【SSLVPN】【系统维护】配置证书管理员及使用UKEY登录管理页

2线-李晓锋发表于:2021年05月28日 11:02:02

1     简介

        本文档以导入operator及auditor证书管理员为例,介绍国密/信创SSL VPN设备配置证书管理员及使用UKEY登录管理页面的配置。

2     配置前提

         本文档适用于国密/信创SSL VPN设备,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

         国密/信创SSLVPN产品配套提供了admin,operator,auditor 共3个UKEY, admin及配套UKEY可以直接登录SSLVPN设备进行初始配置。operator及auditor账号需要添加operator及auditor证书管理员账号后,才可以使用对应的UKEY登录管理页面。

出厂UKEY说明:


管理员

安全管理员

审计管理员

UKEY标识

admin

operator

auditor

管理员证书

出厂已导入

SS-operator.cert.pem

SS-auditor.cert.pem

账号权限

系统管理

配置管理

审计与监控

UKEY外观示例:                                            image.png

 

3     配置举例  

3.1    配置思路

使用admin账号及UKEY登陆管理页面。

添加CA根证书。

添加operator/auditor 证书管理员账号,设置管理员权限。

3.2    使用版本

         本配置是在6.2.149.34.6419a63.SJJ版本上进行配置和验证的。

3.3    配置步骤

1)   将admin UKEY插入电脑,使用奇安信浏览器访问SSLVPN管理页面,初始地址为https://10.0.0.1:4430/admin。输入admin账号及密码点击【登录】

image.png

在弹出窗口中会显示当前插入UKEY名称及证书使用者,证书颁发者等信息。

UKEY的PIN初始为12345678。点击【确定】即可登录成功。

image.png

2)   导入可信CA。

使用operator的UKEY登录SSLVPN设备,点击【安全】【认证管理】【证书认证】,在【可信CA】菜单下点击【添加】点击【请选择文件】导入可信CA证书。

注意:SSLVPN设备出厂时已预置自签名的可信CA,如果只使用SSLVPN预制的可信CA,此步骤可忽略。当用户有自己的可信CA时,需增加此步骤。

image.png

3)   添加证书管理员。点击【系统设置】-【管理员账号】,点击【添加】。

凭证:选择【证书】

证书:点击【请选择文件】在弹出的对话框中选择SS-operator.cert.pem或SS-auditor.cert.pem证书进行导入

证书类型:【国密证书】

管理员类型:【系统】【安全】【审计】

根据管理员类型选择,operator对应安全管理员,auditor对应审计管理员。

image.png

配置后效果如图:

image.png

  • 设备出厂时内置本地认证管理员operator及auditor,可配合导入我司提供的operator及auditor证书,使用对应的账号密码加UKEY的方式登录并管理SSLVPN设备。

  • 用户需自行导入由可信CA颁发的管理员证书及手动创建本地认证管理员账号并将管理员证书灌装至UKEY,然后才可以使用对应本地认证管理员账号密码加UKEY的方式登录并管理SSLVPN设备。

4     验证配置

1)   使用operator账号及operator UKEY登录管理页面。可以访问应用配置,企业移动管理,用户管理,策略设置,认证管理及安全选项配置。image.png

2)   使用auditor账号及auditor UKEY登录管理页面。可以访问审计查询,用户状态访问排名,系统状态,应用状态,审计服务器配置。

image.png

5     注意事项

1)   根据国家相关规定,缺省的admin账号是用来做管理员初始化操作的,不能用于业务和安全管理。

2)   建议用户自行导入三个管理员证书:系统管理员、安全管理员和审计管理员。SSLVPN出厂的证书仅用于初始化配置。

3)   可信CA证书以及管理员证书、用户证书需要由合规的第三方签发,从第三方获得证书文件和USB KEY。

4)   附件为信创SSLVPN出厂operator及auditor证书。


附件:operator.auditor.cert.zip • 1.11KB • 下载