辅助认证作为主认证(如本地账号密码认证)的补充,可以提升认证的可靠性以及满足等保法规要求,常见的辅助认证方式有短信、totp认证等。
此外,设备还支持导入第三方CA颁发的根证书,在用户进行二次认证时,通过浏览器读取终端系统的文件证书(软证书)或U-Key证书中的用户信息,实现证书双因素认证。
:
1.由于使用场景不同,因此证书(主)认证和证书辅认证是分别设置的。
2.使用证书认证时,要求设备本地的证书认证用户所对应的组织架构,要和外部CA所对应的用户组织架构一致。
3.证书辅认证和证书(主)认证复用一个认证端口。
4.支持导入商密CA根证书,支持配置商密U-key,但是仅支持在windows终端使用商密U-key进行证书辅认证,且不支持以证书文件方式进行证书辅认证。
5.独立客户端不支持普密证书辅认证,需要跳转到web认证页面进行普密证书辅认证。
6.最多支持导入10个CA证书。
7.部分浏览器可能存在证书认证不兼容的场景,建议使用IE浏览器。
表26证书辅认证操作说明表
|
操作 |
说明 |
|
状态 |
设置CA证书认证服务器是否启用。 |
|
名称 |
设置认证服务器的名称。 |
|
描述 |
设置认证服务器的描述,非必填项。 |
|
CA证书名称 |
设置CA证书的名称 |
|
CA证书 |
导入CA证书,支持扩展名*.crt,*.cer,*p7b。 |
|
商密U-KEY配置 |
商密U-KEY的场景,需要上传对应key驱动的动态库文件路径,用于认证时可以读取到该key,这个路径具体可咨询相关硬件key供应厂商。 |
配置证书辅认证,实现在完成本地账号密码认证后做二次认证,满足双因素认证的要求。
预制条件
获取证书认证的CA根证书(支持证书的扩展名有:.crt、.cer、.p7b),和用户证书(用户证书安装在用户电脑本地)。
证书认证服务器需一个单独的端口做认证,建议端口号大于1024。如有外网用户使用证书认证,需将对应的aTrust控制中心端口映射到公网(如:配置的端口为6660,则需将6660做一对一映射到公网)。
客户提供证书认证服务器配置所需的授权服务器、证书认证端口、CA证书等信息。
配置指导
如有商密key的场景,则还需要上传对应的动态库文件路径,这个路径可以咨询对应的国密key供应商,如不填写该动态库文件路径,会导致认证时无法识别到该国密硬件key。
4. 完成证书辅认证的配置后,在[业务管理/认证管理/认证策略]中选择测试用户的认证策略,在该用户的认证策略的二次认证中选择证书辅认证。
5.本地PC获取用户证书后,双击证书根据向导的提示安装证书。
6.安装完成后,浏览器输入客户端接入地址,选择本地认证并输入账号密码进行校验。
通过认证后,用户登录成功,可以在在线用户列表中看到用户以“账号认证+证书辅认证”的方式上线。
建议使用Chrome浏览器访问!
