-
AAA
配置手册
AAA
配置手册
1
证书认证配置
.........
..................................................
..................................................
........................................... 2
1.1
客户端证书校验(双因素)
.
..................................................
..................................................
............... 2
1.1.1
为
SPX
申请服务器证书
..........
..................................................
..................................................
.. 2
1.1.2
为
SPX
导入证书
..........................
..................................................
................................................ 3
1.1.3
导入
CA
< br>根证书
................................
..................................................
............................................ 5
1.1.4
设置
SPX
证书认证选项
...............................
..................................................
............................... 7
1.1.5
申请客户端证书
....
..................................................
..................................................
.................... 8
AAA
配置手册
1
证书认证配置
1.1
客户端证书校验(双因素)
p>
客户端证书校验指的是在用户等登陆
SPX
时,
SPX
检查客户端是否安装了数字证书,只
有安装了正确的数字证书才允许登陆,同时检查用户的用户名和口令。只有两个条件都满足
才能正常登陆,所以称为双因素认证。
1.1.1
为
SPX
申请服务器证书
采用证书认证时,
首先要为
SPX
申请一个服务器证书,
该证书需要向证书颁发机构申请
。
首先,向证书颁发机构(
CA
p>
)提交证书申请。将
SPX
站点的
CSR/Key
复制下来,如图所
示:
其次,
打开证书申
请页面,
依次选择
“申请一个证书”
→
“高级证书申请”
→
“使用
base64
编码的
CMC
或
PKCS #10
文件提交一个证书申请,或使用
base64
编码的
PKCS
#7
文件续订证
AAA
配置手册
书申请”
。将
SPX
的
CSR/Key
粘贴到文本框中,然后提交申请。如图所示:
待
CA
颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状
态”→“保存的证书申请”
,按照“
Base64
编码”格式下载证书。如图所示:
1.1.2
为
SPX
导入
证书
将下载的证书用“记事本”程序打开,如图所示:
AAA
配置手册
将文本中的内容全部复制出来,包括开始标记和结束标记。然
后将这段内容导入到
SPX
的证书中,同时将这个新导入的证书
设置为默认证书。如图所示:
以上
是
WebUI
方式导入,下面是命令行导入
ENSS-CLI(config)$$ssl import
certificate
Enter
certificate,
use
on
a
single
line,
without
quotes
to
terminate
import
-----BEGIN CERTIFICATE-----
MIIDxTCCAq2gAwIBAgIKYU1rpAAAAAAABTANBgkqhkiG9w0BAQ
UFADASMRAwDgYD
VQQDEwdFTlNTIENBMB4XDTA3
MDcyNDEwMzcwOVoXDTA4MDcyNDEwNDcwOVowgZcx
AAA
配置手册
CzAJBgNVBAYTAmNuMRAwDgYDVQQIEwdiZWlqaW5nMQswCQYD VQQHEwJiajEWMBQG
A1UEChMNYXJyYXluZXR3b3
JrczEOMAwGA1UECxMFYXJyYXkxFjAUBgNVBAMTDTE5
Mi4xNjguMC4xODkxKTAnBgkqhkiG9w0BCQEWGmFkbWluQG
FycmF5bmV0d29ya3Mu
Y29tLmNuMIGfMA0GCSqG
SIb3DQEBAQUAA4GNADCBiQKBgQDrZvN0pwAi8Pjs+jQG
INwJbYgcBXBiMdxQ828WhUg2SLgcuTF2VukWHGt2fPoL kJGbolE3zNXEDExnmnhk
DVLOj98VVx9VPbE2j8
cbgAIY1q+nsNFXg1Qyrsxs9SD4s6SXK1P7KnQ9NfASrWLS
LT/z4k+IpeKBlrc5q4gghJAofQIDAQABo4IBGTCCAR
UwHQYDVR0OBBYEFMmG0VnR
di9z/UuMBg6gcZSH
CY71MB8GA1UdIwQYMBaAFJt8i+njD2DTDzghzrkrO12CuuQs <
/p>
MFkGA1UdHwRSMFAwTqBMoEqGI2h0dHA6Ly9qaHkv
Q2VydEVucm9sbC9FTlNTJTIw
Q0EuY3JshiNmaW
xlOi8vXFxqaHlcQ2VydEVucm9sbFxFTlNTIENBLmNybDB4Bggr
BgEFBQcBAQRsMGowMwYIKwYBBQUHMAKGJ2h0dHA
6Ly9qaHkvQ2VydEVucm9sbC9q
aHlfRU5TUyUyM
ENBLmNydDAzBggrBgEFBQcwAoYnZmlsZTovL1xcamh5XENlcnR
F
bnJvbGxcamh5X0VOU1MgQ0EuY3J0MA0GCSqGS
Ib3DQEBBQUAA4IBAQCoiPB/SLgs
CzjXgxzOpAg
OWg1cKzzxyArfywCjybdpy8oWOLBvZ4njKHqCkBMUVGSPuQsN5
KFm
2TgocE8cr5blg8oOuxpbVRAoSi4bd9ysf97
/rdNLnYsyIlnptoOqSjk5EKt6X5bm
rt1kY/htK
CVRpZhhJLcWFUrljYQ6h4ELL9pDIwlBtCJUJweBfGs0nWepobR
E/Nqo
9tNOpgmNGD45Yv3bKaX0t/qIo+Nyg9SQj
p68vAs5WTv4NxKfRLduJuaOcEEZJWXl
wYB8xm1
wSvo4QjklR9z3nvoRJCM7KQhex7QCAA67JecYL/V1WJrNKBpx8
bEb9+Fp
ojX/D3bfJ6z3
-----END CERTIFICATE-----
...
