创建和管理SSL服务端_VPN网关(VPN)-阿里云帮助中心

SSL服务端用于控制客户端可以访问哪些网络和资源。使用SSL-VPN功能前，您必须先创建SSL服务端。

前提条件

您已经创建了VPN网关且VPN网关已开启SSL-VPN功能。具体操作，请参见创建和管理VPN网关实例。

如果创建VPN网关时您并未开启SSL-VPN功能，可在创建VPN网关后单独开启SSL-VPN功能。具体操作，请参见开启SSL-VPN功能。

创建SSL服务端

登录VPN网关管理控制台。
在左侧导航栏，选择网间互联 > VPN > SSL服务端。
在顶部菜单栏，选择SSL服务端的地域。
在SSL服务端页面，单击创建SSL服务端。

在创建SSL服务端面板，根据以下信息配置SSL服务端，然后单击确定。

配置	说明
名称	输入SSL服务端的名称。
资源组	选择VPN网关所属的资源组。 SSL服务端所属的资源组与VPN网关所属的资源组保持一致。
VPN网关	选择要关联的VPN网关。确保该VPN网关已经开启了SSL-VPN功能。
本端网段	本端网段是客户端通过SSL-VPN连接要访问的地址段。本端网段可以是专有网络VPC（Virtual Private Cloud）的网段、交换机的网段、通过物理专线和VPC互连的本地数据中心的网段、云服务（例如对象存储、云数据库）等的网段。单击+添加本端网段可添加多个本端网段，最多支持添加5个本端网段。以下网段不支持指定为本端网段： 100.64.0.0~100.127.255.255 127.0.0.0~127.255.255.255 169.254.0.0~169.254.255.255 224.0.0.0~239.255.255.255 255.0.0.0~255.255.255.255 说明本端网段的子网掩码位数在8至32位之间。
客户端网段	客户端网段是给客户端虚拟网卡分配访问地址的网段，不是指客户端已有的内网网段。当客户端通过SSL-VPN连接访问本端时，VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用，客户端将使用分配的IP地址访问云上资源。在您指定客户端网段时需保证客户端网段所包含的IP地址个数是当前VPN网关SSL连接数的4倍及以上。单击查看原因。例如您指定的客户端网段为192.168.0.0/24，系统在为客户端分配IP地址时，会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段，例如192.168.0.4/30，然后从192.168.0.4/30中分配一个IP地址供客户端使用，剩余三个IP地址会被系统占用以保证网络通信，此时一个客户端会耗费4个IP地址。因此，为保证您的客户端均能分配到IP地址，请确保您指定的客户端网段所包含的IP地址个数是VPN网关SSL连接数的4倍及以上。单击查看不支持配置的网段。 100.64.0.0~100.127.255.255 127.0.0.0~127.255.255.255 169.254.0.0~169.254.255.255 224.0.0.0~239.255.255.255 255.0.0.0~255.255.255.255 单击查看每个SSL连接数建议的客户端网段。若SSL连接数为5，则客户端网段的子网掩码位数建议小于或等于27。例如：10.0.0.0/27、10.0.0.0/26。若SSL连接数为10，则客户端网段的子网掩码位数建议小于或等于26。例如：10.0.0.0/26、10.0.0.0/25。若SSL连接数为20，则客户端网段的子网掩码位数建议小于或等于25。例如：10.0.0.0/25、10.0.0.0/24。若SSL连接数为50，则客户端网段的子网掩码位数建议小于或等于24。例如：10.0.0.0/24、10.0.0.0/23。若SSL连接数为100，则客户端网段的子网掩码位数建议小于或等于23。例如：10.0.0.0/23、10.0.0.0/22。若SSL连接数为200，则客户端网段的子网掩码位数建议小于或等于22。例如：10.0.0.0/22、10.0.0.0/21。若SSL连接数为500，则客户端网段的子网掩码位数建议小于或等于21。例如：10.0.0.0/21、10.0.0.0/20。若SSL连接数为1000，则客户端网段的子网掩码位数建议小于或等于20。例如：10.0.0.0/20、10.0.0.0/19。重要客户端网段的子网掩码位数在16至29位之间。请确保客户端网段与本端网段、VPC网段以及与客户端终端关联的任何路由网段均没有重叠。在指定客户端网段时，建议您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16网段及其子网网段。如果您的客户端网段需要指定为公网网段，您需要将公网网段设置为VPC的用户网段，以确保VPC可以访问到该公网网段。关于用户网段的更多信息，请参见什么是用户网段？和如何配置用户网段？。创建SSL服务端后，系统后台会自动将客户端网段的路由添加在VPC实例的路由表中，请勿再手动将客户端网段的路由添加到VPC实例的路由表，否则会导致SSL-VPN连接流量传输异常。
高级配置
协议	SSL-VPN连接使用的协议。取值： UDP TCP（默认值）
端口	SSL服务端使用的端口。端口取值范围：1~65535。默认端口：1194。说明不支持使用以下端口：22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500。
加密算法	SSL-VPN连接使用的加密算法。如果客户端使用Tunnelblick软件或2.4.0及以上版本的OpenVPN软件，则SSL服务端和客户端之间动态协商加密算法，会优先使用双方均支持的最高安全级别的加密算法。您为SSL服务端指定的加密算法不生效。如果客户端使用2.4.0之前版本的OpenVPN软件，则SSL服务端和客户端将使用您为SSL服务端指定的加密算法。SSL服务端支持指定以下加密算法： AES-128-CBC（默认值） AES-192-CBC AES-256-CBC none 本参数表示不使用加密算法。
是否压缩	是否对传输数据进行压缩处理。取值：是否（默认值）
双因子认证	选择是否开启双因子认证功能。系统默认关闭双因子认证功能。如果选择开启双因子认证功能，您还需要选择应用身份服务IDaaS（Identity as a Service）EIAM实例和IDaaS应用ID。开启双因子认证功能后，客户端与VPN网关之间建立SSL-VPN连接时，系统将会对客户端进行二次认证。第一次为默认的SSL客户端证书的认证，客户端通过SSL客户端证书认证后，系统将使用IDaaS实例中的用户名和密码对客户端进行第二次认证（不支持通过IDaaS短信认证功能对客户端进行第二次认证），第二次认证通过后才会建立SSL-VPN连接，该功能有效提高了SSL-VPN连接的安全性。相关教程，请参见SSL-VPN双因子认证。说明如果您是首次使用双因子认证功能，请先完成授权后再开启双因子认证功能。在阿联酋（迪拜）地域创建SSL服务端时，推荐您绑定新加坡地域的IDaaS EIAM 2.0实例，以减少跨地域时延。 IDaaS EIAM 1.0实例不再支持新购。如果您的阿里云账号下存在IDaaS EIAM 1.0实例，开启双因子认证功能后，依旧支持绑定IDaaS EIAM 1.0实例。如果您的阿里云账号下不存在IDaaS EIAM 1.0实例，开启双因子认证功能后，仅支持绑定IDaaS EIAM 2.0实例。在您绑定IDaaS EIAM 2.0实例时，可能需要对VPN网关实例进行升级。更多信息，请参见【变更公告】SSL-VPN双因子认证支持IDaaS EIAM 2.0。

