零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","管理员证书认证")}}

管理员证书认证

更新时间:2023-09-19

管理员证书认证支持商密和普密,为满足商密合规要求,通常会使用商密证书认证,以下案例通过商密证书/key认证来进行说明。

步骤1在控制中心[系统管理/管理员配置/管理员认证/认证服务器]处点击<新增>按钮添加证书认证。

 

步骤2配置证书认证名称,导入CA证书(支持商密和普密)。

步骤3使用中国商用密码证书进行认证登录时,需要将[系统配置/通用配置/控制台选项/控制台SSL/TLS协议设置 ]的加密方式中启用中国商用密码标准。

 

注意:

因为普通浏览器不支持商密算法,所以管理员使用商密证书认证必须使用国密浏览器登陆控制台,并且如果是需要使用中国商用密码U-Key登录,请根据U-Key厂商指导下载对应的国密浏览器进行登陆。

步骤4如果要进行国密测评,进行抓包证明,需要开启独立的证书认证端口。

启用证书认证端口后也可以解决证书认证浏览器不兼容场景。比如:当【控制台SSL/TLS协议设置】中开启TLS1.3协议算法时,部分浏览器可能会存在证书认证不兼容场景。

 

步骤5在控制中心[系统管理/管理员配置/管理员认证/认证策略]处编辑或新增管理员的认证策略,开启证书认证,然后保存配置即可;

步骤6商密浏览器设置。

1)管理员使用商密浏览器进行证书认证,首先需要启用国密算法,以红莲花安全浏览器为例,进入[设置/GMSSL设置]启用[打开GMSSL]

2)管理员进入[设置/证书及驱动/管理USBKey驱动],点击[导入USBKey驱动],加载管理员使用的ukey对应厂商提供的驱动。

 

步骤7管理员在浏览器打开控制台进行证书/key认证

1)浏览器打开控制台进行主认证,如下:

2)完成主认证后弹出二次认证页面,如下:

3)在电脑上插入商密Ukey,如下:

4)点击登录,选择证书,如下:

5)输入ukey密码,如下:

6)管理员上线成功: