SSL VPN 访问控制和门户登录实践指导

最近更新时间：2023-02-03 14:27:30

我的收藏

本页目录：

本文介绍如何使用 EIAM（即数字身份管控平台）和 SSL VPN 实现访问控制，提升您业务的安全性。
说明
目前 SSO 身份认证功能灰度中，当前仅支持新加坡地域，如有需要，请提交 工单申请。
流程
﻿
EIAM 认证配置
本节仅介绍 EIAM（即数字身份管控平台）认证配置的主要步骤，其他配置详情请参见  EIAM 产品文档 。
创建用户
1. 登录 EIAM 平台，在导航栏选择用户管理 > 组织机构管理 > 根节点，然后在根节点页面单击新建用户。
﻿
2. 在弹出的新建用户页面配置相应参数。
该处用户名密码将会用于登录 腾讯云 Client VPN 自助服务门户。
﻿
创建用户组 并添加下相应的成员
1. 在导航栏选择用户管理 > 用户组管理，在用户组管理页面单击新建用户组，并依据界面参数填写相应的内容，然后单击确定。
﻿
2. 在创建好的用户组区域单击添加用户。
﻿
3. 在弹出的添加用户页面将成员添加至用户组，然后单击确定。
﻿
创建 EIAM 应用
1. 在导航栏选择应用管理，单击应用市场新建，在弹出的应用市场新建页面选择 腾讯云 VPN，然后单击下一步：编辑应用信息。
﻿
﻿
2. 在编辑应用信息页签依据界面提示填写相应的信息，然后单击下一步：完成。
﻿
EIAM 应用授权
1. 在导航栏选择应用授权，在应用授权页面单击用户组授权，然后单击新增授权。
﻿
2. 在弹出的新增授权页面选择创建好的 EIAM 应用，然后单击下一步：选择用户组。
﻿
3. 在选择用户组页签勾选待授权的用户组，然后单击下一步：完成。
﻿
SSL VPN 配置
创建 SSL VPN 网关
1. 登录 私有网络控制台，在左侧导航栏中选择 VPN 连接 > VPN 网关，进入管理页。
2. 在 VPN 网关管理页面，单击新建，并在弹出的新建 VPN 网关页面依据界面参数配置 SSL VPN 网关。
﻿
3. SSL VPN 网关参数配置完成后单击创建。
创建 SSL 服务端
1. 在左侧导航栏中选择 VPN 连接 > SSL 服务端，进入管理页。
2. 在 SSL 服务端管理页面，单击新建，在弹出的新建 SSL 服务端对话框中依据界面参数配置 SSL 服务端。
﻿
参数名称
参数说明
名称
填写 SSL 服务端名称，不超过60个字符。
地域
展示 SSL 服务端所在地域。
VPN 网关
选择创建好的 SSL VPN 网关。
云端网段
客户移动端访问的云上网段。
客户端网段
分配给用户移动端进行通信的网段，该网段请勿与腾讯侧 VPC CIDR 冲突。
协议
服务端传输协议。
端口
填写 SSL 服务端用于数据转发的端口。
认证算法
目前支持 SHA1 和 MD5 两种认证算法。
加密算法
目前支持 AES-128-CBC、AES-192-CBC 和 AES-256-CBC 加密算法。
是否压缩
否。
访问控制
选择开启。
说明：
如果您需要使用该功能，请联系腾讯技术支持进行申请。
﻿
认证方式
选择“证书认证+身份认证”。
EIAM 应用
选择在 EIMA 创建好的应用。
配置访问控制策略
1. 在左侧导航栏中选择 VPN 连接 > SSL 服务端，进入管理页。
2. 在 SSL 服务端列表单击具体是实例 ID。
3. 在 SSL 服务端详情页面单击访问控制，并单击新增策略，然后依据界面信息配置策略信息。
﻿
参数名称
参数说明
目的端
填写需要本端 IP 网段，即访问云上的 IP 网段。
说明：
目的端网段需要与本端网段在同一网段内，若更改本端网段，需主动修改访问控制的目的端地址。
﻿
访问权限
选择特定的用户组，选择该项后需要配置访问组 ID。
访问组 ID
选择被允许访问的用户组。
备注
必填，填写策略的备注信息，方便您后续识别策略信息。
4. 完成配置后，单击确定。
（可选）创建 SSL 客户端
说明
如需 下载 SSL 客户端配置 和连接服务端，可按需创建 SSL 客户端。
1. 在左侧导航栏中选择 VPN 连接 > SSL 客户端，进入管理页。
2. 在新建 SSL 客户端对话框中设置客户端名称和选择待连接的 SSL 服务端，然后单击确定。
﻿
在 Client VPN 门户下载 SSL 客户端配置文件和 SSL 客户端
1. 登录 腾讯云 Clinet VPN 自主服务门户。
2. 在 SSL 服务端 ID 所在行的输入框中输入创建好的 SSL 服务端 ID，然后单击下一步，进入登录界面。
﻿
3. 登录腾讯云 Clinet VPN 自主服务门户。
使用 EIAM 创建的用户密码进行登录，本文以此为例。
﻿
4. 在下载SSL客户端配置文件区域找到您需要下载的客户端配置文件，单击下载。
﻿
﻿
5. 在下载 SSL 客户端区域找到适合您的 SSL 客户端，单击下载。
本文以 MAC 为例，单击下载后跳转至 OpenVPN 官网，您可以在官网下载。
﻿
SSL 客户端安装与连接
1. 在本地解压安装包，双击安装程序依据界面提示进行安装。
﻿
2. SSL 客户端安装完成后，选择 “Import Profile” 菜单中的 “FILE” 页面，上传已下载的 SSL 客户端配置文件（.ovpn 格式）。
﻿
3. 上传成功后，选择 connect 进行连接。
﻿
4. Profiles 连接中，请稍候。
﻿
5. 进行认证登录。
﻿
6. 连接成功。
﻿
﻿

