USG6620做SSL VPN,XP的SPC3能打开SSL的web界面,SPC2打不开

发布时间:  2015-01-02 浏览次数:  1278 下载次数:  0
问题描述

USG6620上配置SSL VPN功能,有1000多个并发用户,使用Windows XP SP3的客户端能打开虚拟网关界面,但Windows XP SP2客户端打不开,提示“连接虚拟网关失败”。

说明:

Windows XP SP2客户端能够pingUSG6620,且能登录USG6620Web管理界面,用的浏览器是IE8

处理过程

                                                         

步骤1  确认USG6620SSL VPN功能对操作系统和浏览器的支持情况。

设备型号

最大用户数

最大并发用户数

USG6620/6630

4000

2000

SSL VPN业务

支持的操作系统

支持的浏览器及版本

Web代理

Windows XP SP1及其以上(32位)

Internet Explorer 6/7/8/9

网络扩展

Windows XP SP1及其以上(32位)

Internet Explorer 6/7/8/9

步骤2  当用户使用的操作系统为Windows XP时,USG需要支持des-cbc3-shades-cbc-sha算法,否则用户将无法登录到虚拟网关。尝试增加以下配置,发现安装SP2Windows XP客户端PC仍然无法登录虚拟网关。

 
[sysname] v-gateway abc
[sysname-abc] basic
[sysname-abc-basic]ssl ciphersuit allciphersuit des-cbc3-sha

                                                          客户端登录时提示“连接虚拟网关失败”。



0x80096004: TRUST_E_CERT_SIGNATUREthe signature of the certificate cannot be verified.

怀疑是终端(浏览器或客户端)不能识别虚拟网关的证书签名而终止了访问。



步骤3  导入sha1WithRSAEncryption签名算法的设备证书后(制作证书可使用xca软件),Windows XP SP2PC使用IE浏览器能正常打开虚拟网关界面,且能成功启动网络扩展功能。


<!--[if !

根因

USG6620上的SSL  VPN证书存在问题

解决方案

l   制作一本sha1WithRSAEncryption签名算法的设备证书并导入USG6620

l   Windows XP客户端上安装SP3

建议与总结

SHASecure Hash Algorithm,安全散列算法)包含SHA-1SHA-224SHA-256SHA-384SHA-512这几种单向散列算法,其中,SHA-1SHA-224SHA-256适用于长度不超过2^64二进制位的消息,SHA-384SHA-512适用于长度不超过2^128二进制位的消息。

产品

证书的签名算法

USG3000/SVN3000

md5WithRSAEncryption

USG2100/USG2200/USG5100/USG5500/SVN2200/SVN5500

sha1WithRSAEncryption

USG6300/USG6500/USG6600/SVN5600/SVN5800

sha256WithRSAEncryption

 

 

END