非客戶端的SSL ***遠程訪問由於不需要安裝客戶端因此使用起來比較方便省事兒。相對來說自設備的配置和自定義設置會比基於客戶端的***複雜一些。然而,只要有點耐 心,你會發現它實際上相當靈活,之需要相當有限的資源就可以對用戶提供快捷的遠程訪問了,無需安裝和管理客戶端。
這篇文章分兩個部分來介紹配置和設置。文章的第一部分包括最初的設置;第二部分對遠程用戶端進行相應的設置。
請記住,在SSL ***遠程接入解決方案也有一些限制。在一個非客戶端的SSL會話中,Cisco ASA是作爲代理來連接遠程用戶和內部資源的。遠策用戶需要訪問的時候,ASA建立安全連接並驗證服務器的SSL證書。最終用戶無法看到此證書。ASA不 允許非法證書站點和內部資源建立通信。
在下面的步驟中,我會配置建立一個基本的基於非客戶端SSL ***訪問。我提供了大部分的配置以及對應的ASDM設置。
第1步、配置身份證書
在這裏,我創造一個叫ssl***key的一個自簽署證書並且在“outside” 接口應用這個證書。您也可以通過購買廠商證書如VeriSign等。
corpasa(config)#crypto key generate rsa label ssl***key
corpasa(config)#crypto ca trustpoint localtrust
corpasa(config-ca-trustpoint)#enrollment self
corpasa(config-ca-trustpoint)#fqdn ssl***. mycompany.com
corpasa(config-ca-trustpoint)#subject-name CN=ssl***.mycompany.com
corpasa(config-ca-trustpoint)#keypair ssl***key
corpasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm
corpasa(config)# ssl trust-point localtrust outside
第二步、啓用SSL *** 訪問
corpasa(config)#web***
corpasa(config-web***)#enable outside
corpasa(config-web***)#svc enable