09-认证
本章节下载: 09-认证 (830.72 KB)
目 录
l 不同型号产品的特性功能支持情况略有不同,对于手册中标有“请以设备实际情况为准”的特性,请参见“01-导读”中的“产品支持特性差异”章节的介绍。
l 本手册致力于提供更加准确的描述和WEB页面截图,但由于产品型号的差异,请在实际使用中以设备实际显示的WEB页面为准。
l 页面上显示为灰色的功能或参数,表示设备不支持或者在当前配置下不可修改。
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图1-1。
图1-1 AAA基本组网结构示意图
当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。
图1-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。
这三种安全服务功能的具体作用如下:
l 认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;
l 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;
l 计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。
AAA可以通过多种协议来实现,目前设备支持基于RADIUS协议来实现AAA,在实际应用中,RADIUS协议也是最常使用的。RADIUS的详细介绍请参见“认证”模块中的“RADIUS”。
一个ISP(Internet Service Provider,Internet服务提供者)域是由属于同一个ISP的用户构成的群体。
在“userid@isp-name”形式的用户名中,“userid”为用于身份认证的用户名,“isp-name”为域名。
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备。而且各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能不相同,因此有必要通过设置ISP域把它们区分开,并为每个ISP域单独配置包括AAA策略(一组不同的认证/授权/计费方案)在内的属性集。
对于设备来说,每个接入用户都属于一个ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。
l 进行本地认证时,需要配置本地用户,具体配置请参见“认证”模块中的“用户”。
l 进行远端认证、授权或计费时,需要已经创建RADIUS方案,通过引用已配置的RADIUS方案来实现认证、授权、计费。有关RADIUS方案的配置请参见“认证”模块中的“RADIUS”。
AAA配置的推荐步骤如表1-1所示。
表1-1 AAA配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置ISP域,并指定其中一个为缺省ISP域 缺省情况下,系统存在名为system的缺省ISP域 |
||
2 |
可选 配置对ISP域中不同类型的用户所使用的认证方法 缺省情况下,所有类型的用户采用Local认证方法 |
AAA将用户类型分为:LAN-access用户(如802.1x认证、MAC地址认证用户)、Login用户(如SSH、Telnet、FTP、终端接入用户)、PPP用户、Portal用户、Command用户 |
|
3 |
可选 配置对ISP域中不同类型的用户所使用的授权方法 缺省情况下,所有类型的用户采用Local授权方法 |
||
4 |
必选 配置对ISP域中不同类型的用户所使用的计费方法 缺省情况下,所有类型的用户采用Local计费方法 |
在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,如图1-2所示。
ISP域的详细配置如表1-2所示。
表1-2 ISP域的详细配置
配置项 |
说明 |
域名 |
设置ISP域的名称,用于标识域 可以输入新的域名来创建域,也可以选择已有域来配置其是否为缺省域 |
缺省域 |
设置该ISP域是否为缺省域 l Enable:设置为缺省域 l Disable:设置为非缺省域 同时只能存在一个缺省域,当某个域被设置为缺省域时,原来的缺省域自动被设置为非缺省域 |
在导航栏中选择“认证 > AAA”,单击“认证”页签,进入如图1-3所示的页面。
ISP域AAA认证方法的详细配置如表1-3所示。
表1-3 ISP域AAA认证方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
Default认证 |
设置所有类型用户的缺省认证方法和备选方法 l Local:本地认证 l None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 l RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 l Not Set:不设置Default认证,即恢复缺省情况(本地认证) |
方案名称 |
|
备选方法 |
|
LAN-access认证 |
设置LAN-access用户的认证方法和备选方法 l Local:本地认证 l None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 l RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 l Not Set:不设置LAN-access认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
|
Login认证 |
设置Login用户的认证方法和备选方法 l Local:本地认证 l None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 l RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 l Not Set:不设置Login认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
|
PPP认证 |
设备不支持PPP认证的配置 |
方案名称 |
|
备选方法 |
|
Portal认证 |
设备不支持Portal认证的配置 |
方案名称 |
在导航栏中选择“认证 > AAA”,单击“授权”页签,进入如图1-4所示的页面。
ISP域AAA授权方法的详细配置如表1-4所示。
表1-4 ISP域AAA授权方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
Default授权 |
设置所有类型用户的缺省授权方法和备选方法 l Local:本地授权 l None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 l RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 l Not Set:不设置Default授权,即恢复缺省情况(本地授权) |
方案名称 |
|
备选方法 |
|
LAN-access授权 |
设置LAN-access用户的授权方法和备选方法 l Local:本地授权 l None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 l RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 l Not Set:不设置LAN-access授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
Login授权 |
