VPN升级之一:联想网御防火墙CA证书升级

刚看了一下上次日志的日期是5月9日,到今天整整一个月。这段时间一直都没有动笔的欲望,原因有很多,也不想给自己太多的理由。这和我当时做日志的初衷是完全不一致的。说改就改,今天开始继续更新,还是从自己手上做的事情来。

手机升级到IOS10.3后,原来自己搭建的PPTP就不能用,这台VPN服务器用了有10年以上了,还是很有感情的。不过从安全性上来说PPTP真的是老了,自己不得不另起炉灶了,刚开始的想法还是自己搭建一台服务器做VPN,直接开一台虚机就可以了。初步的架构也想好,准备用CentOS+strongSwan做IPSec/IKEv2 VPN,这样我原有在PPTP上的应用基本不用做太多的变化就可以继续使用了。但仔细梳理了一下应用之后,发现除了我自己外,还需要用到SSL给外部远程其他用户登录WEB后台开放VPN。事情分轻重缓急,只能先做SSL了,想到SSL我就有了利旧的念头,因为后面还是要搭VPN服务器的,虽然SSL也有OPEN VPN的服务器解决方案了,但为了省事,还是用原有的设备了。机房里有一台淘汰不用的防火墙,型号是联想网御 V214,还是联想网御被收购改名之前的产品。这台设备是以前考试院用来做高考监控的边际防护的,其实我们也一直没有做过高考的考场,成人高考也就几次后就停考了。然后就被我用来做办公网的路由器了,去年上了最新的多路负载设备做办公网网关后,这台设备就闲置了。正好用了做SSL,因为我仿佛记得在后台看到有SSL授权的。

好了,下面开始说重点:联想网御防火墙CA证书升级


昨天上午就跑到机房去把设备拆到了办公室,准备配置SSL VPN。结果发现IE的证书没有了,不能登录VPN。我的系统去年下半年换成了WIN10,原来在WIN7下导入过证书。但找了半天没有找到V214的IE 安全证书,准备在网上下载一个,结果也找不到。也不好意思打电话给厂家,估计打了也没有用。正好搜索到一篇升级CA证书的文章,于是想干脆把V214的证书升级了,用新的证书登录不就OK了吗?

升级的步骤是,Begin: 远程连接到防火墙,上传新证书,执行证书更新,安装客户端IE证书 End。

下载的新证书和IE证书如下:

上传新证书和执行的命令如下:

rz

admcert add cacert cacert.pem fwcert fwcert.pem fwkey fwkey.pem

admcert add admincert administrator.pem

admcert on admincert administrator.pem

config save

用原来的用户名和密码试了一下登录,防火墙的SSH是打开的,可以用,就省去了用串口来做的麻烦。

先是习惯性的用PUTTY连上了SSH,结果发现在执行rz命令的时候,当然不能弹出上传文件的对话框,先鄙视了自己3秒。然后换了SecureCRT,当然顺利弹出,选择上面4个PEM文件,添加后上传,成功。

如上图,上传成功。

接下来执行命令

admcert add cacert cacert.pem fwcert fwcert.pem fwkey fwkey.pem

报错,如图报错,百思不得其解。百度半天后,在另一份资料里找到答案,原来的证书要先停用。

命令是admcert off admincert admin.pem

执行成功后,如图用admcert show admincert查看结果,是否已停用。

然后再执行前面的四条更新命令。成功后,在IE里加载admin.p12证书,密码是6个h

最终成功打开登录界面,又看到了熟悉的网御了,一年多不见,故人可安好?

故人答曰:已备10个授权的SSL VPN等你来取,寂寞一载,终又相见。

 

 

未经允许不得转载:生于七零年代 » VPN升级之一:联想网御防火墙CA证书升级

赞 (7) 打赏

评论

5+8=

觉得文章有用就打赏一下文章作者

微信扫一扫打赏