SANGFOR_SSLVPN_v7.1_第三方CA认证测试指导.pdfVIP

SANGFOR_SSLVPN_v7.1第三方CA认证 测试指导 目 录 1 应用场景2 2 配置步骤2 3 测试效果7 4 注意事项9 1 应用场景 客户向第三方证书机构申请了证书，希望SSLVPN用户通过第三方证书机构颁发的用户 证书登录SSLVPN，实现证书认证登录SSLVPN 必要条件说明： 1、SSLVPN单臂或者网关部署，保证SSLVPN 已经上架部署完毕，普通用户能够正常登 录SSLVPN 2、向第三方证书机构申请认证用的根CA证书和用户证书 2 配置方式及截图 2.1 导入外置CA证书 按照上图在外置CA添加CA根证书，CA证书文件格式一般是*.crt、*.cer、*.p7b,这 里的CA根证书是只包含公钥的，若有多级根证书的情况下需要导入完整的证书链，证书链 相关可以参考：/forum.php?mod viewthreadtid 26019 2.2 外置CA属性配置 ①用户名属性 ： 是指此CA签发的证书中，存放用户名的字段；用户名将显示在客户端主界面上。请根据实 际情况选择，通常为CN （颁发给/主题名)。如图通常是这个颁发给的字段，也就是CN。 ②绑定字段： 指此CA颁发的证书导入到本地时，用户所绑定的证书字段，通过这个字段来界定用户 与证书的对应关系，有如下三个选择： 序列号:证书过期后，CA会重新签发证书，因为新证书的序列号已改变，必须在本地用 户管理中，重新导入新证书； DN：相比证书序列号，可以避免用户证书更新时需要重新导入证书。选择此选项时， 必须保证不同证书的DN名是唯一的； OID：与DN类似，通常需要填写存放用户名等唯一标识用户的OID属性。 ③证书编码 指证书文件中字符的编码格式，如果CA及CA签发证书中包含中文或其它字符，请选择 正确的证书编码，否则证书编码格式配置不正确会导致证书认证时提示证书不合法。 2.3 证书信任及授权设置 证书信任及授权的配置有如图两种配置方式 (1) 仅信任该CA签发的，并且已经导入到本地的证书用户 选择 【仅信任该CA签发的，并且已经导入到本地的证书用户】需要将用户证书导入到 本地用户管理中，用户才能登陆，若证书未导入则用户不允许登录，并且会提示证书不合法。 导入用户的具体操作也有两种方式： ①用户在本地已经存在，需要将用户证书导入与用户绑定 在 【SSL VPN设置】- 【用户管理】编辑指定用户，可以在用户 【基本属性】看到 【数 字证书/USB-KEY】的选项，然后选择 【导入证书】 证书导入完成后会在用户属性显示用户绑定的证书序列号 【注意】：用以上方法导入用户证书时，导入的用户证书的颁发给字段需要与本地用户的用 户名一致，否则会提示”证书的使用者和用户名不符合，无法导入该证书” ②SSL VPN本地没有该用户，又需要把证书导入到SSL VPN设备 在 【SSL VPN设置】- 【用户管理】- 【导入】- 【从文件导入】选择从数字证书中导入 用户，导入时选择好用户证书所属对应CA 即可，导入成功后设备上会自动根据外置CA配置 好的【用户名属性】字段自动创建证书认证用户。若有批量导入证书用户的需求，导入批量 证书包.zip(大小不超过20M)即可 【备注】 如果是用户证书已经下发到用户，或者用户证书是已经导入到usb-key里面的情况下需 要将用户证书导入到SSLVPN设备，可以从浏览器里导出cer格式的证书，再导入到SSLVPN 设备 具体操作：打开IE，在 【工具】- 【internet选项】- 【内容】- 【证书】- 【个人】找 到对应的用户证书选择导出 第三方CA 的用户证书是由第三方证书机构颁发的，需要导入时也可以直接联系证书机 构获取 (2)信任该CA签发的所有证书用户 选择 【信任该CA签发的所有证书用户】则需要配置好映射规则将本不存在于本地的用 户映射到一个本地的用户组，使其拥有这个组的组策略、认证方式以及角色授权 证书用户的组映射实现原理是通过用户证书的DN字段进行匹配的，具体示例如下 用户”测试”的CN为CN 测试,O JIT,C CN,那么要为其配置组映射，将O JIT,C CN 的 用户都映射给 “测试”这个本地