设置Login用户的授权方法和备选方法 l Local:本地授权 l None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 l RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 l Not Set:不设置Login授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
PPP授权 |
设备不支持PPP授权的配置 |
方案名称 |
|
备选方法 |
|
Portal授权 |
设备不支持Portal授权的配置 |
方案名称 |
|
Command授权 |
设备不支持Command授权的配置 |
方案名称 |
在导航栏中选择“认证 > AAA”,单击“计费”页签,进入如图1-5所示的页面。
ISP域AAA计费方法的详细配置如表1-5所示。
表1-5 ISP域AAA计费方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
计费可选开关 |
设置是否开启计费可选功能 l 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若开启计费可选功能,则用户可以继续使用网络资源,否则用户连接将被切断 l 对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文 |
Default计费 |
设置所有类型用户的缺省计费方法和备选方法 l Local:本地计费 l None:不计费 l RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 l Not Set:不设置Default计费,即恢复缺省情况(本地计费) |
方案名称 |
|
备选方法 |
|
LAN-access计费 |
设置LAN-access用户的计费方法和备选方法 l Local:本地计费 l None:不计费 l RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 l Not Set:不设置LAN-access计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
|
Login计费 |
设置Login用户的计费方法和备选方法 l Local:本地计费 l None:不计费 l RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 l Not Set:不设置Login计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
|
PPP计费 |
设备不支持PPP计费的配置 |
方案名称 |
|
备选方法 |
|
Portal计费 |
设备不支持Portal计费的配置 |
方案名称 |
如图1-6所示,配置AP,实现对登录AP的Telnet用户进行本地认证、授权和计费。
图1-6 AAA配置组网图
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
# 配置各接口的IP地址。(略)
# 配置本地用户。
l 在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,单击<新建>按钮,,进行如下配置,如图1-7所示。
l 输入用户名为“telnet”。
l 输入密码为“abcdef”。
l 输入确认密码为“abcdef”。
l 选择服务类型为“Telnet”。
l 单击<确定>按钮完成操作。
# 配置ISP域test。
l 在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,进行如下配置,如图1-8所示。
图1-8 配置ISP域test
l 输入域名为“test”。
l 单击<应用>按钮完成操作。
# 配置ISP域的AAA方案为本地认证。
l 在导航栏中选择“认证 > AAA”,单击“认证”页签,进行如下配置,如图1-9所示。
图1-9 配置ISP域的AAA方案为本地认证
l 选择域名为“test”。
l 选中“Login认证”前的复选框,选择认证方法为“Local”。
l 单击<应用>按钮,弹出配置进度对话框,如图1-10所示。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置ISP域的AAA方案为本地授权。
l 在导航栏中选择“认证 > AAA”,单击“授权”页签,进行如下配置,如图1-11所示。
图1-11 配置ISP域的AAA方案为本地授权
l 选择域名为“test”。
l 选中“Login授权”前的复选框,选择授权方法为“Local”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置ISP域的AAA方案为本地计费。
l 在导航栏中选择“认证 > AAA”,单击“计费”页签,进行如下配置,如图1-12所示。
图1-12 配置ISP域的AAA方案为本地计费
l 选择域名为“test”。
l 选中“Login计费”前的复选框,选择计费方法为“Local”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
使用Telnet登录时输入用户名为telnet@test,密码abcdef,以使用test域进行认证。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种用于实现AAA(Authentication, Authorization and Accounting,认证、授权和计费)的协议。AAA的详细介绍请参见“认证”模块中的“AAA”。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
l 客户端:RADIUS客户端一般位于NAS设备上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
l 服务器:RADIUS服务器运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。
RADIUS服务器通常要维护三个数据库,如图2-1所示。
图2-1 RADIUS服务器的组成
l “Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
l “Clients”:用于存储RADIUS客户端的信息(如接入设备的共享密钥、IP地址等)。
l “Dictionary”:用于存储RADIUS协议中的属性和属性值含义的信息。
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。
RADIUS服务器支持多种方法来认证用户,如基于PPP的PAP、CHAP认证。另外,RADIUS服务器还可以为其它类型的认证服务器提供代理客户端的功能,向其提出认证请求。
用户、RADIUS客户端和RADIUS服务器之间的交互流程如图2-2所示。
图2-2 RADIUS的基本消息交互流程
消息交互流程如下:
(1) 用户发起连接请求,向RADIUS客户端发送用户名和密码。
(2) RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下由MD5算法进行加密处理。
(3) RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。
(6) 用户开始访问网络资源;
(7) 用户请求断开连接,RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。
(8) RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。
(9) 用户结束访问网络资源。
