目 錄環(huán)境需求............................................................................................

目 錄

環(huán)境需求........................................................................................................................................... 1

原因分析........................................................................................................................................... 2

解決辦法........................................................................................................................................... 3

分析CA 中心、Check_Point防火墻、客戶端通信認證流程 ....................................................... 3

詳細操作步驟 . .................................................................................................................................. 4

步驟一：客戶端導入CA 中心根證書 ........................................................................................ 5

測試：在防火墻證書沒簽名前進行訪問測試 . .................................................................. 7

步驟二：導出防火墻公鑰與私鑰 . .............................................................................................. 8

步驟三：發(fā)送防火墻公鑰（csr ）到Windows Server 2008證書服務器簽名 ......................... 9 步驟四：使用防火墻私鑰（key ）與完成簽名后的文件（cer ）結合生成一個證書（p12）

........................................................................................................................................................ 11

步驟五：將p12格式證書應用到mobile access vpn中 ......................................................... 11

測試：客戶端訪問https://sslvpn.sundragon.com ........................................................... 11

附件：sk 69660 原文 .................................................................................................................... 13

環(huán)境需求

當訪問Checkpoint SSL VPN時，瀏覽器會提示“此網站的安全證書有問題”如圖

第1頁

廣州商之杰網絡安全技術有限公司

由于此提示可能會讓某些用戶直接不訪問該網站，所以需要將解決此證書問題提示。直接顯示以下界面：

原因分析

照成此證書提示主要原因：該SSL VPN所使用的證書頒發(fā)機構為Checkpoint ，而Checkpoint 證書頒發(fā)機構是不屬于受信任的證書頒發(fā)機構，受信任的證書辦法機構可查看IE 瀏覽器中內置的信息，如圖：

第2頁

廣州商之杰網絡安全技術有限公司

解決辦法

方法一：可以將Checkpoint 證書導出，手動導入瀏覽器中（不現實，沒可能為每個用戶的電腦都導入一個證書）

方法二：將Checkpoint 公鑰交給受信任的第三方根證書頒發(fā)機構簽名，從使Checkpoint 證書成為此頒發(fā)機構中的一員，也就是簽名后的證書文件為可信任。

分析CA 中心、Check_Point防火墻、客戶端通信認證流程 這是從網上找到的一張工作流程圖

第3頁

廣州商之杰網絡安全技術有限公司

備注：

1. 如在真實環(huán)境中CA 中心為一個可信任頒發(fā)機構，則可忽略第7步，因為IE 瀏覽器內默

認已經導入可信任的證書；

2. 如在模擬環(huán)境中，無可信任的CA 中心，則我們需要先將CA 中心的根證書導入測試客戶

端的瀏覽器中，使瀏覽器認為該CA 中心為可信任的頒發(fā)機構。

詳細操作步驟

測試環(huán)境

第4頁

廣州商之杰網絡安全技術有限公司

步驟一：客戶端導入CA 中心根證書

1. 在windows server 2008證書服務器生成根證書(將證書復制到文件，按照指引提示操作，)

導出來的根證書格式需要選擇cer 格式，且需要是

base64

第5頁

廣州商之杰網絡安全技術有限公司

最終生成一個公鑰，命名為CA.cer

2. 將生成CA.cer 文件復制到客戶端Windows XP，雙擊進行安裝，（需安裝到可信任的根證書頒發(fā)機構）

查看是否順利導入證書

第6頁

廣州商之杰網絡安全技術有限公司

測試：在防火墻證書沒簽名前進行訪問測試

我將簽名的域名為https://sslvpn.sundragon.com，通過修改hosts 文件指向解析到172.16.2.1 輸入域名https://sslvpn.sundragon.com

提示證書有問題，點擊“是”，頁面跳轉

第7頁

廣州商之杰網絡安全技術有限公司

步驟二：導出防火墻公鑰與私鑰

1. 登錄防火墻，進入專家模式，輸入以下命令

“cpopenssl req -new -out mobile.csr -keyout mobile.key -config $CPDIR/conf/openssl.cnf”

其中csr 格式為防火墻公鑰，key 格式為防火墻私鑰

輸入命令后需按照要求填寫所需的信息，如圖

填寫完信息后會生成2個文件，分別為防火墻的公鑰與私鑰

第8頁

廣州商之杰網絡安全技術有限公司

步驟三：發(fā)送防火墻公鑰（csr ）到Windows Server 2008證書服務器簽名

1. 將從防火墻上導出來的公鑰（csr ）發(fā)送到證書服務器，申請一個簽名；

導入完成這個公鑰，可以在“掛起的申請”中查看到，需要手動為此申請頒發(fā)證書

2. 完成頒發(fā)，導出已簽好名的文件，雙擊打開查看，導出文件

廣州商之杰網絡安全技術有限公司

第9頁

所選用的文件格式為base64 編碼X.509（.csr ）(s)

生成一個此類型的文件（文件名：sundragon.com.cer ）

將此文件sundragon.com.cer 復制到防火墻中

廣州商之杰網絡安全技術有限公司

第10頁