【SSL】第三方CA映射规则不生效

更新时间：2023-01-05

所属模块认证设置 | 证书与USB-KEY认证

适用版本通用

配置第三方CA认证，做映射规则；客户端登录后未匹配对应的映射组

1、在SSL 控制台启用日志调试后，在客户端登录后问题的USB/KEY或第三方CA证书登录；搜索cert_dn（日志中可以看到）进行查看；

如：

cert_dn=/CA=11/OU=UID:深信服科技/CN=ceshi/OU=CTI/O=深信服科技/emailAddress=ceshi@citvc.com

1、从证书认证提交的证书信息当中识别到的cert_dn（日志中可以看到）:

cert_dn=/CA=11/OU=UID:深信服科技/CN=ceshi/OU=CTI/O=深信服科技/emailAddress=ceshi@citvc.com

3. 将读取到的dn翻转转换后：

emailAddress=ceshi@citvc.com,O=深信服科技,OU=CTI,CN=ceshi,OU=UID:深信服科技

后续按照逗号逐个截除再和第一步的配置进行比较，也就是要想映射成功，控制台上可以配置的情况有如下情形：

第一种映射方式：

emailAddress=ceshi@citvc.com,O=深信服科技,OU=CTI,CN=ceshi,OU=UID:深信服科技

第二种映射方式：

O=深信服科技,OU=CTI,CN=ceshi,OU=UID:深信服科技

第三种映射方式：

OU=CTI,CN=ceshi,OU=UID:深信服科技

第四种映射方式：

CN=ceshi,OU=UID:深信服科技

第五种映射方式：

OU=UID:深信服科技

可按以上任意一种映射方式填写

情况一：

第一种映射证书存在emailAddress=ceshi@citvc.com字段在最前。而设备映射规则不支持填写email方式；

如：解决方式第一种方式是无法填写，需要跳过第一种方式，使用第二、三、四方式映射；设备匹配证书规则从左至右匹配，中间一个对应匹配不上就映射不成功。

情况二：

证书按照解决方法进行排列证书email恰好在最后面；

如：

O=深信服科技,OU=CTI,CN=ceshi,OU=UID:深信服科技,emailAddress=ceshi@citvc.com

OU=CTI,CN=ceshi,OU=UID:深信服科技,emailAddress=ceshi@citvc.com

OU=UID:深信服科技,emailAddress=ceshi@citvc.com

emailAddress=ceshi@citvc.com

最后是无法填写email的，需要客户侧调整证书顺序；

{{contentObj.name||'--'}}