SANGFOR_SSL_v6.8_2015年度渠道高级认证培训02_用户认证进阶培训.ppt

第三方CA证书认证 配置指导 CA简介 CA(Certificate Authority)认证中心是权威、公正的第三方机构，专门负责发放并管理数字证书。CA主要用于证书颁发、证书更新、证书吊销、证书状态的在线查询，证书认证等。CA通常建立多个层次的证书颁发机构X509标准规定建立分层的、呈树状结构的CA组织模式。 SSL VPN除了支持自建CA外，同时也支持结合第三方CA做证书认证。 数字证书 根证书：根证书是CA认证中心给自己颁发的证书，是信任链的起始点。根证书是一份特殊的证书，它的签发者是它本身，下载根证书表示对该根证书以下所签发的证书都表示信任。 用户证书：由CA中心颁发的个人证书，用于终端用户登录各种应用系统，可存于KEY 等介质。 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，它由CA机构心发行，用来识别对方的身份。 设备证书：也称服务器证书，该证书将安装在服务器端(SSL设备)，向尝试建立连接的客户端提供服务器身份、证书和公钥信息，使用证书和公钥在客户端和SSL VPN之间建立一条安全、加密的通道，将客户端与SSL设备之间传输数据进行加密。 SANGFOR SSL VPN结合第三方CA使用时与自建CA的区别是根证书、服务器证书和用户证书都是由第三方CA颁发的。 SSLVPN结合第三方CA认证流程 用户证书登录过程 证书申请下发过程 第三方CA认证配置指导 配置步骤： 1、SSL VPN设备生成证书请求，保存下来提交给第三方CA。 2、将第三方CA颁发的根证书、设备证书导入SSL VPN设备（设备证书可不导入），并配置相关配置。 3、从第三方CA申请用户证书。 4、配置证书认证用户、资源、角色等，然后登录进行测试。 第三方CA认证配置指导 1、在【系统设置】配置界面下选择【系统配置】，再选中【设备证书】选项，生 成一个证书请求，填写相关参数，并将证书请求保存下来： 2、将证书请求提交给第三方CA，申请根证书、服务器证书（即设备证书）、用 户证书 培训内容 培训目标 第三方服务器认证 1. 了解SSL VPN支持的第三方服务器认证 LDAP认证 1. 掌握SSL结合LDAP服务器认证的配置步骤 RADIUS认证 1. 掌握SSL结合RADIUS服务器认证的配置步骤 组映射和角色映射 1、了解组映射和角色映射功能的作用 2、掌握组映射和角色映射功能的配置方法 LDAP导入用户 1、掌握LDAP导入用户到本地功能的配置方法 第三方CA认证 1. 掌握SSL结合第三方CA认证的配置步骤 WebService短信认证 1. 掌握SSL结合WebService做短信认证的配置步骤 SSL与第三方结合认证功能介绍及配置 组映射和角色映射功能介绍及配置 LDAP导入用户到本地功能介绍及配置 WebService短信认证配置指导 SANGFOR SSL 第三方CA证书认证配置指导 第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。 第三方服务器认证介绍 LDAP认证： 轻量级目录访问协议。 移动用户接入SSL VPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。SSL VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP 389 第三方服务器认证介绍 RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。 认证交互过程： 1.用户输入用户名和口令； 　　 2.radius 客户端(NAS)根据获取的用户名和口令，向radius 服务器发送认 证请求包（access-request）。 　　 3.radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认 证成功，则将用户的权限信息以认证响应包（access-accept）发送给 radius 客户端；如果认证失败，则返回access-reject 响应包。 RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。 LDAP认证配置介绍 新建LDAP认证服务器，设置相关信息。 添加域服务器的IP和端口 域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为： cn=Administrator,cn=Users,dc=sangfor,dc=com 注意管理员的格式，需要添加域名！ 选择用于认证的LDAP用户账号所在路径 包含该路径下所有子路径的用户账号，不勾选则仅包含该路径下的