#原创分享#零信任aTrust系统部署最佳实践之aTrust web应用

序言：

        随着aTrust零信任产品和idTrust统一身份认证系统的不断更新迭代，并逐渐承载客户的网络访问和业务应用，大家在日常的工作中也会经常遇到aTrust和idTrust的使用场景，如何高效快速的进行安全部署和功能应用上线呢？本着学习交流的心态，在此立贴记录，将逐步更新aTrust和idTrust新产品相关知识，从入门级安装部署，到基础功能业务配置，再到常见问题排错。欢迎大家发帖交流。

———————————————————第四章aTrust之web应用———————————————

零信任aTrust部署——aTrust之web应用

一、功能配置简介

1.1web应用简介

       公司已经存在网页访问的业务系统，在配置了零信任之后，希望内网和外网访问时，仍以之前的域名方式访问，做到无感知切换。

1.2配置条件

配置web应用需要满足如下基础条件：

1. 应用地址可以为IP或域名

2. 访问地址必须为域名，不能为IP

3. 授信证书需剔除后缀域名与访问地址后缀域名不相同的证书

4. 授信证书默认选中顺序：相同单域名证书>包含该域名的多域名证书>泛域名证书>包含该域名后缀的泛域名证书的混合域名证书>内置证书

备注：若没有3和4的证书也可以配置，访问网页时会有不安全的告警提示

本例环境：

控制中心地址：10.1.4.1，互联网地址：10.0.1.152

控制中心访问域名：www.atrust.666majie.com

认证端口：443

代理网关地址：10.1.4.2，互联网地址：10.0.1.153

隧道端口：441

业务系统：10.1.2.1，域名www.oa.666majie.com

互联网设备端口映射：

本例发布了https443的web应用。故互联网出口设备需要映射，控制中心认证端口443，代理网关隧道端口441，web应用的443端口。

二、配置步骤

1.登陆SDPC，进入【业务管理】-【应用管理】-【应用列表】中，新增应用

2.选择应用访问模式为Web模式，并选择需要Proxy代理的节点

3.配置后端访问地址，可为域名或者IP，若为域名则Proxy必须要能解析，本例中为域名为例，

注：后端服务器地址为真实业务系统地址，代理网关需要正常解析或访问

4.配置前端访问地址，必须为域名，该地址的解析需要解析到Proxy上。例如，客户之前访问业务系统为www.oa.666.majie，且以https为例，用户在互联网访问该域名，会解析到代理网关的地址10.0.1.153

5.配置授信证书，若有授信证书可导入以消除不授信的告警框，若无可使用内置证书。本例中使用已申请好的证书

6.可选配置安全策略，如水印、URL控制、IP接入限制等

7.配置阻止访问提示语

8.配置HOST记录，使代理网关访问www.oa.666majie.com时，能解析到后端真实服务器的地址

三、效果展示

1、由于用户登录页面也存在不安全告警，本次导入可信证书取消告警

2、本地PC10.0.1.161配置host记录，并访问www.oa.666majie.com系统，会自动跳转登录

3、登录完成之后直接访问到业务系统，由于导入可信证书，访问https是可信的

感谢分享

感谢分享

感谢分享

感谢分享

感谢楼主精彩的分享，将atrust WEB应用配置讲解很详细，并且效果展示也非常好，为新人学习提供了很大的帮助，期待楼主下次分享:感恩:
配置web应用需要满足如下基础条件：
1. 应用地址可以为IP或域名
2. 访问地址必须为域名，不能为IP
3. 授信证书需剔除后缀域名与访问地址后缀域名不相同的证书
4. 授信证书默认选中顺序：相同单域名证书>包含该域名的多域名证书>泛域名证书>包含该域名后缀的泛域名证书的混合域名证书>内置证书

感谢分享，有助于工作，学习学习

感谢分享，有助于工作，学习