RADIUS采用UDP报文来传输消息,通过定时器管理机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息的正确收发。RADIUS报文结构如图2-3所示。
图2-3 RADIUS报文结构
各字段的解释如下:
(1) Code域
长度为1个字节,用于说明RADIUS报文的类型,如表2-1所示。
表2-1 Code域的主要取值说明
Code |
报文类型 |
报文说明 |
1 |
Access-Request认证请求包 |
方向Client->Server,Client将用户信息传输到Server,由Server判断是否接入该用户。该报文中必须包含User-Name属性,可选包含NAS-IP-Address、User-Password、NAS-Port等属性 |
2 |
Access-Accept认证接受包 |
方向Server->Client,如果Access-Request报文中的所有Attribute值都可以接受(即认证通过),则传输该类型报文 |
3 |
Access-Reject认证拒绝包 |
方向Server->Client,如果Access-Request报文中存在任何无法被接受的Attribute值(即认证失败),则传输该类型报文 |
4 |
Accounting-Request计费请求包 |
方向Client->Server,Client将用户信息传输到Server,请求Server开始/停止计费,由该报文中的Acct-Status-Type属性区分计费开始请求和计费结束请求 |
5 |
Accounting-Response计费响应包 |
方向Server->Client,Server通知Client已经收到Accounting-Request报文,并且已经正确记录计费信息 |
(2) Identifier域
长度为1个字节,用于匹配请求包和响应包,以及检测在一段时间内重发的请求包。类型一致的请求包和响应包的Identifier值相同。
(3) Length域
长度为2个字节,表示RADIUS数据包(包括Code、Identifier、Length、Authenticator和Attribute)的长度,范围从20~4096。超过Length域的字节将作为填充字符被忽略。如果接收到的包的实际长度小于Length域的值时,则包会被丢弃。
(4) Authenticator域
长度为16个字节,用于验证RADIUS服务器的应答,另外还用于用户密码的加密。Authenticator包括两种类型:Request Authenticator和Response Authenticator。
(5) Attribute域
不定长度,用于携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节。Attribute可包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示。
l 类型(Type),1个字节,取值为1~255,用于表示属性的类型,表2-2列出了RADIUS认证、授权、计费常用的属性。
l 长度(Length),表示该属性(包括类型、长度和属性)的长度,单位为字节。
l 属性值(Value),表示该属性的信息,其格式和内容由类型和长度决定,最大长度为253字节。
属性编号 |
属性名称 |
属性编号 |
属性名称 |
1 |
User-Name |
45 |
Acct-Authentic |
2 |
User-Password |
46 |
Acct-Session-Time |
3 |
CHAP-Password |
47 |
Acct-Input-Packets |
4 |
NAS-IP-Address |
48 |
Acct-Output-Packets |
5 |
NAS-Port |
49 |
Acct-Terminate-Cause |
6 |
Service-Type |
50 |
Acct-Multi-Session-Id |
7 |
Framed-Protocol |
51 |
Acct-Link-Count |
8 |
Framed-IP-Address |
52 |
Acct-Input-Gigawords |
9 |
Framed-IP-Netmask |
53 |
Acct-Output-Gigawords |
10 |
Framed-Routing |
54 |
(unassigned) |
11 |
Filter-ID |
55 |
Event-Timestamp |
12 |
Framed-MTU |
56-59 |
(unassigned) |
13 |
Framed-Compression |
60 |
CHAP-Challenge |
14 |
Login-IP-Host |
61 |
NAS-Port-Type |
15 |
Login-Service |
62 |
Port-Limit |
16 |
Login-TCP-Port |
63 |
Login-LAT-Port |
17 |
(unassigned) |
64 |
Tunnel-Type |
18 |
Reply_Message |
65 |
Tunnel-Medium-Type |
19 |
Callback-Number |
66 |
Tunnel-Client-Endpoint |
20 |
Callback-ID |
67 |
Tunnel-Server-Endpoint |
21 |
(unassigned) |
68 |
Acct-Tunnel-Connection |
22 |
Framed-Route |
69 |
Tunnel-Password |
23 |
Framed-IPX-Network |
70 |
ARAP-Password |
24 |
State |
71 |
ARAP-Features |
25 |
Class |
72 |
ARAP-Zone-Access |
26 |
Vendor-Specific |
73 |
ARAP-Security |
27 |
Session-Timeout |
74 |
ARAP-Security-Data |
28 |
Idle-Timeout |
75 |
Password-Retry |
29 |
Termination-Action |
76 |
Prompt |
30 |
Called-Station-Id |
77 |
Connect-Info |
31 |
Calling-Station-Id |
78 |
Configuration-Token |
32 |
NAS-Identifier |
79 |
EAP-Message |
33 |
Proxy-State |
80 |
Message-Authenticator |
34 |
Login-LAT-Service |
81 |
Tunnel-Private-Group-id |
35 |
Login-LAT-Node |
82 |
Tunnel-Assignment-id |
36 |
Login-LAT-Group |
83 |
Tunnel-Preference |
37 |
Framed-AppleTalk-Link |
84 |
ARAP-Challenge-Response |
38 |
Framed-AppleTalk-Network |
85 |
Acct-Interim-Interval |
39 |
Framed-AppleTalk-Zone |
86 |
Acct-Tunnel-Packets-Lost |
40 |
Acct-Status-Type |
87 |
NAS-Port-Id |
41 |
Acct-Delay-Time |
88 |
Framed-Pool |
42 |
Acct-Input-Octets |
89 |
(unassigned) |
43 |
Acct-Output-Octets |
90 |
