零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","证书辅助配置案例")}}

证书辅助配置案例

更新时间:2023-06-15

配置证书辅认证,实现在完成本地账号密码认证后做二次认证,满足双因素认证的要求。

预制条件

获取证书认证的CA根证书(支持证书的扩展名有:.crt/.cer/p7b),和用户证书(用户证书安装在用户电脑本地)。

证书认证服务器需一个单独的端口做认证,建议端口号大于1024。如有外网用户使用证书认证,需将对应的aTrust控制中心端口映射到公网(如:配置的端口为6660,则需将6660做一对一映射到公网)。

客户提供证书认证服务器配置所需的授权服务器、证书认证端口、CA证书等信息。

配置指导

  1. [系统管理/系统配置/通用配置/客户端接入选项]中开启认证书认证端口并设置其端口值。

  1. 登录SDPC管理平台,在[业务管理/认证管理/认证服务器]点击新增,二次增强认证服务器选择证书认证。
  1. 如果证书认证特性没有开启会弹窗提醒先开启此特性功能,如图,点击确定开启特性即可进入证书认证配置页面。

如有商密key的场景,则还需要上传对应的动态库文件路径,这个路径可以咨询对应的国密key供应商,如不填写该动态库文件路径,会导致认证时无法识别到该国密硬件key

  1. 完成证书辅认证的配置后,在[业务管理/认证管理/认证策略]中选择测试用户的认证策略,在该用户的认证策略的二次认证中选择证书辅认证。

  1. 本地PC获取用户证书后,双击证书根据向导的提示安装证书。

  1. 安装完成后,浏览器输入客户端接入地址,选择本地认证并输入账号密码进行校验。
  2. 校验完本地账号密码后,根据提示选择对应的用户证书进行二次认证。
  3. 通过认证后,用户登录成功,可以在在线用户列表中看到用户以“账号认证+证书辅认证”的方式上线。