关于SSL VPN内置CA证书在aTrust设备上使用相关问题
  

许满全 583

{{ttag.title}}
本帖最后由 许满全 于 2024-11-11 14:58 编辑

使用场景:
客户侧目前现有一台SSL VPN设备,又采购或借测了一台aTrust设备,客户在使用SSL VPN设备的时候启用了证书认证,客户在使用aTrust设备时也想使用证书认证,但是aTrust设备截止到标准版本2.4.10,不支持内置CA证书,且没有签发CA证书的功能。客户侧也没有与第三方CA机构没有合作,无法提供第三方CA证书,这个时候该怎么办?

补充:
SSL VPN设备是有内置证书的,并且根证书支持下载。

解决方案:
将SSL VPN设备当做一个CA数字证书签发设备,可以将VPN签发给用户的证书给aTrust设备用户使用;

配置步骤:
1、从SSL VPN设备导出根证书(也就是‘公钥’),这里可以自行选择导出根证书,有国际商用密码标准(RSA)、中国国家密码标准(SM2)两种密码算法。
2、将根证书导入aTrust设备
   1.在[系统管理]-[特性中心]下面找到证书认证并点击启用,开启证书认证;
   2.进入[业务管理]-[认证管理]-[认证服务器],新增证书认证服务器;
   3.在CA证书配置页面中的CA证书选择框中选择从VPN设备导出的根证书。      
3、从VPN设备签发的用户证书(私钥)直接拿给aTrust用户使用即可(管理员账户使用证书认证同样适用)。

4、如果涉及到USB-KEY认证场景,则正常将vpn签发的数字证书烧制到KEY中则可以实现USB-KEY认证。
注意事项:
1、在VPN设备给用户签发证书的用户名名称需要和aTrust设备保用户名名称持一致,aTrust新增用户认证证书需要在VPN设备新增对应用户签发,aTrust即使导入根证书也不支持给用户签发数字证书;
2、KEY认证场景使用有驱KEY:aTrust在使用SSLVPN的KEY进行用户认证时,仅支持使用有驱KEY,暂不支持使用无驱KEY;
3、截止标准版本2.4.10,aTrust暂不支持给用户签发证书或刷UKEY,需要使用SSL VPN刷KEY后再使用;
4、SSLVPN有内置CA,也可以烧录证书,但是仅限于之前SSLVPN跟飞天诚信合作代购的key,其他的key不行;

火狐狸 发表于 2024-11-11 15:05
  

一起来学习,一起来学习。。。。。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

47
14
0

发帖

粉丝

关注

62
24
2

发帖

粉丝

关注

6
2
0

发帖

粉丝

关注

本版达人