下一篇: 产品动态

参数名称	参数说明
名称	填写 SSL 服务端名称，不超过60个字符。
地域	展示 SSL 服务端所在地域。
VPN 网关	选择创建好的 SSL VPN 网关。
云端网段	客户移动端访问的云上网段。
客户端网段	分配给用户移动端进行通信的网段，该网段请勿与腾讯侧 VPC CIDR 冲突。
协议	服务端传输协议。
端口	填写 SSL 服务端用于数据转发的端口。
认证算法	目前支持 SHA1 和 MD5 两种认证算法。
加密算法	目前支持 AES-128-CBC、AES-192-CBC 和 AES-256-CBC 加密算法。
是否压缩	否。
访问控制	选择开启。说明：如果您需要使用该功能，请联系腾讯技术支持进行申请。
认证方式	选择“证书认证+身份认证”。
EIAM 应用	选择在 EIMA 创建好的应用。

参数名称	参数说明
目的端	填写需要本端 IP 网段，即访问云上的 IP 网段。说明：目的端网段需要与本端网段在同一网段内，若更改本端网段，需主动修改访问控制的目的端地址。
访问权限	选择特定的用户组，选择该项后需要配置访问组 ID。
访问组 ID	选择被允许访问的用户组。
备注	必填，填写策略的备注信息，方便您后续识别策略信息。

SSL VPN 访问控制和门户登录实践指导

本页目录：

流程

EIAM 认证配置

创建用户

创建用户组 并添加下相应的成员

创建 EIAM 应用

EIAM 应用授权

SSL VPN 配置

创建 SSL VPN 网关

创建 SSL 服务端

配置访问控制策略

（可选）创建 SSL 客户端

在 Client VPN 门户下载 SSL 客户端配置文件和 SSL 客户端

SSL 客户端安装与连接

创建用户组并添加下相应的成员