【每日一记8】+第8天+SSL-VPN与第三方的CA如何进行对接。
  

一个无趣的人 5405

{{ttag.title}}
「每日一记」目前已开展7期,已有近300位工程师参与并坚持不懈的进行技能输出,征集到3700余篇技术笔记,共派发出近700000+S豆,送出28份精美好礼你也可以写笔记,赚额外成长收益!>>【每日一记】第8期正在进行中
今天来说一下SSL-VPN与第三方的CA如何进行对接。:好棒:
主要是为了应对客户向第三方证书机构申请了证书,希望 SSLVPN 用户通过第三方证书机构颁发的用户证书登录 SSLVPN,实现证书认证登录 SSLVPN的情况。

那么如何进行配置呢?
1、导入外置 CA 证书。按照上图在外置 CA 添加 CA 根证书,CA 证书文件格式一般是*.crt、*.cer、*.p7b,这里的 CA 根证书是只包含公钥的,若有多级根证书的情况下需要导入完整的证书链

2、查看外置 CA的属性。

①用户名属性 :
是指此 CA 签发的证书中,存放用户名的字段;用户名将显示在客户端主界面上。请根据实际情况选择,通常为 CN(颁发给/主题名)。如图通常是这个颁发给的字段,也就是 CN。

② 绑定字段:
指此 CA 颁发的证书导入到本地时,用户所绑定的证书字段,通过这个字段来界定用户与证书的对应关系,有如下三个选择:
序列号: :证书过期后,CA 会重新签发证书,因为新证书的序列号已改变,必须在本地用户管理中,重新导入新证书;
DN:相比证书序列号,可以避免用户证书更新时需要重新导入证书。选择此选项时,必须保证不同证书的 DN 名是唯一的;
OID:与 DN 类似,通常需要填写存放用户名等唯一标识用户的 OID 属性。

③ 证书编码
指证书文件中字符的编码格式,如果 CA 及 CA 签发证书中包含中文或其它字符,请选择正确的证书编码,否则证书编码格式配置不正确会导致证书认证时提示证书不合法。

3、证书信任及授权设置证书信任及授权的配置有如图两种配置方式

(1)  仅信任该 CA 签发的,并且已经导入到本地的证书用户
选择【仅信任该 CA 签发的,并且已经导入到本地的证书用户】需要将用户证书导入到本地用户管理中,用户才能登陆,若证书未导入则用户不允许登录,并且会提示证书不合法。

导入用户的具体操作也有两种方式:
① 用户在本地已经存在,需要将用户证书导入与用户绑定
在【SSL VPN 设置】-【用户管理】编辑指定用户,可以在用户【基本属性】看到【数字证书/USB-KEY】的选项,然后选择【导入证书】

证书导入完成后会在用户属性显示用户绑定的证书序列号

【注意】:用以上方法导入用户证书时,导入的用户证书的颁发给字段需要与本地用户的用户名一致,否则会提示”证书的使用者和用户名不符合,无法导入该证书”

②SSL VPN  本地没有该用户,又需要把证书导入到SSLVPN 设备
在【SSL VPN 设置】-【用户管理】-【导入】-【从文件导入】选择从数字证书中导入用户,导入时选择好用户证书所属对应 CA 即可,导入成功后设备上会自动根据外置 CA 配置好的【用户名属性】字段自动创建证书认证用户。若有批量导入证书用户的需求,导入批量证书包.zip(大小不超过 20M)即可



如果是用户证书已经下发到用户,或者用户证书是已经导入到 usb-key 里面的情况下需要将用户证书导入到 SSLVPN 设备,可以从浏览器里导出 cer 格式的证书,再导入到 SSLVPN设备
具体操作:打开 IE,在【工具】-【internet 选项】-【内容】-【证书】-【个人】找到对应的用户证书选择导出

第三方 CA 的用户证书是由第三方证书机构颁发的,需要导入时也可以直接联系证书机构获取
(2) 信任该 CA  签发的所有证书用户
选择【信任该 CA 签发的所有证书用户】则需要配置好映射规则将本不存在于本地的用户映射到一个本地的用户组,使其拥有这个组的组策略、认证方式以及角色授权
证书用户的组映射实现原理是通过用户证书的 DN 字段进行匹配的,具体示例如下

用户”测试”的 CN 为 CN=测试,O=JIT,C=CN,那么要为其配置组映射,将 O=JIT,C=CN 的用户都映射给“测试”这个本地用户组

如果本身没有配置映射规则,会有一条默认映射规则将未导入到本地的证书用户映射到默认用户组,当然这个默认映射的用户组可以自行选择

效果如何?
证书用户 “ 测试 ”

“测试”这个账号通过导入证书生成的,本地存在用户,故针对这个用户的资源关联,可以直接在用户里面关联角色授权给它

登录效果如下,”测试”这个账户本身在根组创建,故在线用户显示也是属于根组,并匹配了针对这个用户关联的资源



总结,其实整个过程还是比较简单的,就是主要的事项比较多,弄清楚对应的关系就很容易配置了。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

黄波 发表于 2020-6-9 09:36
  
感谢分享
新手612152 发表于 2020-6-12 17:25
  

感谢分享
新手517842 发表于 2020-6-14 21:14
  

感谢分享
新手978513 发表于 2020-6-14 21:21
  
感谢分享
新手447211 发表于 2020-6-17 10:25
  

缤纷618,福利送大家! +6 S豆 详情>

感谢分享
暖暖的毛毛 发表于 2020-6-19 15:31
  
很详细,感谢分享哦~
新手530979 发表于 2020-6-30 13:59
  
感谢分享
平凡的小网工 发表于 2020-7-1 19:49
  
步骤详细,图文结合,对于细节和注意事项都有标注,很好的技术贴。:好棒:
蟲爺 发表于 2022-9-4 23:30
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
每日一问
干货满满
新版本体验
产品连连看
GIF动图学习
2023技术争霸赛专题
技术咨询
功能体验
通用技术
秒懂零信任
安装部署配置
原创分享
技术晨报
自助服务平台操作指引
每周精选
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
社区新周刊
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人