检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过云证书管理服务CCM购买证书 背景信息 用户除向CA机构申购证书、自签发证书渠道外,也可以通过云证书管理服务购买证书。支持同时购买服务端和客户端证书,也支持单独购买服务端或客户端证书。 约束条件 通过云证书管理服务购买服务端证书,需要在客户端配置文件中增加服务端根证书内容。 操作步骤
“配置服务端”。 在“服务端”界面,选择“服务端证书”,在下拉选项中单击“上传证书”进入“云证书管理服务”页面。 在“SSL证书管理”页面,选择“上传证书 > 上传证书”,根据界面提示填写相关信息。 上传证书参数请参见表 上传国际标准证书参数说明。 表1 上传国际标准证书参数说明
VPN网关操作列的“查看服务端”。 在“服务端”界面,选择服务端证书操作列,单击“更换”,进入“更换服务端证书”弹窗页面。 选择“服务端证书”,单击“确定”。 更换服务端证书,会导致客户端断开后无法重新连接,需要下载新的客户端配置,使用新的客户端配置文件重新接入。 父主题: 终端入云VPN服务端管理
通过Easy-RSA自签发证书(服务端和客户端使用不同CA证书) 场景描述 Easy-RSA是一个开源的证书管理工具,用于帮助用户生成和管理数字证书。 本示例介绍在Windows操作系统中,通过Easy-RSA自签发证书,服务端和客户端使用不同CA证书。本示例使用的软件版本为Easy-RSA
删除客户端CA证书 功能介绍 根据客户端CA证书ID,删除客户端CA证书。 调用方法 请参见如何调用API。 URI DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-ce
查询客户端CA证书 功能介绍 根据客户端CA证书ID,查询客户端CA证书信息。 调用方法 请参见如何调用API。 URI GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-cer
通过Easy-RSA自签发证书(服务端和客户端共用CA证书) 场景描述 Easy-RSA是一个开源的证书管理工具,用于帮助用户生成和管理数字证书。 本示例介绍在Windows操作系统中,通过Easy-RSA自签发证书,服务端和客户端共用CA证书。本示例使用的软件版本为Easy-RSA
修改客户端CA证书 功能介绍 根据客户端CA证书ID,更新指定的客户端CA证书。 调用方法 请参见如何调用API。 URI PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-ce
上传客户端CA 证书 功能介绍 上传客户端CA证书 调用方法 请参见如何调用API。 URI POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates 表1 参数说明
网关”页面,单击目标VPN网关操作列的“查看服务端”。 在“服务端”界面,选择客户端CA证书的操作列,单击“删除”。 在“删除CA证书”的弹窗中,单击确定。 删除该CA证书后,相关的客户端无法再正常连接。 父主题: 终端入云VPN服务端管理
校验客户端CA证书 功能介绍 检验客户端CA证书合法性 调用方法 请参见如何调用API。 URI POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/client-ca-certificates/check 表1 参数说明 名称 类型
列的“配置服务端”。 在“服务端”界面,在“客户端认证类型”下拉选项中选择“证书认证 ”,单击“上传CA证书”。 根据界面提示填写相关信息。 表1 上传CA证书参数说明 参数 说明 取值样例 名称 支持修改。 ca-cert-server 内容 以文本方式打开签名证书PEM格式的文件(后缀名为“
“配置服务端”。 在“服务端”界面,选择“服务端证书”,在下拉选项中单击“上传证书”进入“云证书管理服务”页面。 在“SSL证书管理”页面,选择“上传证书 > 上传证书”,根据界面提示填写相关信息。 上传证书参数请参见表 上传国际标准证书参数说明。 表1 上传国际标准证书参数说明
示例五:创建服务端 操作场景 本章节指导用户通过调用API来创建VPN服务端。 前提条件 已成功创建包周期终端入云VPN网关。 已在云证书管理服务中购买或上传服务端证书,详情请参见购买SSL证书和上传已有SSL证书。 您需要确定调用API的Endpoint。 当您使用Token认
终端入云VPN支持证书认证,服务端使用客户端CA证书验证客户端身份。 方案架构 支持多个客户端使用CA颁发的证书,登录连接VPN网关访问到云上VPC的场景。 图1 方案架构 方案优势 用户通过客户端证书认证方式连接到VPN网关,用户数据传输更安全。 约束与限制 最多支持添加10个客户端CA证书。
build-server-full”生成的服务端证书默认携带此属性。 使用OpenSSL自签发的服务端证书不携带此扩展属性,需要在证书文件中补充配置“extendedKeyUsage = serverAuth”。 将包含该属性的服务端证书托管到云证书管理服务中,在VPN网关的“服务端”页签中更换服务端证书,客户端再重新接入。
关”界面目标VPN网关所在行操作列,单击“查看服务端”进入服务端配置界面。 单击“基本信息”右侧的按钮对本端网段和客户端网段进行修改。 单击“服务端证书”操作列的更换,对服务端证书进行修改。 单击“客户端认证类型”右侧的按钮,对客户端认证类型进行修改。 单击“高级配置”右侧的按钮,对端口和加密算法进行修改。
可能原因 客户端配置文件中的证书和私钥与VPN网关“服务端”页签中导入的客户端CA证书不匹配。 处理步骤 若VPN网关“服务端”页签中导入的客户端CA证书不正确,请在VPN网关的服务端中导入正确的CA证书,并删除错误的CA证书,再使用客户端重新接入。 若客户端配置文件中的证书和私钥不
单击目标VPN网关操作列的“查看服务端”。 基本信息:可查看服务端ID、本端网段、客户端网段、隧道类型、状态。 认证信息:可查看服务端证书和客户端认证类型。 高级配置:可查看协议、端口、加密算法、认证算法、是否压缩。 父主题: 终端入云VPN服务端管理
0/16 隧道类型 SSL协议是一种传输层安全协议,用于构建客户端和服务端之间的安全通道。 OpenVPN(SSL),不支持修改。 OpenVPN(SSL) 认证信息 服务端证书 服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。 使用已上传证书:查看并选择已上传证书。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