Tunnel-Client-Auth-id |
44 |
Acct-Session-Id |
91 |
Tunnel-Server-Auth-id |
表2-2中所列的属性由RFC 2865、RFC 2866、RFC2867和RFC2568分别定义。
RADIUS协议具有良好的可扩展性,协议(RFC 2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。
设备厂商可以封装多个自定义的“(Type、Length、Value)”子属性来扩展RADIUS。如图2-4所示,26号属性报文内封装的子属性包括以下四个部分:
l Vendor-ID域占4字节,表示厂商代号,最高字节为0,其余3字节的编码见RFC 1700。H3C公司的Vendor-ID是2011。
l Vendor-Type,表示扩展属性的子属性类型。
l Vendor-Length,表示该子属性长度。
l Vendor-Data,表示该子属性的内容。
与RADIUS相关的协议规范有:
l RFC 2865:Remote Authentication Dial In User Service (RADIUS)
l RFC 2866:RADIUS Accounting
l RFC 2867:RADIUS Accounting Modifications for Tunnel Protocol Support
l RFC 2868:RADIUS Attributes for Tunnel Protocol Support
l RFC 2869:RADIUS Extensions
l 通过Web配置的RADIUS方案的方案名为system。
l 如果系统当前不存在名为system的RADIUS方案,则当用户选择“认证 > RADIUS”菜单进入RADIUS模块的页面时,系统会自动创建一个名为system的RADIUS方案。
RADIUS配置的推荐步骤如表2-3所示。
表2-3 RADIUS配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
配置认证服务器 |
必选 配置RADIUS主/备份认证服务器的相关信息 缺省情况下,不存在任何认证服务器 |
详细配置请参见“2.2.2 配置RADIUS服务器” |
2 |
配置计费服务器 |
可选 配置RADIUS主/备份计费服务器的相关信息 缺省情况下,不存在任何计费服务器 |
|
3 |
必选 配置设备和RADIUS服务器之间进行信息交互所需的一些参数 |
在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,如图2-5所示。
图2-5 RADIUS服务器配置
RADIUS服务器的详细配置如表2-4所示。
表2-4 RADIUS服务器的详细配置
配置项 |
说明 |
服务类型 |
设置要配置的RADIUS服务器的类型,包括:认证服务器、计费服务器 |
主服务器IP地址 |
设置主服务器的IP地址 未配置该主服务器时,文本框的值显示0.0.0.0 并且文本框为0.0.0.0时,表示删除配置的主服务器 主服务器与备份服务器的IP地址不能相同,否则将提示错误 |
主服务器共享密钥 |
设置主服务器的共享密钥,主服务器共享密钥和备服务器共享密钥可以不一致 |
主UDP端口 |
设置主服务器的UDP端口号 当未配置主服务器IP地址或者删除主服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813 |
主服务器状态 |
设置主服务器的状态: l active:处于正常工作状态 l block:处于宕机状态 当未配置主服务器IP地址或者删除主服务器IP地址时,状态为block |
备份服务器IP地址 |
设置备份服务器的IP地址 未配置该备份服务器时,文本框的值显示0.0.0.0 并且文本框为0.0.0.0时,表示删除配置的备份服务器 主服务器与备份服务器不能相同,否则将提示错误 |
备服务器共享密钥 |
设置备被服务器的共享密钥,主服务器共享密钥和备服务器共享密钥可以不一致 |
备份UDP端口 |
设置备份服务器的UDP端口号 当未配置备份服务器IP地址或者删除备份服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813 |
备份服务器状态 |
设置备份服务器的状态: l active:处于正常工作状态 l block:处于宕机状态 当未配置备份服务器IP地址或者删除备份服务器IP地址时,状态为block |
可点击返回“表2-3 RADIUS配置步骤”。
在导航栏中选择“认证 > RADIUS”,单击“RADIUS参数设置”页签,进入如图2-6所示的页面。
图2-6 RADIUS参数设置
RADIUS参数的详细设置如表2-5所示。
表2-5 设置RADIUS参数详细信息
配置项 |
说明 |
服务类型 |
设置设备系统支持的RADIUS服务器类型: l extended:指定extended的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端(设备系统)和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互 l standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端(设备系统)和RADIUS服务器按照标准RADIUS协议(RFC 2138/2139或更新)的规程和报文格式进行交互 |
认证服务器共享密钥 |
设置认证服务器的共享密钥和确认密钥,确认密钥必须与共享密钥保持一致 |
确认认证密钥 |
|
计费服务器共享密钥 |
设置计费服务器的共享密钥和确认密钥,确认密钥必须与共享密钥保持一致 |
确认计费密钥 |
|
NAS-IP |
设备向RADIUS服务器发送RADIUS报文时使用的源IP地址 为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址 |
超时时间 |
设置RADIUS服务器应答超时时间 |
超时重发次数 |
设置最大传送次数 超时时间和超时重发次数的乘积不能超过75 |
实时计费间隔 |
设置实时计费的时间间隔,取值必须为3的整数倍 为了对用户实施实时计费,有必要设置实时计费的时间间隔。设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息 实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求,取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系如表2-6所示 |
实时计费报文重发次数 |
设置允许实时计费请求无响应的最大次数 |
停止计费缓存 |
设置允许/禁止在设备上缓存没有得到响应的停止计费请求报文 l enable:表示允许缓存报文 l disable:表示禁止该功能 |
停止计费报文重发次数 |
设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数 |
Quiet时间间隔 |
设置主服务器恢复激活状态的时间 |
用户名格式 |
设置发送给RADIUS服务器的用户名格式 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给RADIUS服务器 l without-domain:表示发送给RADIUS服务器的用户名不带域名 l with-domain:表示发送给RADIUS服务器的用户名带域名 |
流量数据的单位 |
设置发送到RADIUS服务器的流量数据的单位 l byte:表示流量数据的单位为字节 l kilo-byte:表示流量数据的单位为千字节 l mega-byte:表示流量数据的单位为兆字节 l giga-byte:表示流量数据的单位为千兆字节 |
数据包的单位 |
