- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-iMC UAM 用户接入-证书使用指导
本章节下载: 20-iMC UAM 用户接入-证书使用指导 (467.86 KB)
iMC UAM证书使用指导
资料版本:5W108-20221110
产品版本:iMC UAM (E0403)
|
Copyright © 2016 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
UAM与客户端配合进行证书认证时需要申请和安装根证书、服务器证书、客户端证书等。本文将介绍各种证书的使用场合,申请和安装证书的方法。
不同的证书认证场景可以采用不同的证书认证类型,服务器和客户端需要安装的证书也不尽相同。具体请参见表1所示。
|
认证证书类型 |
使用场合 |
所需安装的证书 |
|
|
客户端 |
UAM |
||
|
EAP-TLS |
用户证书认证 |
根证书 用户证书 |
根证书 服务器证书 |
|
计算机证书认证 |
根证书 计算机证书 |
||
|
EAP-TTLS |
用户证书认证 |
根证书 |
服务器证书 |
|
EAP-PEAP |
|||
用户证书和计算机证书都属于客户端证书,只是在申请的时候证书名称不同。用户证书的证书名称是帐号名,计算机证书的证书名称是计算机的全名。
为了使UAM服务器具备证书认证能力,需要将根证书和服务器证书文件导入到UAM服务器中。证书文件的获取方式如下:
· 根证书文件:直接下载。
· 服务器证书文件:无法直接下载。先将服务器证书安装到服务器的操作系统中,然后从操作系统中导出服务器证书文件。
(1) 打开Internet Explorer浏览器,在地址栏中输入“http://192.168.1.103/certsrv/”,进入Microsoft Active Directory证书服务页面,如图1所示。其中,192.168.1.103是CA的IP地址。
(2) 点击“下载CA证书、证书链或CRL”链接,进入下载 CA 证书、证书链或 CRL页面,如图2所示。
图2 下载CA证书
(3) 点击“下载CA证书”链接,按提示信息将证书保存至本地,根证书申请完成。
(1) 打开Internet Explorer浏览器,在地址栏中输入“http://192.168.1.103/certsrv/”,进入证书服务页面,如图3所示。其中,192.168.1.103是CA证书服务器的IP地址。
依次单击申请证书 > 高级证书申请 > 创建并向此CA提交一个申请菜单项,进入高级证书申请页面。
(2) 配置服务器证书申请,如图4所示。
参数配置如下:
· 姓名:填写“Server”。
· 需要的证书类型:选择“服务器身份验证证书”。
· CSP:选择“Microsoft Enhanced RSA and AES Cryptographic Provider(Prototype)”。
· 勾选“标记密钥可导出”,将证书设为可导出状态。
其他参数保持缺省值即可。
(3) 单击<提交>按钮,提交申请。
(4) 申请提交后,需要等待证书服务器管理员颁发证书。用户可以通过单击图3中的“查看挂起的证书申请的状态”查看证书申请的当前状态。
(5) 证书服务器管理员向您的证书申请授权后,在图5中,点击“安装此证书”链接,按照提示信息安装。
(6) 页面显示“您的新证书已成功安装”,客户端证书安装完成,如图6所示。
由于申请服务器证书时,无法下载服务器证书,而只能直接安装服务器证书到服务器的操作系统中,因此UAM还不具备证书认证的能力。必须将服务器证书从操作系统中导出,并导入到UAM中,才能使UAM具备证书认证的能力。
(1) 在服务器证书颁发成功页面,选择浏览器上[工具/Internet选项],进入Internet选项页面,如图7所示。
(2) 选择“内容”页签,单击<证书>按钮,进入证书页面,如图8所示。
(3) 选择需要导出的服务器证书,单击<导出>按钮,进入证书导出向导,如图9所示。
(4) 单击<下一步>按钮,进入导出私钥页面。选择“是,导出私钥”,如图10所示。
(5) 单击<下一步>按钮,进入导出文档格式页面,如图11所示。
