设置防火墙https证书认证-FGT、配置管理、用户认证_20091019.pdfVIP

更多资料 欢迎您的光临! 设置防火墙https 证书认证 说明： 本文档针对所有FortiGate 设备的https 证书认证配置进行说明。一般情况下 当客户端用https 访问防火墙时不需要提供数字证书，在启用证书认证后客户端 必须提供有效的数字证书才可以通过认证，访问设备。使用数字证书简化了密钥 的管理，同时增加了访问安全性。更多： 环境介绍： 本文使用FortiGate400A 做演示。本文支持的系统版本为FortiOS v3.0 及更 高。 准备工作： 在开始之前需要装有证书颁发机构的windows server ，并要对PKI 架构有基 础认识。 参考：/zh-cn/library/cc771400%28WS.10%29.aspx 本例使用IE 浏览器，CA 服务器为server2003 ip：3，客户端为windows xp 步骤一：在防火墙上安装CA 证书 在PC 上IE 浏览器输入3/certsrv/进入证书服务首页，点击下载一个 CA 证书，证书链或 CRL 下载当前CA 的根证书，编码选择Base64 ，点击下载 CA 证书将CA 根证书下载到本地。 在防火墙的系统――证书――CA 证书中点击导入证书，选择刚才下载的CA 的 根证书点击上传。然后可以看到新上传的CA 根证书。 步骤二：在客户端申请证书 进入证书服务首页，点击申请一个证书，点击Web 浏览器证书，如下图 填写相关信息，国家（地区）为CN 在证书得到批准后可以安装此证书 文章来源于 感谢阅读！讨论地址：/forum-10-1.html - 1 - 更多资料 欢迎您的光临! 点击开始――运行――cmd，输入ｍｍｃ进入控制台。文件――添加删除管理单 元，点击添加，选择证书――我的用户帐户，就可以看到当前用户证书控制台。 在个人――证书中可以看到上面申请的证书。本例为pc1-test 双击pc1-test 会看到详细信息，请记住它的CN 是pc1-test，在下面的防火墙 配置中会用到 步骤三： 启用https 证书认证 在防火墙的设置用户――PKI 点击新建，定义一个名称。 标题：是可选项，它匹配证书中的 CN 内容。本例中标题是 pc1-test，因此只 有CN 是pc1-test 的证书才可以通过认证，如果此选项不写，则所有该CA （证 书颁发机构，本例为windows server 主机）颁发的有效证书都可以通过认证。 CA：选择步骤一中安装的CA 根证书。 文章来源于 感谢阅读！讨论地址：/forum-10-1.html - 2 - 更多资料 欢迎您的光临! 在设置用户――用户组中点击新建，定义一个名称。 类别：防火墙 组员：定义好的pki 用户 在系统――管理员设置中点击新建，名称为CA。类型为PKI。用户组为定义好的 pki 用户组。 在CLI 下输入： config sys global 文章来源于 感谢阅读！讨论地址：/forum-10-1.html - 3 - 更多资料 欢迎您的光临! set admin-https-pki-required enable 启用https 证书认证功能 end 步骤四：访问防火墙 使用https 方式访问防火墙，提示要出示证书，选择有效的证书点击确定 登入后再当前用户中可以看到CA 用户 下图是IE 中的证书选项 更多： 文章来源于 感谢阅读！讨论地址：/forum-10-1.html - 4 -