Array spx-AAA配置手册

AAA配置手册AAA配置手册1证书认证配置1.1客户端证书校验（双因素）客户端证书校验指的是在用户等登陆SPX时，SPX检查客户端是否安装了数字证书，只有安装了正确的数字证书才允许登陆，同时检查用户的用户名和口令。只有两个条件都满足才能正常登陆，所以称为双因素认证。1.1.1为SPX申请服务器证书采用证书认证时，首先要为SPX申请一个服务器证书，该证书需要向证书颁发机构申请。首先，向证书颁发机构（CA）提交证书申请。将SPX站点的CSR/Key复制下来，如图所示：其次，打开证书申请页面，依次选择“申请一个证书”→“高级证书申请”→“使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请”。将SPX的CSR/Key粘贴到文本框中，然后提交申请。如图所示：待CA颁发了这个证书后，再次打开证书申请页面，依次选择“查看挂起的证书申请的状态”→“保存的证书申请”，按AAA配置手册照“Base64编码”格式下载证书。如图所示：1.1.2为SPX导入证书将下载的证书用“记事本”程序打开，如图所示：将文本中的内容全部复制出来，包括开始标记和结束标记。然后将这段内容导入到SPX的证书中，同时将这个新导入的证书设置为默认证书。如图所示：AAA配置手册以上是WebUI方式导入，下面是命令行导入ENSS-CLI(config)$sslimportcertificateEntercertificate,use...onasingleline,withoutquotestoterminateimport-----BEGINCERTIFICATE-----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配置手册CzjXgxzOpAgOWg1cKzzxyArfywCjybdpy8oWOLBvZ4njKHqCkBMUVGSPuQsN5KFm2TgocE8cr5blg8oOuxpbVRAoSi4bd9ysf97/rdNLnYsyIlnptoOqSjk5EKt6X5bmrt1kY/htKCVRpZhhJLcWFUrljYQ6h4ELL9pDIwlBtCJUJweBfGs0nWepobRE/Nqo9tNOpgmNGD45Yv3bKaX0t/qIo+Nyg9SQjp68vAs5WTv4NxKfRLduJuaOcEEZJWXlwYB8xm1wSvo4QjklR9z3nvoRJCM7KQhex7QCAA67JecYL/V1WJrNKBpx8bEb9+FpojX/D3bfJ6z3-----ENDCERTIFICATE-----...PEMformatCertificateimportsuccessful1.1.3导入CA根证书想要导入的证书生效，还必须将颁发这个证书的CA根证书导入SPX，这样SPX才能确认证书的依赖关系。在导入CA根证书前，首先要将根证书的编码格式转换为“Base64编码”然后再导入SPX。然后在SPX的根证书导入页面将这个证书导入。如图所示：命令行导入ENSS-CLI(config)$sslimportrootcaEnterthetrustedrootCAcertificatefileinPEMformat,use...onasingleline,withoutquotestoterminateimportAAA配置手册-----BEGINCERTIFICATE-----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导入证书后启用SSLENSS-CLI(config)$sslsettingsclientauthENSS-CLI(config)$sslstart1.1.4设置SPX证书认证选项在SPX配置页面打开“EnableClientAuthentication”选项，如图所示：AAA配置手册此时，证书和口令双因素认证在SPX上已经配置完成了。此时访问SPX会出现“选择数字证书”的提示框，因为没有证书，所以不能访问。想要正常访问，就需要客户端也申请相应的浏览器证书（必须是为SPX颁发服务器证书的CA），这个证书要与SPX的证书想对应，应该在同一个CA上申请。1.1.5申请客户端证书浏览器证书的申请与服务器证书申请类似，在证书申请页面上依次选择“申请一个证书”→“Web浏览器证书”。在出现的页面上填好相应的注册信息然后提交。等待CA颁发了这个证书后，再次打开证书申请页面，依次选择“查看挂起的证书申请的状态”→“Web浏览器证书”→“安装此证书”。安装完成后会在客户端的证书下面看到这个证书，证书的主题就是申请证书时填写的内容。AAA配置手册此时，安装了证书的客户端就可以正常访问SPX了。首先，会出现“选择数字证书“提示框。选择刚申请的证书，证书正确后会出现SPX登陆界面。输入用户名和密码完成登陆。1.2客户端证书认证客户端证书认证指的是客户端只要安装了数字证书即可登陆，不再需要用户名和口令。这种认证方式同样需要为SPX和Web浏览器申请证书，证书的申请、导入和安装与1.1所述相同，这里就不再重复了，不同的地方在于SPX的设置。1.2.1设置SPX认证方式在SPX的AAA配置页面中，将认证方法设置为“Cert-Anonymous“。1.2.2SPX关闭AAA将SPX的AAA关闭，在关闭AAA之前，首先要关闭站点的“SessionReuse“功能AAA配置手册将上图中的勾去掉即可。其次，将站点的“AAA“关闭，去掉勾即可。此时，客户端证书认证已经配置完成，接下来就是为客户端申请Web浏览器证书，方法与1.1中所述相同，申请好证书后就可以访问了。1.3客户端证书字段校验客户端证书字段校验是指当用户登陆SPX时，SPX不只判断客户端有无证书，而且针对证书的某个字段进行校验，只有通过校验的用户才能登陆。与1.2相比，这种认证方法更加安全。同样，这用认证方式也需要为SPX和Web浏览器申请证书，证书的申请、导入和安装与1.1所述相同。1.3.1设置证书校验字段在SPX的AAA配置页面中，配置证书认证选项，设置校验字段。选项下面列出了可以校验的字段，选择其中一个作为校验字段，这里以subject.cn为例，这个字段是指校验证书中的“姓名“字段。ValidateMethodUsing的两个选项分别为LocalDB和LDAP，意思是用户建立在LocalDB还是LDAP，用户建立在哪里这里就选择哪个选项，与下面的建立用户对应。AAA配置手册1.3.2设置SPX认证方式在SPX的AAA配置页面中，将认证方法设置为“Cert-Challenge“。1.3.3建立用户在LocalDB或者LDAP中建立相应字段的用户名和口令，用户名就是所校验字段的值。我们校验的字段是“subject.cn”，这个字段的值为“sxg”。所以，应该建立一个用户名为sxg的用户。此时，客户端证书字段校验就