这个法子与我的耿直不阿不相称。
最简单方式不弹窗
特别说明:上面的问题也许只是个小问题,我之所以记下来是怕我哪一天会想不起来我今天怎么样的努力程度。
评论前必须登录!
注册