目 錄環(huán)境需求............................................................................................

目 錄

環(huán)境需求........................................................................................................................................... 1

原因分析........................................................................................................................................... 2

解決辦法........................................................................................................................................... 3

分析CA 中心、Check_Point防火墻、客戶端通信認(rèn)證流程 ....................................................... 3

詳細(xì)操作步驟 . .................................................................................................................................. 4

步驟一：客戶端導(dǎo)入CA 中心根證書 ........................................................................................ 5

測試：在防火墻證書沒簽名前進(jìn)行訪問測試 . .................................................................. 7

步驟二：導(dǎo)出防火墻公鑰與私鑰 . .............................................................................................. 8

步驟三：發(fā)送防火墻公鑰（csr ）到Windows Server 2008證書服務(wù)器簽名 ......................... 9 步驟四：使用防火墻私鑰（key ）與完成簽名后的文件（cer ）結(jié)合生成一個證書（p12）

........................................................................................................................................................ 11

步驟五：將p12格式證書應(yīng)用到mobile access vpn中 ......................................................... 11

測試：客戶端訪問https://sslvpn.sundragon.com ........................................................... 11

附件：sk 69660 原文 .................................................................................................................... 13

環(huán)境需求

當(dāng)訪問Checkpoint SSL VPN時，瀏覽器會提示“此網(wǎng)站的安全證書有問題”如圖

第1頁

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

由于此提示可能會讓某些用戶直接不訪問該網(wǎng)站，所以需要將解決此證書問題提示。直接顯示以下界面：

原因分析

照成此證書提示主要原因：該SSL VPN所使用的證書頒發(fā)機構(gòu)為Checkpoint ，而Checkpoint 證書頒發(fā)機構(gòu)是不屬于受信任的證書頒發(fā)機構(gòu)，受信任的證書辦法機構(gòu)可查看IE 瀏覽器中內(nèi)置的信息，如圖：

第2頁

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

解決辦法

方法一：可以將Checkpoint 證書導(dǎo)出，手動導(dǎo)入瀏覽器中（不現(xiàn)實，沒可能為每個用戶的電腦都導(dǎo)入一個證書）

方法二：將Checkpoint 公鑰交給受信任的第三方根證書頒發(fā)機構(gòu)簽名，從使Checkpoint 證書成為此頒發(fā)機構(gòu)中的一員，也就是簽名后的證書文件為可信任。

分析CA 中心、Check_Point防火墻、客戶端通信認(rèn)證流程 這是從網(wǎng)上找到的一張工作流程圖

第3頁

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

備注：

1. 如在真實環(huán)境中CA 中心為一個可信任頒發(fā)機構(gòu)，則可忽略第7步，因為IE 瀏覽器內(nèi)默

認(rèn)已經(jīng)導(dǎo)入可信任的證書；

2. 如在模擬環(huán)境中，無可信任的CA 中心，則我們需要先將CA 中心的根證書導(dǎo)入測試客戶

端的瀏覽器中，使瀏覽器認(rèn)為該CA 中心為可信任的頒發(fā)機構(gòu)。

詳細(xì)操作步驟

測試環(huán)境

第4頁

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

步驟一：客戶端導(dǎo)入CA 中心根證書

1. 在windows server 2008證書服務(wù)器生成根證書(將證書復(fù)制到文件，按照指引提示操作，)

導(dǎo)出來的根證書格式需要選擇cer 格式，且需要是

base64

第5頁

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

最終生成一個公鑰，命名為CA.cer

2. 將生成CA.cer 文件復(fù)制到客戶端Windows XP，雙擊進(jìn)行安裝，（需安裝到可信任的根證書頒發(fā)機構(gòu)）

查看是否順利導(dǎo)入證書

第6頁

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

測試：在防火墻證書沒簽名前進(jìn)行訪問測試

我將簽名的域名為https://sslvpn.sundragon.com，通過修改hosts 文件指向解析到172.16.2.1 輸入域名https://sslvpn.sundragon.com

提示證書有問題，點擊“是”，頁面跳轉(zhuǎn)

第7頁

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

步驟二：導(dǎo)出防火墻公鑰與私鑰

1. 登錄防火墻，進(jìn)入專家模式，輸入以下命令

“cpopenssl req -new -out mobile.csr -keyout mobile.key -config $CPDIR/conf/openssl.cnf”

其中csr 格式為防火墻公鑰，key 格式為防火墻私鑰

輸入命令后需按照要求填寫所需的信息，如圖

填寫完信息后會生成2個文件，分別為防火墻的公鑰與私鑰

第8頁

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

步驟三：發(fā)送防火墻公鑰（csr ）到Windows Server 2008證書服務(wù)器簽名

1. 將從防火墻上導(dǎo)出來的公鑰（csr ）發(fā)送到證書服務(wù)器，申請一個簽名；

導(dǎo)入完成這個公鑰，可以在“掛起的申請”中查看到，需要手動為此申請頒發(fā)證書

2. 完成頒發(fā)，導(dǎo)出已簽好名的文件，雙擊打開查看，導(dǎo)出文件

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

第9頁

所選用的文件格式為base64 編碼X.509（.csr ）(s)

生成一個此類型的文件（文件名：sundragon.com.cer ）

將此文件sundragon.com.cer 復(fù)制到防火墻中

廣州商之杰網(wǎng)絡(luò)安全技術(shù)有限公司

第10頁