检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过云证书管理服务CCM购买证书 背景信息 用户除向CA机构申购证书、自签发证书渠道外,也可以通过云证书管理服务购买证书。支持同时购买服务端和客户端证书,也支持单独购买服务端或客户端证书。 约束条件 通过云证书管理服务购买服务端证书,需要在客户端配置文件中增加服务端根证书内容。 操作步骤
本章节指导用户通过调用API来创建VPN服务端。 前提条件 已成功创建包周期终端入云VPN网关。 已在云证书管理服务中购买或上传服务端证书,详情请参见购买SSL证书和上传已有SSL证书。 您需要确定调用API的Endpoint。 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增
在“服务端”界面,选择“服务端证书”,在下拉选项中单击“上传证书”进入“云证书管理服务”页面。 在“SSL证书管理”页面,选择“上传证书 > 上传证书”,根据界面提示填写相关信息。 上传证书参数请参见表 上传国际标准证书参数说明。 表1 上传国际标准证书参数说明 参数 说明 证书标准 选择国际标准证书。
VPN连接支持使用国产加密算法吗? 支持。 请使用控制台界面提供的算法进行协商,请确保两端协商算法一致即可。 父主题: 产品咨询
面。 在“SSL证书管理”页面,选择“上传证书 > 上传证书”,根据界面提示填写相关信息。 上传证书参数请参见表 上传国际标准证书参数说明。 表1 上传国际标准证书参数说明 参数 说明 证书标准 选择国际标准证书。 证书名称 用户自定义。 企业项目 将上传的SSL证书分配至对应的企业项目中。
服务端证书 服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。 使用已上传证书:查看并选择已上传证书。 上传证书:单击下拉框最下方的“上传证书”,跳转至云证书管理服务。按照界面提示上传服务端证书,详细步骤请参见上传已有SSL证书。 推荐使用强密码算法的证书,如RSA3072/4096。
1194 443 加密算法 终端入云VPN连接使用的加密算法。 AES-128-GCM(默认) AES-256-GCM AES-128-GCM 认证算法 终端入云VPN连接使用的认证算法。 加密算法为AES-128-GCM时,对应认证算法为SHA256。 加密算法为AES-256-GCM时,对应认证算法为SHA384。
更新VPN网关证书 功能介绍 更新租户国密型VPN网关所使用的证书,包括证书名称、签名证书、签名私钥、加密证书、加密私钥和CA证书链。 调用方法 请参见如何调用API。 URI PUT /v5/{project_id}/vpn-gateways/{vgw_id}/certific
在“服务端”界面,在“客户端认证类型”下拉选项中选择“证书认证 ”,单击“上传CA证书”。 根据界面提示填写相关信息。 表1 上传CA证书参数说明 参数 说明 取值样例 名称 支持修改。 ca-cert-server 内容 以文本方式打开签名证书PEM格式的文件(后缀名为“.pem”),将证书内容复制到此处。 说明:
idle-time:30s DPD retransmit-interval:15s DPD retry-limit:3次 DPD msg:seq-hash-notify。 两端DPD的type、空闲时间、重传间隔、重传次数无需一致,只要能接收和回应DPD探测报文即可,DPD msg格式必须一致。
idle-time:30s DPD retransmit-interval:15s DPD retry-limit:3次 DPD msg:seq-hash-notify。 两端DPD的type、空闲时间、重传间隔、重传次数无需一致,只要能接收和回应DPD探测报文即可,DPD msg格式必须一致。
通过Easy-RSA自签发证书(服务端和客户端共用CA证书) 场景描述 Easy-RSA是一个开源的证书管理工具,用于帮助用户生成和管理数字证书。 本示例介绍在Windows操作系统中,通过Easy-RSA自签发证书,服务端和客户端共用CA证书。本示例使用的软件版本为Easy-RSA
据传输安全。 VPN支持为每个用户创建独立的VPN网关,提供租户网关隔离防护能力。 支持AES国际、SM国密等加密算法,满足多种安全要求。 支持多种认证模式,包括证书认证、口令认证。 高可用 双连接:网关提供两个接入地址,支持一个对端网关创建两条相互独立的VPN连接,一条连接中断后流量可快速切换到另一条连接。
String 功能说明:CA证书序列号。 取值范围:1-64个字符。 expiration_time String 功能说明:证书到期时间 UTC时间格式:yyyy-MM-ddTHH:mm:ssZ signature_algorithm String 功能说明:证书签名算法。 取值范围:1-64个字符。
0/24 服务端证书 cert-server(使用云证书管理服务托管的服务端证书名称) 客户端 SSL参数 协议:TCP 端口:443 加密算法:AES-128-GCM 认证算法:SHA256 是否压缩:否 客户端网段 172.16.0.0/16 客户端认证类型 选择“证书认证”,单击上传CA证书。
String 功能说明:对等体存活检测报文格式。 取值范围: seq-hash-notify:指定DPD报文中的载荷顺序是hash-notify。 seq-notify-hash:指定DPD报文中的载荷顺序是notify-hash。 表7 IpsecPolicy 名称 类型 描述 auth
虚拟专用网络是否支持SSL VPN? 目前虚拟专用网络支持SSL VPN。 父主题: 产品咨询
VPN连接支持使用国产加密算法吗? 不支持。 请使用控制台界面提供的算法进行协商,请确保两端协商算法一致即可。 父主题: 产品咨询
功能说明:对等体存活检测报文格式。 取值范围: seq-hash-notify:指定DPD报文中的载荷顺序是hash-notify。 seq-notify-hash:指定DPD报文中的载荷顺序是notify-hash。 默认值:seq-hash-notify。 表7 IpsecPolicy
client_ca_certificate objects 否 功能说明:客户端CA证书列表,用于对客户端证书进行认证 约束: 隧道协议类型是SSL,且客户端认证类型为证书认证时必填 客户端认证类型为证书认证时,至少上传1本客户端CA证书,最多支持上传10本客户端CA证书 ssl_options ssl_options
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
