SANGFOR SSL v6.度渠道高级认证培训02 用户认证进阶培训.ppt

第三方CA证书认证 配置指导 CA简介 CA(Certificate Authority)认证中心是权威、公正的第三方机构，专门负责发放并管理数字证书。CA主要用于证书颁发、证书更新、证书吊销、证书状态的在线查询，证书认证等。CA通常建立多个层次的证书颁发机构X509标准规定建立分层的、呈树状结构的CA组织模式。 SSL VPN除了支持自建CA外，同时也支持结合第三方CA做证书认证。 数字证书 根证书：根证书是CA认证中心给自己颁发的证书，是信任链的起始点。根证书是一份特殊的证书，它的签发者是它本身，下载根证书表示对该根证书以下所签发的证书都表示信任。 用户证书：由CA中心颁发的个人证书，用于终端用户登录各种应用系统，可存于KEY 等介质。 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，它由CA机构心发行，用来识别对方的身份。 设备证书：也称服务器证书，该证书将安装在服务器端(SSL设备)，向尝试建立连接的客户端提供服务器身份、证书和公钥信息，使用证书和公钥在客户端和SSL VPN之间建立一条安全、加密的通道，将客户端与SSL设备之间传输数据进行加密。 SANGFOR SSL VPN结合第三方CA使用时与自建CA的区别是根证书、服务器证书和用户证书都是由第三方CA颁发的。 SSLVPN结合第三方CA认证流程 用户证书登录过程 证书申请下发过程 第三方CA认证配置指导 配置步骤： 1、SSL VPN设备生成证书请求，保存下来提交给第三方CA。 2、将第三方CA颁发的根证书、设备证书导入SSL VPN设备（设备证书可不导入），并配置相关配置。 3、从第三方CA申请用户证书。 4、配置证书认证用户、资源、角色等，然后登录进行测试。 第三方CA认证配置指导 1、在【系统设置】配置界面下选择【系统配置】，再选中【设备证书】选项，生 成一个证书请求，填写相关参数，并将证书请求保存下来： 2、将证书请求提交给第三方CA，申请根证书、服务器证书（即设备证书）、用 户证书 第三方CA认证配置指导 3、将获得的CA根证书和设备证书导入SSL VPN设备 导入根证书 导入服务器证书 注:如不导入第三方服务器证书，则由 SSL设备本身的设备证书建立加密隧道 第三方CA认证配置指导 4、配置证书认证用户进行登录，两种创建方式： 方法1：通过批量导入用户方式建立用户帐号（或手动建立用户） 注：使用这种方法导入用户，需要勾选“信任该CA签发的所有证书用户” 第三方CA认证配置指导 方法2：通过导入用户证书建立证书认证用户 注：对比方法1，方法2需要先拿 到用户证书并导入才能创建用户。 推荐使用方法1。 WebService短信认证配置指导 WebService简介 短信认证的WebService，其原理是向某个URL地址传递一些参数，WebService短信网关的接口接收到这些参数后就会根据参数发送短信。 在配置WebService的过程中，需要用到wsdl文件。wsdl文件是描述WebService的接口信息的文件，里面包含了WebService短信网关发短信、收短信等接口的xml信息。我们设备上可以通过此wsdl文件生成短信模板，将文件中发短信的接口的xml剥离出来，后续设备发短信的时候就会根据这个xml来向指定的URL传递参数。 SSL设备VPN可以通过WebService短信网关的接口，结合做短信认证。 WebService配置指导 1、配置WebService 基本信息（从客户获取WebService接口文档进行配置） 2、配置WebService发送短信模板（将客户提供的wsdl文件导入） WebService配置指导 3、根据客户提供的WebService接口文档，结合我们的参数变量，对各参数进行修正，将模板中的固定值替换成我们设备规定的参数变量。 替换参数变量 4、点击测试，确认能否收到短信，如果还不行则需检查参数是否正确，根据系统调试日志，和第三方短信厂商沟通确认参数是否正确。 WebService配置指导 如果客户使用的是http get或者http post方式的短信认证，如IE浏览器里面输入如下的信息便可发送短信的方式： 11/GsmsHttp?username=10002:suncypassword=888tocontent=hello 其中： 11/GsmsHttp? 为发短信的网站 10002:suncy 为用户名 888 为密码为接收短信的手机号码 Hello 为短信的内容 如果是上述方式，则按以下进行步骤配置即可： 1、URL 地址一般取上述发送短信URL“？”之前部分，编码和请求类型按实际情况填写。 2、把URL的后半部分添入到里 面并将