更新时间:2023-10-26
功能说明
当需要使用证书认证,当企业内网已部署有CA证书服务器时,管理员可以将VDC设备与CA证书服务器对接,以支持将外部CA为用户签发的证书关联给VDC账户。
前提条件
无。
注意事项
导入VDC的外置CA证书仅支持crt、cer与p7b三种格式。
操作步骤
登录设备控制台,进入[业务中心→认证管理→证书与USB-KEY认证]界面,在“外置CA”处点击<添加>,在【添加外置CA】配置窗口选择外置CA服务器的证书上传即可,CA的名称管理员可依据实际需求自定义以便于识别管理。
- 点击外置CA的名称,可进入【外置CA】配置页面,设置VDC对外置CA签发的证书处理配置。
• 证书属性
“证书属性”处相关配置参数说明如下表所示:
参数 |
作用 |
用户名属性 |
指此CA签发的证书中,存放用户名的字段,用户名将显示在客户端主界面上,支持使用CN、Email前缀和OID作为用户名属性,默认使用CN字段。 |
绑定字段 |
指此CA颁发的证书导入到本地时,用户所绑定的证书字段,用于VDC识别此证书对应哪个用户,平台支持的绑定字段如下所示,默认使用序列号字段:
- 序列号:证书过期后,CA会重新签发证书,因为新证书的序列号已改变,必须在本地用户管理中,重新导入新证书;
- DN:相比证书序列号,可以避免用户证书更新时需要重新导入证书。选择此选项时,必须保证不同证书的DN名是唯一的;
- OID:与DN类似,通常需要填写存放用户名等唯一标识用户的OID属性。
|
证书编码 |
用于设置此CA签发的证书使用的编码格式,以保证VDC可以正确识别证书内容。 |
• 证书信任及授权
“证书信任及授权”处管理员可配置VDC对外置CA签发的用户证书信任模式,支持“仅信任该CA签发的,并且已经导入到本地的证书用户”和“信任该CA签发的所有证书用户”两种模式,默认为“仅信任该CA签发的,并且已经导入到本地的证书用户”模式。两种模式说明如下表所示:
信任模式 |
作用 |
仅信任该CA签发的,并且已经导入到本地的证书用户 |
当设置为此模式时,只有当用户证书被导入到VDC设备,用户才能通过该用户证书登录VDI |
信任该CA签发的所有证书用户 |
当设置为此模式时,只要是外置CA颁发的有效用户证书,都允许登录VDI。对于没有导入到VDC设备本地的用户证书,将会按照映射规则对应到VDC本地的一个用户组,使得相关用户拥有这个用户组的组策略与认证方式。 |
映射规则配置方式如下:
- 在“证书信任及授权”设置为“信任该CA签发的所有证书用户”模式时,点击<配置映射规则>,进入【设置映射规则】配置窗口,在“未定义映射规则的,默认将映射到组”处,可设置将未导入到VDC本地的用户证书对应用户自动以指定的用户组上线,让用户拥有指定的用户组所拥有的权限;
- 对于需要使用特定用户组上线的证书用户,可点击<添加>,在【添加外部证书用户映射规则】配置窗口,通过指定证书DN映射到VDC本地用户组。
• 证书撤销列表
在“证书撤销列表”处,管理员可以通过手动导入CRL证书吊销列表或者配置指定更新服务器的方式来吊销掉导入到VDC本地但已经无效的证书。点击<导入文件或配置自动更新服务器>,即可进入【证书吊销列表】配置窗口。“手动导入”与“自动更新配置”模式的配置方法如下:
• 手动导入
点击<手动导入>,管理员可在弹出的【导入证书撤销列表】配置窗口选择本地的撤销列表文件(格式为:*.crl)进行手动导入。
• 自动更新配置
点击<自动更新配置>,管理员可在弹出的【自动更新证书撤销列表设置】配置窗口,配置颁发CRL文件的服务器地址,并按实际需求配置更新频率。
在线证书状态查询(OCSP)
管理员也可配置OCSP来试试更新用户证书状态,在“在线证书状态查询(OCSP)”处勾选“启用在线证书状态查询(OCSP)”,并配置OCSP服务器地址和服务端口即可。
• 将外置CA为用户签发证书关联用户操作步骤如下
- 登录VDC控制台,进入[业务中心→用户管理]界面,找到需要导入证书的用户账户条目,点击对应的<编辑>按钮,进入【编辑用户】配置页面;
- 在“基本属性”的“数字证书”处,点击<导入证书>,弹出[导入证书]窗口,选择外置CA为用户签发的证书、填写证书密码并选择签发的CA即可。