设置发送到RADIUS服务器的数据包的单位 l one-packet:表示数据包的单位为包 l kilo-packet:表示数据包的单位为千包 l mega-packet:表示数据包的单位为兆包 l giga-packet:表示数据包的单位为千兆包 |
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
¦1000 |
¦15 |
可点击返回“表2-3 RADIUS配置步骤”。
如图2-7所示,配置AP,实现RADIUS服务器对登录设备的Telnet用户进行认证、计费(Telnet用户在线时长统计)。
l 一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上已经添加了Telnet用户的用户名和密码,通过Swtich与AP相连,同时设置了与AP交互报文时的共享密钥为“expert”,服务器IP地址为10.110.91.146。
l AP与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。
图2-7 RADIUS服务器配置组网图
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口IP地址(略)
(2) 配置RADIUS方案system
# 配置RADIUS认证服务器。
l 在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,进行如下配置,如图2-8所示。
图2-8 配置RADIUS认证服务器
l 选择服务类型为“认证服务器”。
l 输入主服务器IP地址为“10.110.91.146”。
l 输入主UDP端口为“1812”。
l 选择主服务器状态为“active”。
l 单击<确定>按钮完成操作。
# 配置RADIUS计费服务器。
图2-9 配置RADIUS计费服务器
l 如图2-9所示,选择服务类型为“计费服务器”。
l 输入主服务器IP地址为“10.110.91.146”。
l 输入主UDP端口为“1813”。
l 选择主服务器状态为“active”。
l 单击<确定>按钮完成操作
# 配置设备与RADIUS服务器交互的方案。
l 单击“RADIUS参数设置”页签,进行如下配置,如图2-10所示。
图2-10 配置设备与RADIUS服务器交互的方案
l 选择服务器类型为“extended”。
l 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。
l 输入确认认证密钥为“expert”。
l 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。
l 输入确认计费密钥为“expert”。
l 选择用户名格式为“without-domain”。
l 单击<确定>按钮完成操作。
(3) 配置AAA
# 创建ISP域。
l 在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,进行如下配置,如图2-11所示。
l 输入域名为“test”。
l 选择缺省域为“Enable”。
l 单击<应用>按钮完成操作。
# 配置ISP域的AAA认证方案。
l 单击“认证”页签,进行如下配置,如图2-12所示。
图2-12 配置ISP域的AAA认证方案
l 选择域名为“test”。
l 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
l 选择认证方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框,如图2-13所示。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置ISP域的AAA授权方案。
l 单击“授权”页签,进行如下配置,如图2-14所示。
图2-14 配置ISP域的AAA授权方案
l 选择域名为“test”。
l 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
l 选择授权方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置ISP域的AAA计费方案,并配置用户计费可选。
l 单击“计费”页签,进行如下配置,如图2-15所示。
图2-15 配置ISP域的AAA计费方案
l 选择域名为“test”。
l 选中“计费可选开关”前的复选框,选择“Enable”。
l 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
l 选择计费方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
配置RADIUS客户端时需要注意如下事项:
(1) RADIUS的大部分属性在改变配置时都不检查当前是否有用户在使用此方案。
(2) 在计费成功后,计费更新以及计费停止报文都会发往计费成功时使用的服务器上,即使此服务器不可用,也不会发生主备切换。只有在最开始的认证、授权、计费过程中才会发生切换,成功后将不再切换。
(3) 只有当没有活跃、用于发送计费报文的TCP连接使用认证/授权/计费服务器时,才允许删除该服务器。
(4) RADIUS协议不支持对FTP用户进行计费。
(5) 使用CAMS/iMC服务器做RADIUS服务器时,必须在ISP域中配置用户计费可选,因为CAMS/iMC服务器不对计费报文作回应。
用户模块提供了本地用户、用户组、来宾用户的配置功能。
本地用户是本地设备上设置的一组用户属性的集合。该集合以用户名为用户的唯一标识,可配置多种属性,比如用户密码、服务类型、授权属性等。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。本地认证的详细介绍请参见“认证”模块中的“AAA”。
用户组是一个本地用户属性的集合,某些需要集中管理的授权属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性,但本地用户的属性比用户组的属性优先级高。
来宾用户是一种有特殊应用环境的本地用户。在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾用户帐户,并置对来宾用户帐户进行有效期的控制。
在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,页面显示的是所有本地用户和来宾用户,如图3-1所示。单击<新建>按钮,进入新建本地用户的配置页面,如图3-2所示。
本地用户的详细配置如表3-1所示。
配置项 |
说明 |
|
用户名 |
设置本地用户的名称 |
|
用户密码 |
设置本地用户的密码和确认密码 用户密码和确认密码必须一致 输入的密码如果以空格开头,则开头的空格将被忽略 |
|
确认密码 |
||
用户组 |
设置本地用户所属的用户组 |
|
服务类型 |
设置本地用户可以使用的服务类型,包括FTP、Telnet、PPP、LAN-Access(主要指以太网接入用户,比如802.1x用户)和SSH l 用户类型是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法正常认证通过 l 要想该用户可以通过Web登录设备,其可以使用的服务类型必须包括Telnet |
|
过期时间 |
设置本地用户的有效截止时间,格式为HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日) 当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录 |
|
授权等级 |
设置本地用户的授权等级,等级由底到高依次为Visitor、Monitor、Configure、Management |
