SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.6.9R1
{{sendMatomoQuery("SSL VPN","证书与USB-KEY 认证")}}

证书与USB-KEY 认证

更新时间:2022-01-08

SANGFOR SSL VPN 不仅支持同时使用内置 CA 和外部 CA 进行认证,还可支持使用多个外部 CA。对于总部部署了 SSL 设备,各个分支接入用户使用不同的第三方 CA 进行认证的情况,大大的增加了 SSL 部署的灵活性。『证书与 USB-KEY 认证』正是用于生成、配置和管理 CA 的数字证书等。

WEBUI 路径:『SSL VPN 设置』→『认证设置』→『主要认证』→『证书与 USB-KEY认证』。页面如下:

点击下载安装 USB-KEY 驱动,可以手动安装 USB-KEY 驱动程序。

点击下载安装导入控件,可以手动安装证导入证书控件。

点击设置,弹出【证书与 USB-KEY 设置】页面,可启用和禁用内置 CA,配置第三方 CA,查看在线证书和通用 USB 设置等。各部分配置页面如下:

点击内置 CA 的查看按钮,查看内置 CA 的根证书,显示如下:

点击内置 CA 的更新按钮,设置页面如下图:

选择密钥标准,可以切换 SSLVPN 用于证书认证加密的加密密钥标准,包括国际商用密码标准 RSA 和中国国家密码标准 SM2 。RSA 密钥标准的密钥长度可以选择1024/2048/4096,而 SM2 密钥标准只采用 256 的密钥长度。

输入证书所需的各项信息,点击完成生成根证书。

注意:
1.自建 CA 时,国家名为 2 个英文字符。例如:CN。
2. 邮件地址不支持中文。

如果勾选了[更新设备证书],并选择[使用内置 CA 为设备颁发新证书],点击下一步,则出现内置 SSL 证书信息设置页面,如下图:

输入证书所需各项信息之后,点击完成,此时根据所填写根证书及 SSL 证书信息同时生成根证书和 SSL 证书;.

如果勾选了[更新设备证书],并选择[使用内置 CA 的根证书作为设备证书],点击完成,此时生成根证书并将根证书同时作为设备证书。

点击签发用户证书,生成一个证书,该证书可作为用户证书也可作为服务器证书。

点击外置 CA 的添加按钮,添加外置 CA,同时支持 7 个外置 CA 的认证,显示如下:

导入外置 CA 证书并设置 CA 名称,点击确定保存。添加成功后,显示如下:

点击证书名称,设置证书相关选项。

[用户名属性] 是指此 CA 签发的证书中,存放用户名的字段;用户名将显示在客户端主界面上,支持使用 CN、Email 前缀和 OID 作为用户名属性。

[绑定字段] 指此 CA 颁发的证书导入到本地时,用户所绑定的证书字段。

序列号:证书过期后,CA 会重新签发证书,因为新证书的序列号已改变,必须在本地用户管理中,重新导入新证书;

DN:相比证书序列号,可以避免用户证书更新时需要重新导入证书。选择此选项时, 必须保证不同证书的 DN 名是唯一的;

OID:与 DN 类似,通常需要填写存放用户名等唯一标识用户的 OID 属性。

[证书编码]用于设置此证书使用的编码格式。

选择『仅信任该 CA 签发的,并且已经导入到本地的证书用户』,则只有当用户证书被导入到 SSL VPN 网关,用户才能通过该用户证书登录 SSL。

选择『信任该 CA 签发的所有证书用户』,则只要是 CA 颁发的有效用户证书,都允许登录 SSL。配置页面如下:

点击配置映射规则用于设置将特定某证书 DN 映射到 SSL 本地用户组,使这些证书

用户登录 SSL 之后自动分配到该用户组,并拥有该用户组的权限。设置页面如下:

『证书 DN』可以通过证书主题查看。

『映射到本地组』用于设置拥有该字段证书登录后映射到的用户组。

点击删除,可以删除选中的映射规则。

点击编辑,可以编辑选中的映射规则。

『未定义映射规则的,默认将映射到组』用于设置对于没有做映射规则的证书,登录SSL 后默认被分配到哪个用户组。

点击导入文件或配置自动更新服务器,可以手动更新或配置自动更新证书撤销列表,

撤销列表支持格式为:*.crl。配置页面如下图:

选择相应的证书吊销列表文件进行导入,若选择自动更新配置,则弹出如下界面:

勾选[启用自动更新 CRL]并设置颁发点地址和更新频率。

[在线证书状态查询]用于实时的更新 CA 证书的状态。

『通用 USB-KEY 设置』用于配置支持第三方 USB KEY 的接入和拔出注销,配置好USB KEY 的型号,当用户登录时,SANGFOR SSL 网关会检测 USB KEY 的型号,假如和我们设置的型号对应,那么当用户将 USB KEY 拔出时,用户将自动注销。配置如下图:

点击添加,配置页面如下:

『名称』自定义此设置的名称。

『型号』用于设置需要拔出 USB KEY 自动注销用户的 USB KEY 型号。

『动态库文件路径』当添加第三方 KEY 用于支持中国国家密码标准 SM2 的认证加密算法时,需要指定该 KEY 的驱动文件中提供 SM2 加密的函数接口。动态库文件路径即用于设置 SM2 加密函数接口的动态链接库文件的路径。

『是否启用』用于设置对该型号 USB KEY 启用或禁用拔出 KEY 自动注销功能。

点击确定,保存配置,并将配置添加到列表中。

点击删除,用于删除列表中的 USB KEY 信息。

点击编辑,用于编辑列表中的 USB KEY 信息。