PEM format
Certificate import successful
1.1.3
导入
CA
根证书
想要导入的证书生效,
还必须将颁发这个证
书的
CA
根证书导入
SPX
,
这样
SPX
才能确认<
/p>
证书的依赖关系。在导入
CA
根证书前,
首先要将根证书的编码格式转换为“
Base64
编码”
然后再导入
SPX
。
然后在
SPX
的根证书导入页面将这个
证书导入。如图所示:
AAA
配置手册
命令行导入
ENSS-CLI(config)$$ssl import rootca
Enter the trusted root CA certificate
file in PEM format,
use
-----BEGIN CERTIFICATE-----
MIIDXDCCAkSgAwIBAgIQKHOO6T3MlbdLEcoqBiBl3zANBgkqhk
iG9w0BAQUFADAS
MRAwDgYDVQQDEwdFTlNTIENB
MB4XDTA3MDcyNDAxNTQ1NVoXDTEyMDcyNDAyMDQx
N1owEjEQMA4GA1UEAxMHRU5TUyBDQTCCASIwDQYJKoZIhvcN AQEBBQADggEPADCC
AQoCggEBALZm+bA1jW8QtN
ek5QPJUsaxk1sB7F38S402TY6Rg4S/oG2kMQXmHwux
E9Px4CbY1t9zAtrHSRyfPEot0fJRAMEWSyf9pPkA29ahDS
pi6G/pLKZ978X9cdq2
3ohs1F8EE97u5i+8T9jw
PA4Q4tOfv2y0h4oNUAiyKJmahcyHGfi0fAu1ccILni/r
tG1f5r2BqW0DnqKTagI3xXzpJDDCMODSTcCkPPnVbftW fyJ/6Mk6R3wXihgL/ol1
LXB4s46I++jlceBnK+
WWdzP5C+S8JstwNAeS0qEp/cpdUwp5JAZVzlrl46my2lmR
d9bFta2RZsWDhumTHPFNmswf2aLkCYkCAwEAAaOBrT
CBqjALBgNVHQ8EBAMCAYYw
DwYDVR0TAQH/BAUw
AwEB/zAdBgNVHQ4EFgQUm3yL6eMPYNMPOCHOuSs7XYK65Cww <
/p>
WQYDVR0fBFIwUDBOoEygSoYjaHR0cDovL2poeS9D
ZXJ0RW5yb2xsL0VOU1MlMjBD
QS5jcmyGI2ZpbG
U6Ly9cXGpoeVxDZXJ0RW5yb2xsXEVOU1MgQ0EuY3JsMBAGCSsG
AQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEBBQUAA4I
BAQBdWBDvZGX2gHDv8QEub51U
AAA
配置手册
tHwMMUrUdv0NgpZxou9uCFMZhtv2V+tq7J9GAF4FeTCEx77v wB7DXWQXjntlBauV
YkPFF2D9vuZTpHL0jiKELY
7fHcqsRp+hicshjjK3xAo0RDSy4dSzwBekhJ5YJY3w
Jgd6NAmAX7dRwntjl9rlNBViQTs/Rfs8cdH5QAZDm07S9t
2ZUXcvhcKRf620Ijj9
Bb/DPhid5xOj2f3Qpi8v
nr/eswNhgRKQT+4l/9jcldWQtplqtvGgtMAVWjwn8oH0
Up51lnYOYzinWkFfSc5c24peUM/4qWtO31iUVtJW++/g nuViQO09tCQAV6piWV6P
-----END
CERTIFICATE-----
...
importing... please wait..
Root CA certificate import successful
导入证书后启用
SSL
ENSS-
CLI(config)$$ssl settings clientauth
ENSS-CLI(config)$$ssl start
<
/p>
1.1.4
设置
SPX
< br>证书认证选项
在
SPX
配置页面打开“
Enable Client
Authentication
”选项,如图所示:
此时,证书和口令双因素认证在
SP
X
上已经配置完成了。此时访问
SPX
会出现“选择数
字证书”的提示框,因为没有证书,所以不能访问。想要正常访问,就需
要客户端也申请相
应的浏览器证书(必须是为
SPX
颁发服务器证书的
CA
)
,这个证书要与
SPX
的证书想对应,
AAA
配置手册
应该在同一个
CA
上申请。
1.1.5
申请客户端证书
浏览器证书的申请与服务器证书申请类似,
在证书申请页面上依次选择<
/p>
“申请一个证书”
→“
Web
浏览器证书”
。在出现的页面上填好相应的注册信息然后提交。
等待
CA
颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的
状态”→“
Web
浏览器证书”→“安装此证书”
。
安装完成后会
在客户端的证书下面看到这个证书,证书的主题就是申请证书时填写的内
容。
此时,安装了证书的客户端就可以正常访问
SPX
了。首先,会出现“选择数字证书“提
< br>示框。
选择刚申请的证书,
证书正确后会出现
SPX
登陆界面。输入用户名和密码完成登陆
。
AAA
配置手册
1.2
、客户端证书认证
客户端证书认证指的是客户端只要安装了数字证书即可登陆,不再需要用户名和口令。
这种认证方式同样需要为
SPX
和
< br>Web
浏览器申请证书,证书的申请、导入和安装与
1.
1
所述
相同,这里就不再重复了,不同的地方在于
SPX
的设置。
1.2.
1
设置
SPX
认证方式
在
SPX
的
AAA
配置页面中,将认证方法设置为“
Cert-
Anonymous
“。
1.2.2 SPX
关闭
AAA
p>
将
SPX
的
AAA
关闭,在关闭
AAA
之前,首先要关闭
站点的“
Session
Reuse
“功能
AAA
配置手册
将上图中的勾去掉即可。
其次,将站点的“
AAA
“关闭,去掉勾即可。
此时,客户端证书认证已经配置完
成,接下来就是为客户端申请
Web
浏览器证书,方法
与
1.1
中所述相同,申请好证书后就可以访问
了。
1.3
客户端证书字段校验
客户
端证书字段校验是指当用户登陆
SPX
时,
SPX
不只判断客户端有无证书,
而且针对证
书的某个字段进行校验,只有通过校验的用户才能登陆。与
1.2
相比,这种认证方法更加安
全。
同样,这用认证方式也需要为
SPX
和
Web
浏览器申请证书,证书
的申请、导入和安装与
1.1
所述相同。
1.3.1
设置证书校验字段
<
/p>
在
SPX
的
AA
A
配置页面中,配置证书认证选项,设置校验字段。选项下面列出了可以校
AAA
配置手册
验的字段,选择其中一个作为校验字段,这里以
为例,这个
字段是指校验证书中
的“姓名“字段。
Validate Method Using
的两个选项分别为
LocalDB
和
LDAP
,意思是用户建立在
LocalDB
还是
LDAP
,用户建立在哪里这里就选择哪个
选项,与下面的建立用户对应。
1.3.2
< br>设置
SPX
认证方式
在
SPX
的
AAA
p>
配置页面中,将认证方法设置为“
Cert-
Challenge
“。
1.3.3
建立用户
在
p>
LocalDB
或者
LDAP
中建立相应字段的用户名和口令,用户名就是所校验字段的值。
AAA
配置手册
我们校
验的字段是“
”
,这个字段的值为“<
/p>
sxg
”
。所以,应该建立一个用户
p>
名为
sxg
的用户。
此时,客户端证书字段校验就配置完成了,用户登
陆时首先会让用户选择数字证书,证
书正确后会出现登陆页面,在这个字段中只需要输入
密码。这个密码就是所校验字段的口令
(在本例中就是
sxg<
/p>
这个用户的口令)输入正确后完成登陆。
对于用户来讲,他并不知道
SPX<
/p>
检验的是哪个字段,只知道管理员给他的字段校验密码,
因此更加
安全。
2LDAP
认证配置
2.1LDAP
简介
LDAP
的英文全称是
Lightweight
Directory Access Protocol
,一般简称为
< br>LDAP
,它是
一种轻量目录访问协议,但是一般人们都
说:
“把数据存在
LDAP
中”或者“
从
LDAP
数据库中
取出数据”
,
把
LDAP
理解成
了一种数据库。
实际上
LDAP
并不是
数据库而是用来访问存储在信