检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务端根证书 -----END CERTIFICATE----- </ca> ... 购买客户端证书 登录CCM控制台。 购买SSL证书。 申请SSL证书。 下载SSL证书。 父主题: 终端入云VPN
面。 在“SSL证书管理”页面,选择“上传证书 > 上传证书”,根据界面提示填写相关信息。 上传证书参数请参见表 上传国际标准证书参数说明。 表1 上传国际标准证书参数说明 参数 说明 证书标准 选择国际标准证书。 证书名称 用户自定义。 企业项目 将上传的SSL证书分配至对应的企业项目中。
面。 在“SSL证书管理”页面,选择“上传证书 > 上传证书”,根据界面提示填写相关信息。 上传证书参数请参见表 上传国际标准证书参数说明。 表1 上传国际标准证书参数说明 参数 说明 证书标准 选择国际标准证书。 证书名称 用户自定义。 企业项目 将上传的SSL证书分配至对应的企业项目中。
EasyRSA Shell # 查看服务端CA证书及其私钥。 生成的服务端CA证书默认存放在“D:\EasyRSA-3.1.7 - server\pki”目录下。 本示例中生成的服务端证书为“ca.crt”。 生成的服务端CA私钥默认存放在“D:\EasyRSA-3.1.7 -
certificate-001 签名证书 签名证书用于对数据进行签名认证,以保证数据的有效性和不可否认性。 以文本编辑器(如Notepad++)打开签名证书PEM格式的文件,将证书内容复制到此处。 签名证书需要同时上传签发此签名证书的CA证书。 -----BEGIN CERTIFICATE-----
# 查看CA证书及其私钥。 生成的CA证书默认存放在“D:\EasyRSA-3.1.7\pki”目录下。 本示例中生成的证书为“ca.crt”。 生成的CA私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“ca.key”。 执行
Usage扩展属性,导致验证失败。 处理步骤 请检查并确保生成的服务端证书中包含Extended Key Usage扩展属性,如图1所示。 图1 Extended Key Usage 使用Easy-RSA的shell命令“./easyrsa build-server-full”生成的服务端证书默认携带此属性。
本章节指导用户通过调用API来创建VPN服务端。 前提条件 已成功创建包周期终端入云VPN网关。 已在云证书管理服务中购买或上传服务端证书,详情请参见购买SSL证书和上传已有SSL证书。 您需要确定调用API的Endpoint。 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增
上传CA证书参数说明 参数 说明 取值样例 名称 支持修改。 ca-cert-server 内容 以文本编辑器(如Notepad++)打开签名证书PEM格式的文件,将证书内容复制到此处。 说明: 推荐使用强密码算法的证书,如RSA3072/4096。 RSA2048加密算法的证书存在风险,请慎用。
虚拟专用网络是否支持SSL VPN? 目前虚拟专用网络支持SSL VPN。 父主题: 产品咨询
与原证书名称保持一致。 新签名证书 签名证书用于对数据进行签名认证,以保证数据的有效性和不可否认性。 以文本编辑器(如Notepad++)打开签名证书PEM格式的文件,将证书内容复制到此处。 签名证书需要同时上传签发此签名证书的CA证书。 -----BEGIN CERTIFICATE-----
客户端CA证书。 表4 client_ca_certificate 名称 类型 必选 描述 name String 否 证书名称,不填时自动生成。 取值范围:1-64个字符,支持数字、英文字母、中文(\u4e00 - \u9fa5)、_(下划线)、-(中划线)。 content String
SSL VPN SSL VPN是一种基于SSL协议的虚拟专用网络技术。允许远程用户通过加密的方式安全地访问企业内部网络资源。 父主题: 基本概念
服务端证书 服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。 使用已上传证书:查看并选择已上传证书。 上传证书:单击下拉框最下方的“上传证书”,跳转至云证书管理服务。按照界面提示上传服务端证书,详细步骤请参见上传已有SSL证书。 推荐使用强密码算法的证书,如RSA3072/4096。
本地防火墙无法收到VPN网关的IKE第一阶段的回复包怎么解决? 检查两端公网IP是否可以互访,推荐使用ping命令,VPN网关EIP缺省可以ping通。 云下网关与VPN网关可以互访UDP 500、4500报文。 云下公网IP访问VPN网关IP时,没有发生源端口NAT转换,如果存
本地防火墙无法收到VPN子网的回复包怎么解决? 如果二阶段协商中需要检查云下的路由、安全策略、NAT和感兴趣流、协商策略信息。 路由设置:将访问云上子网的数据送入隧道。 安全策略:放行云下子网访问云上子网的流量。 NAT策略:云下子网访问云上子网不做源nat。 感兴趣流:两端感兴趣流配置互为镜像,使用IKE
本地防火墙无法收到VPN网关的IKE第一阶段的回复包怎么解决? 检查两端公网IP是否可以互访,推荐使用ping命令,云端网关IP缺省可以ping通。 云下网关与云网关可以互访UDP 500、4500报文。 云下公网IP访问网关IP时,没有发生源端口NAT转换,如果存在nat穿越,端口号在nat穿越后不得发生改变。
本地防火墙无法收到VPN子网的回复包怎么解决? 如果二阶段协商中需要检查云下的路由、安全策略、NAT和感兴趣流、协商策略信息。 路由设置:将访问云上子网的数据送入隧道。 安全策略:放行云下子网访问云上子网的流量。 NAT策略:云下子网访问云上子网不做源nat。 感兴趣流:两端感兴趣流配置互为镜像,使用IKE
服务端证书 服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。 使用已上传证书:查看并选择已上传证书。 上传证书:单击下拉框最下方的“上传证书”,跳转至云证书管理服务。按照界面提示上传服务端证书,详细步骤请参见上传已有SSL证书。 推荐使用强密码算法的证书,如RSA3072/4096。
> 口令认证(本地)”。 选择“客户端认证类型 > 证书认证”。 单击“上传CA证书”,以文本编辑器(如Notepad++)打开CA证书PEM格式的文件,将证书内容复制到“上传CA证书”的“内容”文本框内。 单击“确定”后,可以对用户管理和访问策略进行配置。 口令认证(本地) 高级配置
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
