概要说明

当前在企业中大量使用SSL VPN解决方案，员工与公司内部系统的互联更加便利，近期疫情加剧，某企业全员居家办公，SSL VPN访问增加，但是出现了一个恼人的提示符，解决问题后记录如下，期间参考了华为的技术文档，推荐使用xca解决方案，但此方案属于自签名方案的一种，管理员还需维护很多的用户证书，另外xca软件在制作用户证书的一个环节有问题，无法选择私钥，其实用性不强，还增加了一个软件和并不可靠的自签名方式，但以下提到的方式在华为的官网文档中没有出现过，特此说明。

1. 这篇文档适用于华为的大部分SSL VPN的系统，包括USG和SVN系统。
2. 华为原有的Seco client已经不再维护，Seco client已经在官网下载不到了，现在使用与联软共同开发的uniVPN,使用方式大致一致，只是界面不太相同
3. 最优的解决方案是由权威证书机构购买SSL证书（需要采购费用）
4. 还有一个更为简单的解决方案写在最后，但不推荐。

现象描述

用户使用SecoClient/uniVPN通过SSL VPN隧道登录SSL VPN虚拟网关时，系统弹出如下提示:

安全警告，不可信的VPN服务器证书

原因

设备中用户SSL VPN的证书是自签名，不补客户端软件所信任

解决方案、步骤

1. 为防火墙 SSL VPN设置一个公网域名 比如sslvpn.example.com
2. 去证书服务商购买SSL加密证书，比如去阿里云，后面附了一些可参考的图
3. 把买好的证书下载回来，建议带私钥的pfx格式，注意这里会有一个打开文件的密码
4. 打开SSL VPN的管理界面,按照箭头的方向点按钮，选中上传后，点选上传上来的证书就算完成

步骤2 SSL 证书购买路径

步骤2 需要填写一些信息

步骤4 按箭头操作

总结

1. 上面这个方案的优点是客户端不需要制作和管理证书，只要管好SSL VPN网关的证书就可以
2. 安全性好，自签名的证书在安全方面还是有隐患的
3. 如果用户规模很小，可以采用在client端改配置的方法如下图，这其实才是最简单的方法，但这个法子与我的耿直不阿不相称。

最简单方式不弹窗

特别说明：上面的问题也许只是个小问题，我之所以记下来是怕我哪一天会想不起来我今天怎么样的努力程度。

标签： dcc