解决USG6300 防火墙SSL VPN客户登陆虚拟网关失败问题。

发布时间:  2015-04-25 浏览次数:  1406 下载次数:  0
问题描述

    某局点客户反馈使用USG6300配置SSL VPN服务端后,利用IE浏览器登陆虚拟网关,发现Windows 7/Windows8x系统(32位、64位系统均可)可以正常登陆虚拟网关,而使用Windows XP系统时,提示登陆失败。

 

告警信息

处理过程

可能存在的原因:

1.SSL版本不匹配

2.SSL加密套件不匹配

3.虚拟网关证书(SHA1)不一致

查看设备SSL版本及加密参数配置:

v-gateway ssl_vpn_g
basic
  ssl version sslv30+tlsv10
  ssl timeout 5
  ssl lifecycle 1440
 
ssl ciphersuit custom aes256-sha non-des-cbc3-sha non-rc4-sha non-rc4-md5 aes128-sha non-des-cbc-sha

WindowsXP系统当前使用的是IE8浏览器,SSL版本 选择了 SSL 3.0  TLS1.0,测试登陆,问题依旧。

 

 

 

 

 

 

 

 

 

 

 

 

查看当前WindowsXP的版本信息:

 

 

 

 

 

 

 

 

 

发现客户WindowsXP系统使用的是SP2版本。

对于XP SP2及SP2以下的操作系统来说,上述操作,仍不能正常打开虚拟网关登录页面。 需通过证书制作工具,制作一本sha1WithRSAEncryption签名算法的服务器证书。导入此证书作为虚拟网关设备证书后,XP SP2及SP2以下操作系统就能正常打开SVN登录页面,且客户端启动网络扩展成功。

根因
因USG6300 防火墙属于下一代防火墙,SSL VPN虚拟网关设备证书默认使用sha256算法签名,而XP SP2及以下操作系统不支持此签名算法。
解决方案
制作一个sha1WithRSAEncryption签名算法的CA证书和服务器证书,分别导入虚拟网关,作为客户端CA证书和设备证书。
建议与总结

END