关于SSL VPN内置CA证书在aTrust设备上使用相关问题

使用场景：

客户侧目前现有一台SSL VPN设备，又采购或借测了一台aTrust设备，客户在使用SSL VPN设备的时候启用了证书认证，客户在使用aTrust设备时也想使用证书认证，但是aTrust设备截止到标准版本2.4.10，不支持内置CA证书，且没有签发CA证书的功能。客户侧也没有与第三方CA机构没有合作，无法提供第三方CA证书，这个时候该怎么办？

补充：

SSL VPN设备是有内置证书的，并且根证书支持下载。

解决方案：

将SSL VPN设备当做一个CA数字证书签发设备，可以将VPN签发给用户的证书给aTrust设备用户使用；

配置步骤：

1、从SSL VPN设备导出根证书（也就是‘公钥’），这里可以自行选择导出根证书，有国际商用密码标准（RSA）、中国国家密码标准(SM2)两种密码算法。

2、将根证书导入aTrust设备
   1.在[系统管理]-[特性中心]下面找到证书认证并点击启用，开启证书认证；
   2.进入[业务管理]-[认证管理]-[认证服务器]，新增证书认证服务器；
   3.在CA证书配置页面中的CA证书选择框中选择从VPN设备导出的根证书。      

3、从VPN设备签发的用户证书（私钥）直接拿给aTrust用户使用即可（管理员账户使用证书认证同样适用）。

4、如果涉及到USB-KEY认证场景，则正常将vpn签发的数字证书烧制到KEY中则可以实现USB-KEY认证。

注意事项：

1、在VPN设备给用户签发证书的用户名名称需要和aTrust设备保用户名名称持一致，aTrust新增用户认证证书需要在VPN设备新增对应用户签发，aTrust即使导入根证书也不支持给用户签发数字证书；

2、KEY认证场景使用有驱KEY：aTrust在使用SSLVPN的KEY进行用户认证时，仅支持使用有驱KEY，暂不支持使用无驱KEY；

3、截止标准版本2.4.10，aTrust暂不支持给用户签发证书或刷UKEY，需要使用SSL VPN刷KEY后再使用；

4、SSLVPN有内置CA，也可以烧录证书，但是仅限于之前SSLVPN跟飞天诚信合作代购的key，其他的key不行；

一起来学习，一起来学习。。。。。