后续步骤

SSL服务端创建完成后，您需要基于SSL服务端创建SSL客户端证书并安装在客户端上，用于对客户端进行身份验证以及数据加密。具体操作，请参见创建和管理SSL客户端证书。

修改SSL服务端

SSL服务端创建完成后支持修改配置，修改后客户端可能需要重新下载安装SSL客户端证书或重新发起SSL-VPN连接。

重要

如果您修改了SSL服务端高级配置中协议、是否压缩或双因子认证的配置会使SSL服务端关联的SSL客户端证书失效，您需要重新创建SSL客户端证书，然后在客户端中安装新的证书并重新发起SSL-VPN连接。
如果您修改了SSL服务端的本端网段或客户端网段，会导致SSL服务端下的所有SSL-VPN连接断开，客户端需重新发起SSL-VPN连接。

登录VPN网关管理控制台。
在左侧导航栏，选择网间互联 > VPN > SSL服务端。
在顶部状态栏处，选择SSL服务端的地域。
在SSL服务端页面，找到目标SSL服务端，在操作列单击编辑。
在编辑SSL服务端面板，修改SSL服务端的名称、本端网段、客户端网段或高级配置，然后单击确定。

删除SSL服务端

您可以删除一个不需要的SSL服务端。删除SSL服务端后系统会自动删除SSL服务端关联的所有SSL客户端证书，安装了这些SSL客户端证书的客户端将会自动断开SSL-VPN连接。

登录VPN网关管理控制台。
在左侧导航栏，选择网间互联 > VPN > SSL服务端。
在顶部菜单栏，选择SSL服务端的地域。
在SSL服务端页面，找到目标SSL服务端，在操作列单击删除。
在弹出的对话框中，确认风险提示，然后单击删除。

通过调用API创建和管理SSL服务端

支持通过阿里云 SDK（推荐）、阿里云 CLI、Terraform、资源编排等工具调用API创建、查询、修改、删除SSL服务端。相关API说明，请参见：