检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用Easy-RSA的shell命令“./easyrsa build-server-full”生成的服务端证书默认携带此属性。 使用OpenSSL自签发的服务端证书不携带此扩展属性,需要在证书文件中补充配置“extendedKeyUsage = serverAuth”。 将包含该属性的服务端证
企业项目 将上传的SSL证书分配至对应的企业项目中。 证书文件 以文本编辑器(如Notepad++)打开待上传证书里的CER或CRT格式的文件,将证书内容复制到此处。 按照“服务端证书--CA证书”的顺序依次排列上传。 说明: 用户如果没有现成的证书,可以采用自签发的方式生成证书,然后
通过Easy-RSA自签发证书(服务端和客户端共用CA证书) 场景描述 Easy-RSA是一个开源的证书管理工具,用于帮助用户生成和管理数字证书。 本示例介绍在Windows操作系统中,通过Easy-RSA自签发证书,服务端和客户端共用CA证书。本示例使用的软件版本为Easy-RSA
Shell # 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7 - server\pki\issued”目录下的“issued”文件夹中。 本示例中生成的服务端证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3
通过云证书管理服务CCM购买证书 背景信息 用户除向CA机构申购证书、自签发证书渠道外,也可以通过云证书管理服务购买证书。支持同时购买服务端和客户端证书,也支持单独购买服务端或客户端证书。 约束条件 通过云证书管理服务购买服务端证书,需要在客户端配置文件中增加服务端根证书内容。 操作步骤
VPN连接支持使用国产加密算法吗? 支持。 请使用管理控制台界面提供的算法进行协商,请确保两端协商算法一致即可。 父主题: 产品咨询
VPN连接支持使用国产加密算法吗? 不支持。 请使用管理控制台界面提供的算法进行协商,请确保两端协商算法一致即可。 父主题: 产品咨询
按照“服务端证书--CA证书”的顺序依次排列上传。 说明: 用户如果没有现成的证书,可以采用自签发的方式生成证书,然后上传。证书文件请参考通过Easy-RSA自签发证书(服务端和客户端共用CA证书)。 上传证书文件格式如图 证书上传格式。 证书私钥 以文本编辑器(如Notepad++)打开待上传证书里的
务端。 前提条件 已成功创建包周期终端入云VPN网关。 已在云证书管理服务中购买或上传服务端证书,详情请参见购买SSL证书和上传已有SSL证书。 您需要确定调用API的Endpoint。 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增加“X-Au
ca-cert-server 内容 以文本编辑器(如Notepad++)打开签名证书PEM格式的文件,将证书内容复制到此处。 说明: 推荐使用强密码算法的证书,如RSA3072/4096。 RSA2048加密算法的证书存在风险,请慎用。 -----BEGIN CERTIFICATE-----
选择“客户端认证类型 > 证书认证”。 单击“上传CA证书”,以文本格式打开CA证书PEM格式的文件,将证书内容复制到“上传CA证书”的“内容”文本框内。最多支持添加10个客户端CA证书。 推荐使用强密码算法的证书,如RSA3072/4096。RSA2048加密算法的证书存在风险,请慎用。
read)” 客户端日志显示“error:068000A8:asn1 encoding routines:wrong tag” 客户端日志显示“OpenSSL: error:0A000086:SSL routines::certificate verify failed” 客户端日志显示“TLS
终端入云VPN连接使用的协议。 TCP(默认) TCP 端口 终端入云VPN连接使用的端口。 443(默认) 1194 443 加密算法 终端入云VPN连接使用的加密算法。 AES-128-GCM(默认) AES-256-GCM AES-128-GCM 认证算法 终端入云VPN连接使用的认证算法。
VPN支持为每个用户创建独立的VPN网关,提供租户网关隔离防护能力。 支持AES国际、SM国密等加密算法,满足多种安全要求。 支持多种认证模式,包括证书认证、口令认证。 高可用 双连接:网关提供两个接入地址,支持一个对端网关创建两条相互独立的VPN连接,一条连接中断后流量可快速切换到另一条连接。
检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE策略已经建立,第二阶段的IPsec策略未开启,常见情况为IPsec策略与数据中心远端的配置不一致。 如果客户本地侧使用的是CISCO的物理设备,建议客户使用MD5算法。同时将云上
检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE策略已经建立,第二阶段的IPsec策略未开启,常见情况为IPsec策略与数据中心远端的配置不一致。 如果客户本地侧使用的是CISCO的物理设备,建议客户使用MD5算法。同时将云上
检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE策略已经建立,第二阶段的IPsec策略未开启,常见情况为IPsec策略与数据中心远端的配置不一致。 如果客户本地侧使用的是CISCO的物理设备,建议客户使用MD5算法。同时将云上
PSK不一致:单独更新预共享密钥会在下一次IKE协商时生效,最长等待一个IKE的生命周期,须确认两端更新密钥一致。 协商策略不一致:请仔细排查IKE中的认证算法、加密算法、版本、DH组、协商模式和IPsec中的认证算法、加密算法、封装格式、PFS算法,特别注意PFS和云下配置一致,部分设备默认关闭了PFS配置。
单击“终端入云VPN网关”进入“终端入云VPN网关”页面,单击目标VPN网关操作列的“查看服务端”。 基本信息:可查看服务端ID、本端网段、客户端网段、隧道类型、状态。 认证信息:可查看服务端证书和客户端认证类型。 高级配置:可查看协议、端口、加密算法、认证算法、是否压缩和域名访问。 父主题: 终端入云VPN服务端管理
0/24 服务端证书 cert-server(使用云证书管理服务托管的服务端证书名称) 客户端 SSL参数 协议:TCP 端口:443 加密算法:AES-128-GCM 认证算法:SHA256 是否压缩:否 客户端网段 172.16.0.0/16 客户端认证类型 选择“证书认证”,单击上传CA证书。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
