《Arrayspx-AAA配置手册.doc》由会员分享,可在线阅读,更多相关《Arrayspx-AAA配置手册.doc(22页珍藏版)》请在启牛文库网上搜索。
1、 AAA配置手册AAA配置手册1 证书认证配置1.1 客户端证书校验(双因素) 客户端证书校验指的是在用户等登陆SPX时,SPX检查客户端是否安装了数字证书,只有安装了正确的数字证书才允许登陆,同时检查用户的用户名和口令。只有两个条件都满足才能正常登陆,所以称为双因素认证。1.1.1 为SPX申请服务器证书采用证书认证时,首先要为SPX申请一个服务器证书,该证书需要向证书颁发机构申请。首先,向证书颁发机构(CA)提交证书申请。将SPX站点的CSR/Key复制下来,如图所示:其次,打开证书申请页面,依次选择“申请一个证书”“高级证书申请”“使用base64编码的CMC或PKCS #10文件提交一
2、个证书申请,或使用base64编码的PKCS #7文件续订证书申请”。将SPX的CSR/Key粘贴到文本框中,然后提交申请。如图所示:待CA颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状态”“保存的证书申请”,按照“Base64编码”格式下载证书。如图所示:1.1.2 为SPX导入证书 将下载的证书用“记事本”程序打开,如图所示:将文本中的内容全部复制出来,包括开始标记和结束标记。然后将这段内容导入到SPX的证书中,同时将这个新导入的证书设置为默认证书。如图所示:以上是WebUI方式导入,下面是命令行导入ENSS-CLI(config)$ssl import cert
3、ificate Enter certificate, use . on a single line, without quotes to terminate import-BEGIN CERTIFICATE-MIIDxTCCAq2gAwIBAgIKYU1rpAAAAAAABTANBgkqhkiG9w0BAQUFADASMRAwDgYDVQQDEwdFTlNTIENBMB4XDTA3MDcyNDEwMzcwOVoXDTA4MDcyNDEwNDcwOVowgZcxCzAJBgNVBAYTAmNuMRAwDgYDVQQIEwdiZWlqaW5nMQswCQYDVQQHEwJiajEWMBQGA1UE
4、ChMNYXJyYXluZXR3b3JrczEOMAwGA1UECxMFYXJyYXkxFjAUBgNVBAMTDTE5Mi4xNjguMC4xODkxKTAnBgkqhkiG9w0BCQEWGmFkbWluQGFycmF5bmV0d29ya3MuY29tLmNuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDrZvN0pwAi8Pjs+jQGINwJbYgcBXBiMdxQ828WhUg2SLgcuTF2VukWHGt2fPoLkJGbolE3zNXEDExnmnhkDVLOj98VVx9VPbE2j8cbgAIY1q+nsNFXg1Qyrsxs9SD4s6SX
5、K1P7KnQ9NfASrWLSLT/z4k+IpeKBlrc5q4gghJAofQIDAQABo4IBGTCCARUwHQYDVR0OBBYEFMmG0VnRdi9z/UuMBg6gcZSHCY71MB8GA1UdIwQYMBaAFJt8i+njD2DTDzghzrkrO12CuuQsMFkGA1UdHwRSMFAwTqBMoEqGI2h0dHA6Ly9qaHkvQ2VydEVucm9sbC9FTlNTJTIwQ0EuY3JshiNmaWxlOi8vXFxqaHlcQ2VydEVucm9sbFxFTlNTIENBLmNybDB4BggrBgEFBQcBAQRsMGowMwYIKwYBBQUH
6、MAKGJ2h0dHA6Ly9qaHkvQ2VydEVucm9sbC9qaHlfRU5TUyUyMENBLmNydDAzBggrBgEFBQcwAoYnZmlsZTovL1xcamh5XENlcnRFbnJvbGxcamh5X0VOU1MgQ0EuY3J0MA0GCSqGSIb3DQEBBQUAA4IBAQCoiPB/SLgsCzjXgxzOpAgOWg1cKzzxyArfywCjybdpy8oWOLBvZ4njKHqCkBMUVGSPuQsN5KFm2TgocE8cr5blg8oOuxpbVRAoSi4bd9ysf97/rdNLnYsyIlnptoOqSjk5EKt6X5bmrt1kY/ht
7、KCVRpZhhJLcWFUrljYQ6h4ELL9pDIwlBtCJUJweBfGs0nWepobRE/Nqo9tNOpgmNGD45Yv3bKaX0t/qIo+Nyg9SQjp68vAs5WTv4NxKfRLduJuaOcEEZJWXlwYB8xm1wSvo4QjklR9z3nvoRJCM7KQhex7QCAA67JecYL/V1WJrNKBpx8bEb9+FpojX/D3bfJ6z3-END CERTIFICATE-.PEM formatCertificate import successful1.1.3 导入CA根证书想要导入的证书生效,还必须将颁发这个证书的CA根证书导入SPX,这样
8、SPX才能确认证书的依赖关系。在导入CA根证书前,首先要将根证书的编码格式转换为“Base64编码”然后再导入SPX。然后在SPX的根证书导入页面将这个证书导入。如图所示:命令行导入ENSS-CLI(config)$ssl import rootca Enter the trusted root CA certificate file in PEM format, use . on a single line, without quotes to terminate import-BEGIN CERTIFICATE-MIIDXDCCAkSgAwIBAgIQKHOO6T3MlbdLEcoqBiB
