H3C SSL***配置命令

1 .配置接口IP地址、路由、安全域及域间安全策略保证网络可达，具体配置步骤略

2 .配置SSL *网关

配置SSL *网关gw的IP地址为1.1.1.2（公网地址），端口号为4430。

<Device> system-view

[Device] ssl* gateway gw

[Device-ssl*-gateway-gw] ip address X.150.20.24 port 4430

[Device-ssl*-gateway-gw] service enable

[Device-ssl*-gateway-gw] quit

3.创建SSL *客户端地址池

创建为SSL 客户端分配地址的地址池sslpool，地址范围为10.1.1.1～10.1.1.10。

[Device] ssl ip address-pool SslPool 10.1.1.1 10.1.1.10

4.创建SSL * AC接口

创建SSL * AC接口1，配置该接口的IP地址为10.1.1.254/24。

[Device] interface ssl*-ac 1

[Device-SSL*-AC1] ip address 10.1.1.254 24

[Device-SSL*-AC1] quit

将SSL*-AC1接口加入到安全域

[Device]security-zone name Untrust
import interface SSL*-AC1

5.配置SSL *访问实例

配置SSL 访问实例Ssl，引用SSL *网关gw，指定域名为domainip。

[Device] ssl context Ssl

[Device-ssl-context-ctxip] gateway gw domain Ssl

配置IP接入引用的SSL * AC接口1.

[Device-ssl-context-ctxip] ip-tunnel interface ssl-ac 1

创建路由表rtlist，并添加路由表项192.168.200.0/24。

[Device-ssl***-context-ctxip] ip-route-list SERVER

[Device-ssl***-context-ctxip-route-list-rtlist] include 192.168.7.0 24

[Device-ssl***-context-ctxip-route-list-rtlist] quit

引用SSL 客户端地址池SslPool和配置下发DNS。

[Device-ssl-context-ctxip] ip-tunnel address-pool SslPool mask 24

[Device-ssl***-context-ctxip] ip-tunnel dns-server primary 192.168.7.2

创建SSL 策略组Ssl，引用路由列表rtlist，并同时配置对IP接入进行ACL过滤。

[Device-ssl-context-ctxip] policy-group Ssl

[Device-ssl***-context-ctxip-policy-group-resourcegrp] ip-tunnel access-route ip-route-list SERVER

[Device-ssl***-context-ctxip-policy-group-resourcegrp] filter ip-tunnel 3300

[Device-ssl***-context-ctxip-policy-group-resourcegrp] quit

开启SSL ***访问实例ctxip。

[Device-ssl***-context-ctxip] service enable

[Device-ssl***-context-ctxip] quit

#创建ACL 3300，规则为允许源IP为10.1.1.0/24的报文访问目标IP网段192.168.200.0/24。

[Device] acl advanced 3300

[Device-acl-ipv4-adv-3300] rule permit ip source 10.1.1.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

[Device-acl-ipv4-adv-3300] quit

6.配置SSL ***用户

创建本地SSL 用户ssluser，密码为123456，用户角色为network-operator，授权用户的SSL ***策略组为resourcegrp。

local-user weixy class network
password simple weixy
service-type ssl
authorization-attribute ssl-policy-group Ssl***
authorization-attribute user-role network-operator
quit

WEN:
ssl*** context Weixy
gateway Weixy domain Weixy
url-list URLLIST
heading web
url Tongyirenzheng url-value https://sit1-sso.zhph.lan/cas/login?service=http://sit1-instalsale.zhph.lan/admin
policy-group Weixy
resources url-list URLLIST
service enable

ssl*** gateway Weixy
ip address 182.150.20.24 port 65002
service enable