本地用户的各种授权属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性 |
授权VLAN |
设置本地用户的授权VLAN ID |
|
授权ACL |
设置本地用户的授权ACL序号 |
|
用户方案 |
设置本地用户的授权用户方案名称 设备不支持用户方案的配置 |
在导航栏中选择“认证 > 用户”,单击“用户组”页签,进入用户组的显示页面,如图3-3所示。单击<新建>按钮,进入新建用户组的配置页面,如图3-4所示。
用户组的详细配置如表3-2所示。
配置项 |
说明 |
用户组名称 |
设置用户组的名称 |
访问等级 |
设置用户组的访问等级,等级由底到高依次为Visitor、Monitor、Configure、Management |
授权VLAN |
设置用户组的授权VLAN ID |
授权ACL |
设置用户组的授权ACL序号 |
用户方案 |
设置本地用户的授权用户方案名称 目前,设备不支持用户方案的配置 |
在导航栏中选择“认证 > 用户”,单击“来宾用户”页签,进入来宾用户的显示页面,如图3-5所示。单击<新建>按钮,进入新建来宾用户的配置页面,如图3-6所示。
来宾用户的详细配置如表3-3所示。
配置项 |
说明 |
用户名 |
设置来宾用户的名称 |
用户密码 |
设置来宾用户的密码 |
所属用户组 |
设置来宾用户所属的用户组 |
过期时间 |
设置来宾用户的有效截止时间,格式为HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日) 当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录 |
来宾用户在“本地用户”页签的列表中也有显示,通过在该列表中单击来宾用户对应的图标,可以对来宾用户信息进行修改,配置来宾用户的授权属性。
PKI特性的支持情况与设备实际情况相关,使用中请以设备实际情况为准。
PKI(Public Key Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。
PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保证了通信数据的机密性、完整性和不可否认性。
数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。一般情况下数字证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称和该证书的序列号等信息,证书的格式遵循ITU-T X.509国际标准。本手册中涉及两类证书:本地(local)证书和CA(Certificate Authority)证书。本地证书为CA签发给实体的数字证书;CA证书也称为根证书,为CA“自签”的数字证书。
由于用户姓名的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书撤消,即撤消公开密钥及相关的用户身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表。任何一个证书被废除以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。CRL提供了一种检验证书有效性的方式。
当一个CRL的撤消信息过多时会导致CRL的发布规模变得非常庞大,且随着CRL大小的增加,网络资源的使用性能也会随之下降。为了避免这种情况,允许一个CA的撤消信息通过多个CRL发布出来。CRL片断也称为CRL发布点。
CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准被称为CA策略。通常,CA以一种叫做证书惯例声明(CPS,Certification Practice Statement)的文档发布其策略,CA策略可以通过带外(如电话、磁盘、电子邮件等)或其他方式获取。由于不同的CA使用不同的方法验证公开密钥与实体之间的绑定,所以在选择信任的CA进行证书申请之前,必须理解CA策略,从而指导对实体进行相应的配置。
一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成,如图4-1所示。
图4-1 PKI体系结构图
终端实体是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、交换机)或计算机中运行的进程。
CA是PKI的信任基础,是一个用于签发并管理数字证书的可信实体。其作用包括:发放证书、规定证书的有效期和通过发布CRL确保必要时可以废除证书。
证书申请的受理一般由一个独立的注册机构(即RA)来承担。RA功能包括:审查用户的申请资格,并决定是否同意CA给其签发数字证书;管理CRL;产生和备份密钥对等。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,这样可以增强应用系统的安全性。
PKI存储库包括LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。
LDAP提供了一种访问PKI存储库的方式,通过该协议来访问并管理PKI信息。LDAP服务器负责将RA服务器传输过来的用户信息以及数字证书进行存储,并提供目录浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书。
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
VPN是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPSec)和建立在PKI上的加密与数字签名技术来获得机密性保护。
电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL(Secure Sockets Layer,安全套接字层)连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。
针对一个使用PKI的网络,配置PKI的目的就是为指定的实体向CA申请一个本地证书,并由设备对证书的有效性进行验证。下面是PKI的工作过程:
(1) 实体向CA提出证书申请;
(2) RA审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA;
(3) CA验证数字签名,同意实体的申请,颁发证书;
(4) RA接收CA返回的证书,发送到LDAP服务器以提供目录浏览服务,并通知实体证书发行成功;
(5) 实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信;
(6) 实体希望撤消自己的证书时,向CA提交申请。CA批准实体撤消证书,并更新CRL,发布到LDAP服务器。
PKI证书的申请方式有两种:
l 手动申请证书方式:需要手工完成获取CA证书、生成密钥对、申请本地证书的工作。
l 自动申请证书方式:在没有本地证书时实体自动通过SCEP协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。
证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。
手动申请证书方式下PKI配置的推荐步骤如表4-1所示。
表4-1 PKI配置步骤(手动申请证书方式)
步骤 |
配置任务 |
说明 |
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,CA根据实体提供的身份信息来唯一标识证书申请者 实体身份信息的配置必须与CA证书颁发策略相匹配,申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
2 |