(6) 证书存放格式保存缺省即可,单击<下一步>按钮,设置私钥密码,如图12所示。
(7) 单击<下一步>按钮,设置私钥存放路径,如图13所示。
(8) 单击<完成>按钮,服务器证书导出成功。
图14 导出成功
(1) 登录iMC。
(2) 选择“用户”页签。
(3) 单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项,进入证书配置页面,如图15所示。
(4) 点击证书校验中EAP证书配置的
链接,进入根证书配置页面,如图16所示。
(5) 单击<选择文件>按钮,选择根证书存放位置。
(6) 单击<下一步>按钮,进入CRL配置页面,如图17所示。
图17 CRL配置
(7) 这里不进行CRL设置,直接单击<下一步>按钮,配置服务器证书页面,如图18所示。
(8) 勾选“服务器证书和私钥在同一个文件”,单击<选择文件>按钮,选择导出的服务器证书文件。单击<下一步>按钮,输入服务器私钥密码(私钥密码是导出服务器证书时,设置的私钥密码),如图19所示。
(9) 输入正确的服务器私钥密码后,单击<下一步>按钮,显示CRL配置,单击<确定>按钮,iMC导入根证书和服务器证书操作完成。iMC服务器具备了证书认证的能力。
图20 CRL配置
(1) 登录iMC。
(2) 选择“用户”页签。
(3) 单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项,进入证书配置页面,如图21所示。
(4) 单击根证书配置下的<导入EAP根证书>按钮,进入导入根证书页面,如图22所示。
(5) 单击<选择文件>按钮,选择根证书存放位置。
(6) 单击<下一步按钮,进入CRL配置页面,如图23所示。
图23 CRL配置
(7) 单击<确定>按钮,根证书导入完成。
图24 根证书导入完成
(8) 单击服务器证书配置下的<导入EAP服务器证书>按钮,进入导入服务器证书页面,如图25所示。
(9) 勾选“服务器证书和私钥在同一文件”。单击<选择文件>按钮,选择导出的服务器证书文件,如图26所示。
(10) 单击<下一步>按钮,输入服务器私钥密码(私钥密码是导出服务器证书时,设置的私钥密码),如图27所示。
(11) 单击<确定>按钮,iMC导入服务器证书操作完成。至此,iMC服务器具备了证书认证的能力。
(1) 打开Internet Explorer浏览器,在地址栏中输入“http://192.168.1.103/certsrv/”,进入证书服务页面,如图28所示。其中,192.168.1.103是CA的IP地址。
(2) 点击“下载CA证书、证书链或CRL”链接,进入下载CA证书、证书链或 CRL页面,如图29所示。
图29 下载CA证书
(3) 点击“请安装此CA证书链”链接,待页面显示“已成功安装CA证书链”后,根证书安装成功。
(1) 打开Internet Explorer浏览器,在地址栏中输入“http://192.168.1.103/certsrv/”,进入证书服务页面,如图30所示。其中,192.168.1.103是CA证书服务器的IP地址。
(2) 依次单击申请证书 > 高级证书申请 > 创建并向此CA提交一个申请菜单项菜单项,进入高级证书申请页面。
(3) 配置客户端证书申请,如图31所示。
参数配置如下:
· 姓名:
¡ 如果申请的是用户证书,需要填入使用此证书的帐号名,如果帐号名在域内,还需要添加域名称。
¡ 如果申请的是计算机证书,需要填入使用此证书的计算机的计算机名。
· 需要的证书类型:选择“客户端身份验证证书”。
其他参数保持缺省值即可。
(4) 单击<提交>按钮,提交申请。
(5) 申请提交后,需要等待证书服务器管理员颁发证书。用户可以通过单击图30中的“查看挂起的证书申请的状态”查看证书申请的当前状态。如图32所示,为证书未颁发状态。
(6) 证书服务器管理员向您的证书申请授权后,在图33中,点击“安装此证书”链接,按照提示信息安装。
(7) 页面显示“您的新证书已成功安装”,客户端证书安装完成。
图34 证书已安装
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
