检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
操作步骤 购买服务端证书 登录CCM控制台。 购买SSL证书。 申请SSL证书。 从云证书管理服务购买的证书会自动托管,无需手动操作。 下载根证书。 安装根证书。 将根证书以文本编辑器(如Notepad++)打开,复制证书内容到客户端配置文件中已有CA证书后面,在客户端配置文件中增加服务
本章节指导用户通过调用API来创建VPN服务端。 前提条件 已成功创建包周期终端入云VPN网关。 已在云证书管理服务中购买或上传服务端证书,详情请参见购买SSL证书和上传已有SSL证书。 您需要确定调用API的Endpoint。 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增
按照“服务端证书--CA证书”的顺序依次排列上传。 说明: 用户如果没有现成的证书,可以采用自签发的方式生成证书,然后上传。证书文件请参考通过Easy-RSA自签发证书(服务端和客户端共用CA证书)。 上传证书文件格式如图 证书上传格式。 证书私钥 以文本编辑器(如Notepad++)打开待上传证书里的
单击“终端入云VPN网关”进入“终端入云VPN网关”页面,单击目标VPN网关操作列的“配置服务端”。 在“服务端”界面,选择“服务端证书”,在下拉选项中单击“上传证书”进入“云证书管理服务”页面。 在“SSL证书管理”页面,选择“上传证书 > 上传证书”,根据界面提示填写相关信息。 上传证书参数请参见表
通过Easy-RSA自签发证书(服务端和客户端共用CA证书) 场景描述 Easy-RSA是一个开源的证书管理工具,用于帮助用户生成和管理数字证书。 本示例介绍在Windows操作系统中,通过Easy-RSA自签发证书,服务端和客户端共用CA证书。本示例使用的软件版本为Easy-RSA
OpenVPN(SSL) 认证信息 服务端证书 服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。 使用已上传证书:查看并选择已上传证书。 上传证书:单击下拉框最下方的“上传证书”,跳转至云证书管理服务。按照界面提示上传服务端证书,详细步骤请参见上传已有SSL证书。 推荐使用强密码
配置服务端 场景描述 服务端提供配置管理和连接认证,终端入云VPN网关创建完成后,需要对服务端进行相关配置。 前提条件 请确认服务端关联的VPN网关已创建成功。 约束与限制 只有VPN网关处于“正常”状态时,才能进行服务端配置操作。 一个VPN网关仅支持关联一个服务端。 操作步骤
立VPN连接。 方式1:使用配置文件(已添加客户端证书及私钥)建立VPN连接 打开OpenVPN客户端,导入已添加客户端证书及私钥的配置文件,建立VPN连接。 方式2:使用原始配置文件(未添加客户端证书及私钥)+USB-Key的组合,建立VPN连接 初始化USB-Key。 此处以使用龙脉mToken
根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。 Windows 32位操作系统,可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统,可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。
支持AES国际、SM国密等加密算法,满足多种安全要求。 支持多种认证模式,包括证书认证、口令认证。 高可用 双连接:网关提供两个接入地址,支持一个对端网关创建两条相互独立的VPN连接,一条连接中断后流量可快速切换到另一条连接。 双活网关:双活网关部署在不同的AZ区域,实现AZ级高可用保障。 HA模式:站
多人访问ECS,是否可以给每个客户机安装一套IPsec软件和云端建立VPN连接? 不可以。 VPN打通的是两个局域网的网络,用户侧数据中心局域网内多台主机都安装IPsec软件,实际情况是用户侧数据中心多个主机使用同一个公网IP与云端对接,云端的VPN网关会收到来自用户侧数据中心不
0/24 服务端证书 cert-server(使用云证书管理服务托管的服务端证书名称) 客户端 SSL参数 协议:TCP 端口:443 加密算法:AES-128-GCM 认证算法:SHA256 是否压缩:否 客户端网段 172.16.0.0/16 客户端认证类型 选择“证书认证”,单击上传CA证书。
作列的“配置服务端”。 在“服务端”界面,在“客户端认证类型”下拉选项中选择“证书认证 ”,单击“上传CA证书”。 根据界面提示填写相关信息。 表1 上传CA证书参数说明 参数 说明 取值样例 名称 支持修改。 ca-cert-server 内容 以文本方式打开签名证书PEM格式的文件(后缀名为“
更新VPN网关证书 功能介绍 更新租户国密型VPN网关所使用的证书,包括证书名称、签名证书、签名私钥、加密证书、加密私钥和CA证书链。 调用方法 请参见如何调用API。 URI PUT /v5/{project_id}/vpn-gateways/{vgw_id}/certific
client_ca_certificate objects 否 功能说明:客户端CA证书列表,用于对客户端证书进行认证 约束: 隧道协议类型是SSL,且客户端认证类型为证书认证时必填 客户端认证类型为证书认证时,至少上传1本客户端CA证书,最多支持上传10本客户端CA证书 ssl_options ssl_options
场景一:桌面云+VPC场景的客户端配置 全局参数配置 修改IKE和IPsec的默认生存时间(非关键配置步骤,选配),建议不勾选断线侦测。 图5 全局参数配置 IKE第一阶段配置 右键单击“VPN配置”,选择“新建第一阶段”,本实例中使用客户端软件已有的第一阶段进行配置,配置信息请参见图6。 图6
场景一:桌面云+VPC场景的客户端配置 全局参数配置 修改IKE和IPsec的默认生存时间(非关键配置步骤,选配),建议不勾选断线侦测。 图5 全局参数配置 IKE第一阶段配置 右键单击“VPN配置”,选择“新建第一阶段”,本实例中使用客户端软件已有的第一阶段进行配置,配置信息请参见图6。 图6
可能原因 客户端配置文件中的证书和私钥与VPN网关“服务端”页签中导入的客户端CA证书不匹配。 处理步骤 若VPN网关“服务端”页签中导入的客户端CA证书不正确,请在VPN网关的服务端中导入正确的CA证书,并删除错误的CA证书,再使用客户端重新接入。 若客户端配置文件中的证书和私钥不正
String 功能说明:证书名称。 取值范围:1-64个字符,支持数字、英文字母、中文(\u4e00 - \u9fa5)、_(下划线)、-(中划线) issuer String 功能说明:证书颁发者。 取值范围:1-256个字符。 subject String 功能说明:证书使用者。 取值范围:1-256个字符。
deleteVpnAccessPolicy 下载客户端配置 vpn-server exportClientConfig 导入客户端CA证书 vpn-server importClientCa 修改客户端CA证书 vpn-server updateClientCa 删除客户端CA证书 vpn-server deleteClientCa
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
