本帖最后由 许满全 于 2024-11-11 14:58 编辑
使用场景:客户侧目前现有一台SSL VPN设备,又采购或借测了一台aTrust设备,客户在使用SSL VPN设备的时候启用了证书认证,客户在使用aTrust设备时也想使用证书认证,但是aTrust设备截止到标准版本2.4.10,不支持内置CA证书,且没有签发CA证书的功能。客户侧也没有与第三方CA机构没有合作,无法提供第三方CA证书,这个时候该怎么办?
补充: SSL VPN设备是有内置证书的,并且根证书支持下载。
解决方案: 将SSL VPN设备当做一个CA数字证书签发设备,可以将VPN签发给用户的证书给aTrust设备用户使用;
配置步骤: 1、从SSL VPN设备导出根证书(也就是‘公钥’),这里可以自行选择导出根证书,有国际商用密码标准(RSA)、中国国家密码标准(SM2)两种密码算法。 2、将根证书导入aTrust设备
1.在[系统管理]-[特性中心]下面找到证书认证并点击启用,开启证书认证;
2.进入[业务管理]-[认证管理]-[认证服务器],新增证书认证服务器;
3.在CA证书配置页面中的CA证书选择框中选择从VPN设备导出的根证书。
3、从VPN设备签发的用户证书(私钥)直接拿给aTrust用户使用即可(管理员账户使用证书认证同样适用)。
4、如果涉及到USB-KEY认证场景,则正常将vpn签发的数字证书烧制到KEY中则可以实现USB-KEY认证。 注意事项: 1、在VPN设备给用户签发证书的用户名名称需要和aTrust设备保用户名名称持一致,aTrust新增用户认证证书需要在VPN设备新增对应用户签发,aTrust即使导入根证书也不支持给用户签发数字证书; 2、KEY认证场景使用有驱KEY:aTrust在使用SSLVPN的KEY进行用户认证时,仅支持使用有驱KEY,暂不支持使用无驱KEY; 3、截止标准版本2.4.10,aTrust暂不支持给用户签发证书或刷UKEY,需要使用SSL VPN刷KEY后再使用; 4、SSLVPN有内置CA,也可以烧录证书,但是仅限于之前SSLVPN跟飞天诚信合作代购的key,其他的key不行; |