必选 (配置“证书申请方式”为“手动”) 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
3 |
必选 配置生成本地RSA密钥对 缺省情况下,本地没有RSA密钥对 密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书 若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对 |
|
4 |
获取CA证书 |
必选 将CA证书获取至本地,详细配置请参见“4.2.6 获取证书” 获取证书的目的是: l 将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数 l 为证书的验证做好准备 如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取 |
5 |
必选 证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分 申请本地证书有在线和离线两种方式: l 在线申请成功后,会自动将本地证书获取至本地 l 离线申请成功后,需要用户通过离线方式将本地证书获取至本地 如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请 |
|
6 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书 |
|
7 |
可选 将已存在的证书获取至本地 |
|
8 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
自动申请证书方式下PKI配置的推荐步骤如表4-2所示。
表4-2 PKI配置步骤(自动申请证书方式)
步骤 |
配置任务 |
说明 |
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,CA根据实体提供的身份信息来唯一标识证书申请者 实体身份信息的配置必须与CA证书颁发策略相匹配,申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
2 |
必选 (配置“证书申请方式”为“自动”) 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
3 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书 |
|
4 |
可选 将已存在的证书获取至本地 |
|
5 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
在导航栏中选择“认证 > PKI”,默认进入“PKI实体”页签的页面,如图4-2所示。单击<新建>按钮,进入新建PKI实体的配置页面,如图4-3所示。
图4-2 PKI实体
新建PKI实体的详细配置如表4-3所示。
表4-3 新建PKI实体的详细配置
配置项 |
说明 |
PKI实体名称 |
设置要新建的PKI实体的名称 |
通用名 |
设置实体的通用名,比如用户名称 |
实体IP地址 |
设置实体的IP地址 |
FQDN |
设置实体的FQDN(Fully Qualified Domain Name,合格域名) FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN |
国家/地区 |
设置实体所属的国家或地区代码 |
州省 |
设置实体所属的州省 |
地理区域 |
设置实体所在地理区域的名称 |
组织 |
设置实体所属组织的名称 |
部门 |
设置实体所属部门的名称 |
可点击返回“表4-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表4-2 PKI配置步骤(自动申请证书方式)”。
在导航栏中选择“认证 > PKI”,单击“PKI域”页签,进入PKI域的显示页面,如图4-4所示。单击<新建>按钮,进入新建PKI域的配置页面,如图4-5所示。
新建PKI域的详细配置如表4-4所示。
表4-4 新建PKI域的详细配置
配置项 |
说明 |
PKI域名称 |
设置要新建的PKI域的名称 |
CA标识符 |
设置设备信任的CA标识符 在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA名称,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行 当采用离线方式申请证书时,此项可以不配置,否则必须配置 |
本地实体 |
设置本地PKI实体名称 向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份 可选的PKI实体名称需通过新建PKI实体来配置 |
注册机构 |
设置证书申请的注册审理机构 l CA:表示由CA来完成注册机构的功能 l RA:表示有独立的RA作为注册审理机构 PKI推荐独立使用RA作为注册审理机构 |
证书申请URL |
设置注册服务器的URL 证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议(SCEP,Simple Certification Enrollment Protocol)向该服务器提出证书申请,SCEP是专门用于与认证机构进行通信的协议 当采用离线方式申请证书时,此项可以不配置,否则必须配置 目前,注册服务器URL的配置不支持域名解析 |
LDAP服务器IP地址 |
设置LDAP服务器的IP地址、端口号和版本号 要获取本地证书,必须正确配置LDAP服务器 |
端口 |
|
版本 |
|
证书申请方式 |
设置在线证书申请的方式,有手动和自动两种方式 |
挑战码加密 |
设置是否对挑战码进行密文显示 “证书申请方式”选择“Auto”时可配置 |
挑战码 |
设置挑战码,即撤销证书时使用的密码 “证书申请方式”选择“Auto”时可配置 |
根证书散列算法 |
设置验证CA根证书时所使用的散列算法和指纹 当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书 当“证书申请方式”选择“Auto”时,根证书指纹必须设置;当“证书申请方式”选择“Manual”时,根证书指纹可以不设置,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信 |
根证书指纹 |
|
证书查询次数 |
设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数 实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书 |
证书查询间隔 |
|
启用CRL查询 |
设置在证书验证时是否进行CRL检查 |
CRL更新间隔 |
设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔 选中“启用CRL查询”时可配置 缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定 |
获取CRL的URL |
设置CRL发布点的URL 选中“启用CRL查询”时可配置 需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行 目前,CRL发布点URL的配置不支持域名解析 |
可点击返回“表4-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表4-2 PKI配置步骤(自动申请证书方式)”。
在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如图4-6所示。单击页面上的<生成密钥>按钮,进入生成RSA密钥对的配置页面,如图4-7所示。
