本帖最后由 悟空我在这 于 2017-3-1 22:59 编辑
SSL VPN在使用第三方CA证书认证,常遇到SSL VPN设备外置CA导入了第三方CA证书,但是用户使用第三方CA颁发的用户数字证书登录认证失败。
通常看到可能会是这个报错信息: 未提交证书,请插入key或者导入文件证书,重新打开浏览器登录 一种常见原因:这里给大家分享常遇到的一种原因,就是导入的第三方CA证书不是完整的证书信任链,导致用户提交证书信息和设备上导入的CA证书校验失败。
解决办法也非常简单,只要把第三方CA证书合成完成的证书链并导入SSL VPN即可。 那么问题来了,小伙伴们知道如何来合成这个第三方CA证书吗?现在就给大家某公司具体操作方法。
操作思路: 把CA根证书到用户证书颁发CA的各级证书,用notepad++或者UE工具打开,并从自根证书开始逐个进行复制粘贴,另存为cer或crt格式文件,这样就合成一张完整的证书链CA证书,再导入SSL VPN即可;
下面演示具体步骤: 双击cer或crt格式的CA证书,即可打开查看到证书的颁发者和颁发给信息,如下截图:
根证书:“颁发者”和“颁发给”信息完全相同,就是自己签发给自己的证书。 中级证书:“颁发者”和“颁发给”信息不一样,由上级CA签发,其中“颁发者”就是它的上级签发CA。
完整的证书信任链:就是具有完整的证书签发关系链,比如证书A由B签发,证书B由C签发,那么信任链就是A—B—C组成的信任关系。
用notepad++打开证书
打开后看到证书内容会是这样的:
然后从顶级根证书开始,首尾粘贴,如下图: (从根证书到用户CA有多少级信任关系,就有多少个证书)
然后把这个文件另存为保存,文件后缀继续保持为cer或crt即可。
最后,将这个合成的完整的证书信任链CA证书ca.cer导入到SSL VPN,如下图:
点击确定后即完成了外置CA(第三方CA)证书导入操作。
至此,完成了第三方CA证书信任链合并并导入SSL VPN设备的操作。 | 
发表于 2017-3-1 22:20
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
