CP_签名fw公钥与导入第三方证书到mobile access

目 录环境需求............................................................................................

目 录

环境需求........................................................................................................................................... 1

原因分析........................................................................................................................................... 2

解决办法........................................................................................................................................... 3

分析CA 中心、Check_Point防火墙、客户端通信认证流程 ....................................................... 3

详细操作步骤 . .................................................................................................................................. 4

步骤一：客户端导入CA 中心根证书 ........................................................................................ 5

测试：在防火墙证书没签名前进行访问测试 . .................................................................. 7

步骤二：导出防火墙公钥与私钥 . .............................................................................................. 8

步骤三：发送防火墙公钥（csr ）到Windows Server 2008证书服务器签名 ......................... 9 步骤四：使用防火墙私钥（key ）与完成签名后的文件（cer ）结合生成一个证书（p12）

........................................................................................................................................................ 11

步骤五：将p12格式证书应用到mobile access vpn中 ......................................................... 11

测试：客户端访问https://sslvpn.sundragon.com ........................................................... 11

附件：sk 69660 原文 .................................................................................................................... 13

环境需求

当访问Checkpoint SSL VPN时，浏览器会提示“此网站的安全证书有问题”如图

第1页

广州商之杰网络安全技术有限公司

由于此提示可能会让某些用户直接不访问该网站，所以需要将解决此证书问题提示。直接显示以下界面：

原因分析

照成此证书提示主要原因：该SSL VPN所使用的证书颁发机构为Checkpoint ，而Checkpoint 证书颁发机构是不属于受信任的证书颁发机构，受信任的证书办法机构可查看IE 浏览器中内置的信息，如图：

第2页

广州商之杰网络安全技术有限公司

解决办法

方法一：可以将Checkpoint 证书导出，手动导入浏览器中（不现实，没可能为每个用户的电脑都导入一个证书）

方法二：将Checkpoint 公钥交给受信任的第三方根证书颁发机构签名，从使Checkpoint 证书成为此颁发机构中的一员，也就是签名后的证书文件为可信任。

分析CA 中心、Check_Point防火墙、客户端通信认证流程 这是从网上找到的一张工作流程图

第3页

广州商之杰网络安全技术有限公司

备注：

1. 如在真实环境中CA 中心为一个可信任颁发机构，则可忽略第7步，因为IE 浏览器内默

认已经导入可信任的证书；

2. 如在模拟环境中，无可信任的CA 中心，则我们需要先将CA 中心的根证书导入测试客户

端的浏览器中，使浏览器认为该CA 中心为可信任的颁发机构。

详细操作步骤

测试环境

第4页

广州商之杰网络安全技术有限公司

步骤一：客户端导入CA 中心根证书

1. 在windows server 2008证书服务器生成根证书(将证书复制到文件，按照指引提示操作，)

导出来的根证书格式需要选择cer 格式，且需要是

base64

第5页

广州商之杰网络安全技术有限公司

最终生成一个公钥，命名为CA.cer

2. 将生成CA.cer 文件复制到客户端Windows XP，双击进行安装，（需安装到可信任的根证书颁发机构）

查看是否顺利导入证书

第6页

广州商之杰网络安全技术有限公司

测试：在防火墙证书没签名前进行访问测试

我将签名的域名为https://sslvpn.sundragon.com，通过修改hosts 文件指向解析到172.16.2.1 输入域名https://sslvpn.sundragon.com

提示证书有问题，点击“是”，页面跳转

第7页

广州商之杰网络安全技术有限公司

步骤二：导出防火墙公钥与私钥

1. 登录防火墙，进入专家模式，输入以下命令

“cpopenssl req -new -out mobile.csr -keyout mobile.key -config $CPDIR/conf/openssl.cnf”

其中csr 格式为防火墙公钥，key 格式为防火墙私钥

输入命令后需按照要求填写所需的信息，如图

填写完信息后会生成2个文件，分别为防火墙的公钥与私钥

第8页

广州商之杰网络安全技术有限公司

步骤三：发送防火墙公钥（csr ）到Windows Server 2008证书服务器签名

1. 将从防火墙上导出来的公钥（csr ）发送到证书服务器，申请一个签名；

导入完成这个公钥，可以在“挂起的申请”中查看到，需要手动为此申请颁发证书

2. 完成颁发，导出已签好名的文件，双击打开查看，导出文件

广州商之杰网络安全技术有限公司

第9页

所选用的文件格式为base64 编码X.509（.csr ）(s)

生成一个此类型的文件（文件名：sundragon.com.cer ）

将此文件sundragon.com.cer 复制到防火墙中

广州商之杰网络安全技术有限公司

第10页