未导入VPN的数字证书用户可登录VPN，why？-建党节快乐（一）

    VPN版本：7.6.0

    一、故障现象

    用户使用数字证书登录VPN设备，获取资源。

    但客户发现，没有导入到VPN里的用户也可以登录到VPN，但获取不到资源。--客户觉得有安全风险，相当于用户非法接入VPN。

   

    告知客户通过修改“信任范围”来解决问题。--客户修改后，发现所有用户均无法登录。

   

   二、排错

   1、先定位问题。

    在排查问题之前，问题的原因已经很清晰了。即在VPN的组织结构里，只有用户名等信息，没有用户的数字证书，导致出现了上面的问题。

    但客户坚称，说亲眼看到现场工程师导入了用户，不可能没导入。解说无效，于是使用之前的测试设备进行测试。

    2、配置第三方证书的信任范围。

    路径：SSL VPN设置--认证设置--证书与USB-KEY认证，点击“设置”。

   

    选择之前已经建立好的“sha1”证书。

   

    信任范围勾选“仅信任该CA签发的，并且已经导入到本地的证书用户”。

   

    3、导入用户证书

    a.先确认之前的用户是否有证书

    路径：SSL VPN设置--用户管理，点击“杨颖”用户名进入编辑界面。

   

    可以看到“数字证书/USB-KEY”后面显示“无”。即原先的用户只导入了用户，而没有导入证书。

   

    b.尝试导入“杨颖”用户的数字证书。

    两种方法：

     <1>编辑用户，点击“导入证书”。

   

   

    这种方式导入需要输入“证书密码”。

   

    <2>用户管理--导入--从文件导入。

   

    选择“从数字证书中导入用户”。

   

    点击“选择文件”后的“浏览...”，选择“杨颖.cer”文件。

   

   点击“开始导入”。

   

    操作成功，我们返回“杨颖”用户的编辑界面。

   

    现在可以看到该用户的“数字证书/USB-KEY”后已经是一串字符。

    <3>导入多个用户

    客户有上千个用户，如果一个一个导入很麻烦，可以使用压缩文件的方式进行上传。

   

    在“选择文件”中选择“202.zip”文件。

    然后选择“开始导入”。

   

    导入结果。

   

    可以“下载示未导入用户列表”和“查看详情”获取相关的失败信息。

   三、注意事项

   1、zip文件上传事项

    （1）必须使用rar软件进行压缩，使用其他压缩软件会报错。

     

   （2）压缩文件里不能包含文件夹。

     如果压缩文件夹会报错。

     

    如果这两项都没有问题，还报错，请使用IE浏览器兼容模式进行上传。

   2、证书提交注意

   （1）要保证用户证书与根证书的hash算法一致。

     如果根证书是sha1，而用户证书是sha256，则会报错。

     

     如果md5的算法值一致，但还报错，可以询问客户KEY是否对Windows的认证环境有要求。

    （2）VPN的认证范围为“仅信任该CA签发的,并且已经导入到本地的证书用户”，但“用户管理”里面没有导入用户数字证书。则会报错“证书不合法”。

     

    3、如果客户要求拔KEY注销，则需要在“通用USB-KEY设置”里添加VID和PID。

    路径：SSL VPN设置--认证设置--证书与USB-KEY认证--通用USB-KEY设置。添加KEY的VID和PID。

   

   VID和PID在“设备管理器”里查看。

   

更多设置参见社区资料库的文档：https://bbs.sangfor.com.cn/plugi ... wdatabase&tid=37710

很详细的排错案例，又可以跟大神学习了:爱你:

一连看了三个帖子，嘿嘿嘿

大神出品，必定精品

感谢楼主无私分享

感谢楼主无私的分享