VPN升级之一：联想网御防火墙CA证书升级-生于七零年代

刚看了一下上次日志的日期是5月9日，到今天整整一个月。这段时间一直都没有动笔的欲望，原因有很多，也不想给自己太多的理由。这和我当时做日志的初衷是完全不一致的。说改就改，今天开始继续更新，还是从自己手上做的事情来。

手机升级到IOS10.3后，原来自己搭建的PPTP就不能用，这台VPN服务器用了有10年以上了，还是很有感情的。不过从安全性上来说PPTP真的是老了，自己不得不另起炉灶了，刚开始的想法还是自己搭建一台服务器做VPN，直接开一台虚机就可以了。初步的架构也想好，准备用CentOS+strongSwan做IPSec/IKEv2 VPN，这样我原有在PPTP上的应用基本不用做太多的变化就可以继续使用了。但仔细梳理了一下应用之后，发现除了我自己外，还需要用到SSL给外部远程其他用户登录WEB后台开放VPN。事情分轻重缓急，只能先做SSL了，想到SSL我就有了利旧的念头，因为后面还是要搭VPN服务器的，虽然SSL也有OPEN VPN的服务器解决方案了，但为了省事，还是用原有的设备了。机房里有一台淘汰不用的防火墙，型号是联想网御 V214，还是联想网御被收购改名之前的产品。这台设备是以前考试院用来做高考监控的边际防护的，其实我们也一直没有做过高考的考场，成人高考也就几次后就停考了。然后就被我用来做办公网的路由器了，去年上了最新的多路负载设备做办公网网关后，这台设备就闲置了。正好用了做SSL，因为我仿佛记得在后台看到有SSL授权的。

好了，下面开始说重点：联想网御防火墙CA证书升级

昨天上午就跑到机房去把设备拆到了办公室，准备配置SSL VPN。结果发现IE的证书没有了，不能登录VPN。我的系统去年下半年换成了WIN10，原来在WIN7下导入过证书。但找了半天没有找到V214的IE 安全证书，准备在网上下载一个，结果也找不到。也不好意思打电话给厂家，估计打了也没有用。正好搜索到一篇升级CA证书的文章，于是想干脆把V214的证书升级了，用新的证书登录不就OK了吗？

升级的步骤是，Begin: 远程连接到防火墙，上传新证书，执行证书更新，安装客户端IE证书 End。

下载的新证书和IE证书如下：

上传新证书和执行的命令如下：

rz

admcert add cacert cacert.pem fwcert fwcert.pem fwkey fwkey.pem

admcert add admincert administrator.pem

admcert on admincert administrator.pem

config save

用原来的用户名和密码试了一下登录，防火墙的SSH是打开的，可以用，就省去了用串口来做的麻烦。

先是习惯性的用PUTTY连上了SSH，结果发现在执行rz命令的时候，当然不能弹出上传文件的对话框，先鄙视了自己3秒。然后换了SecureCRT，当然顺利弹出，选择上面4个PEM文件，添加后上传，成功。