生成RSA密钥对的详细配置如表4-5所示。
表4-5 生成RSA密钥对的详细配置
配置项 |
说明 |
密钥长度 |
设置RSA密钥的长度 |
可点击返回“表4-1 PKI配置步骤(手动申请证书方式)”。
在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如图4-6所示。单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如图4-8所示。单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。
可点击返回“表4-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表4-2 PKI配置步骤(自动申请证书方式)”。
用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。
在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如图4-6所示。单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如图4-9所示。
获取PKI证书的详细配置如表4-6所示。
表4-6 获取PKI证书的详细配置
配置项 |
说明 |
PKI域名称 |
设置证书所在的PKI域 |
证书类型 |
设置要获取的证书的为CA证书或Local证书 |
启用离线方式 |
设置是否启用离线方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地 |
从设备取得文件 |
设置要导入的证书文件的存放路径和文件名 l 当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名 l 当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区 |
从PC取得文件 |
|
口令 |
设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令 |
获取证书后,可以在PKI证书的显示页面,单击指定证书对应的<查看证书>按钮,查看证书的详细信息,如图4-10所示。
可点击返回“表4-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表4-2 PKI配置步骤(自动申请证书方式)”。
在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如图4-6所示。单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如图4-11所示。
申请本地证书的详细配置如表4-7所示。
配置项 |
说明 |
PKI域名称 |
设置证书所在的PKI域 |
挑战码 |
设置挑战码,即撤销证书时使用的密码 |
启用离线方式 |
设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书 |
若选择使用离线方式申请本端证书,在完成上述配置后,单击<确定>按钮,页面会显示离线申请证书的信息,如图4-12所示。将这些信息通过离线方式提交给CA以申请本地证书。
可点击返回“表4-1 PKI配置步骤(手动申请证书方式)”。
在导航栏中选择“认证 > PKI”,单击“CRL”页签,进入CRL的显示页面,如图4-13所示。
l 在列表中单击指定PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。
l 获取CRL后,在列表中单击指定PKI域对应的操作列的<查看CRL>按钮,可查看CRL的详细信息,如图4-14所示。
图4-14 查看CRL的详细信息
可点击返回“表4-1 PKI配置步骤(手动申请证书方式)”。
可点击返回“表4-2 PKI配置步骤(自动申请证书方式)”。
在作为PKI实体的设备AP上进行相关配置,实现以下需求:
l AP向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。
l 获取CRL为证书验证做准备。
图4-15 PKI实体向CA申请证书组网图
(1) 配置CA服务器
# 创建CA服务器myca。
在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。
# 配置扩展属性。
基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。
# 配置CRL发布
CA服务器的基本配置完成之后,需要进行CRL的相关配置。
本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。
(2) 配置AP
# 新建PKI实体。
l 在导航栏中选择“认证 > PKI”,默认进入“PKI实体”页签的页面,单击<新建>按钮,进行如下配置,如图4-16所示。
l 输入PKI实体名称为“aaa”。
l 输入通用名为“ap”。
l 单击<确定>按钮完成操作。
# 新建PKI域。
l 单击“PKI域”页签,单击<新建>按钮,进行如下配置,如图4-17所示。
l 输入PKI域名称为“torsa”。
l 输入CA标识符为“myca”。
l 选择本端实体为“aaa”。
l 选择注册机构为“CA”。
l 以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。
l 选择证书申请方式为“Manual”。
l 单击“高级设置”前的扩展按钮。
l 选中“启用CRl查询”前的复选框。
l 输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。
l 单击<确定>按钮,页面弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”,单击<确定>按钮完成操作。
# 生成RSA密钥对。
l 单击“证书”页签,单击<生成密钥>按钮,进行如下配置,如图4-18所示。
图4-18 生成RSA密钥对
l 单击<确定>按钮开始生成RSA密钥对。
# 获取CA证书至本地。
l 生成密钥对成功后,在“证书”页签的页面单击<获取证书>按钮,进行如下配置,如图4-19所示。
图4-19 获取CA证书至本地
l 选择PKI域为“torsa”。
l 选择证书类型为“CA”。
l 单击<确定>按钮开始获取CA证书。
# 申请本地证书。
l 获取CA证书成功后,在“证书”页签的页面单击<申请证书>按钮,进行如下配置,如图4-20所示。
l 选择PKI域为“torsa”。
l 选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。
l 单击<确定>按钮开始申请本地证书。
# 获取CRL至本地。
l 申请本地证书成功后,单击“CRL”页签。
l 单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL,如图4-21所示。
图4-21 获取CRL至本地
配置PKI时需要注意如下事项:
(1) 申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。
(2) Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。
(3) 当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。
(4) 当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI domain时,需要指定注册机构为CA。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!