9、l3zANBgkqhkiG9w0BAQUFADASMRAwDgYDVQQDEwdFTlNTIENBMB4XDTA3MDcyNDAxNTQ1NVoXDTEyMDcyNDAyMDQxN1owEjEQMA4GA1UEAxMHRU5TUyBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALZm+bA1jW8QtNek5QPJUsaxk1sB7F38S402TY6Rg4S/oG2kMQXmHwuxE9Px4CbY1t9zAtrHSRyfPEot0fJRAMEWSyf9pPkA29ahDSpi6G/pLKZ978X9cdq23ohs1F8EE97u5i+8T9j
10、wPA4Q4tOfv2y0h4oNUAiyKJmahcyHGfi0fAu1ccILni/rtG1f5r2BqW0DnqKTagI3xXzpJDDCMODSTcCkPPnVbftWfyJ/6Mk6R3wXihgL/ol1LXB4s46I+jlceBnK+WWdzP5C+S8JstwNAeS0qEp/cpdUwp5JAZVzlrl46my2lmRd9bFta2RZsWDhumTHPFNmswf2aLkCYkCAwEAAaOBrTCBqjALBgNVHQ8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUm3yL6eMPYNMPOCHOuSs7XYK65Cww
11、WQYDVR0fBFIwUDBOoEygSoYjaHR0cDovL2poeS9DZXJ0RW5yb2xsL0VOU1MlMjBDQS5jcmyGI2ZpbGU6Ly9cXGpoeVxDZXJ0RW5yb2xsXEVOU1MgQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEBBQUAA4IBAQBdWBDvZGX2gHDv8QEub51UtHwMMUrUdv0NgpZxou9uCFMZhtv2V+tq7J9GAF4FeTCEx77vwB7DXWQXjntlBauVYkPFF2D9vuZTpHL0jiKELY7fHcqsRp+hicshjjK3xAo0
12、RDSy4dSzwBekhJ5YJY3wJgd6NAmAX7dRwntjl9rlNBViQTs/Rfs8cdH5QAZDm07S9t2ZUXcvhcKRf620Ijj9Bb/DPhid5xOj2f3Qpi8vnr/eswNhgRKQT+4l/9jcldWQtplqtvGgtMAVWjwn8oH0Up51lnYOYzinWkFfSc5c24peUM/4qWtO31iUVtJW+/gnuViQO09tCQAV6piWV6P-END CERTIFICATE-.importing. please wait.Root CA certificate import successful导入证书后启用SSLE
13、NSS-CLI(config)$ssl settings clientauthENSS-CLI(config)$ssl start1.1.4 设置SPX证书认证选项在SPX配置页面打开“Enable Client Authentication”选项,如图所示:此时,证书和口令双因素认证在SPX上已经配置完成了。此时访问SPX会出现“选择数字证书”的提示框,因为没有证书,所以不能访问。想要正常访问,就需要客户端也申请相应的浏览器证书(必须是为SPX颁发服务器证书的CA),这个证书要与SPX的证书想对应,应该在同一个CA上申请。1.1.5 申请客户端证书浏览器证书的申请与服务器证书申请类似,在证书
14、申请页面上依次选择“申请一个证书”“Web浏览器证书”。在出现的页面上填好相应的注册信息然后提交。等待CA颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状态”“Web浏览器证书”“安装此证书”。 安装完成后会在客户端的证书下面看到这个证书,证书的主题就是申请证书时填写的内容。 此时,安装了证书的客户端就可以正常访问SPX了。首先,会出现“选择数字证书“提示框。选择刚申请的证书,证书正确后会出现SPX登陆界面。输入用户名和密码完成登陆。1.2 客户端证书认证客户端证书认证指的是客户端只要安装了数字证书即可登陆,不再需要用户名和口令。这种认证方式同样需要为SPX和Web浏览
15、器申请证书,证书的申请、导入和安装与1.1所述相同,这里就不再重复了,不同的地方在于SPX的设置。1.2.1 设置SPX认证方式在SPX的AAA配置页面中,将认证方法设置为“Cert-Anonymous“。1.2.2 SPX关闭AAA将SPX的AAA关闭,在关闭AAA之前,首先要关闭站点的“Session Reuse“功能将上图中的勾去掉即可。其次,将站点的“AAA“关闭,去掉勾即可。此时,客户端证书认证已经配置完成,接下来就是为客户端申请Web浏览器证书,方法与1.1中所述相同,申请好证书后就可以访问了。1.3 客户端证书字段校验 客户端证书字段校验是指当用户登陆SPX时,SPX不只判断客户端有无证书,而且针对证书的某个字段进行校验,只有通过校验的用户才能登陆。与1.2相比,这种认证方法更加安全。 同样,这用认证方式也需要为SPX和Web浏览器申请证书,证书的申请、导入和安装与1.1所述相同。1.3.1 设置证书校验字段在SPX的AAA配置页面中,配置证书认证选项,设置校验字段。选项下面列出了可以校验的字