堡垒机开启证书认证方法参考

2021-11-26 22:34:00 浏览数 (16)

证书认证是传统型堡垒机二次较验的方式之一,主要是通过在本地客户端和服务端进行双向证书认证的方式,来校验本地客户端登陆的合法性。

让拥有合法授权证书的客户端才能成功登陆到堡垒机web管理界面后台

下面介绍一下证书认证配置的完整流程:

0、配置前的注意事项

堡垒机超级管理员和运维账号都可以配置证书认证,初次配置堡垒机证书认证,建议优先配置运维账号进行测试,不要直接先配置admin超级管理员账号

避免配置过程出现遗漏或失误,导致admin超级管理员账户无法登陆的情况发生

本次范例,主要介绍为运维用户开启证书认证的方法

1、管理员开启证书认证服务

  • 1.1 使用超级管理员admin登陆堡垒机,选择系统管理如下图所示:
  • 1.2 在系统管理--安全设置证书配置中,开启证书认证

堡垒机支持 本地自签发证书认证和 第三方签发证书认证 ,如需要使用第三方签发证书,可以选择第三方签发,同时上传自己的CA证书

第三方匹配字符说明如下:

  • 匹配起始字符:个人证书使用者的用户账号起始字符。
  • 匹配结束字符:个人证书使用者的用户账号结束字符
代码语言:txt复制
- 示例1:CN=姓名,EMAILADDRESS=name@xx.com,OU=abcd,O=SINOPEC,C=CN
  则匹配起始字符为:`EMAILADDRESS=`
代码语言:txt复制
  匹配结束字符为:`@`
代码语言:txt复制
- 示例2:CN=test,则配置匹配起始字符为 `CN=`,匹配结束字符为`,`

本范例使用的是本地自签发证书,因此选择本地证书后,点击启动即可

  • 1.3 重启web服务

证书服务开启后,需要重启web服务器,才能使证书配置生效,可在 系统管理 界面的 系统配置 ----系统维护中进行重启,如下图:

重启通常需要5-15分钟时间,重启完成后,退出堡垒机web后台,需要重新登陆

2、管理员生成证书

开启证书并重启web服务器后,将会退出web登陆界面,此时继续通过admin登陆堡垒机后台进行证书的生成和下载

超级管理员登陆后,在用户管理中选择需要证书登陆的运维用户,点击编辑,进入用户配置标签页,在证书管理中点击生成证书

1637927728828.png1637927728828.png
1637927680519.png1637927680519.png

3、运维用户下载和导入证书

超级管理员为运维用户生成证书后,接下来的操作就需要运维用户登陆进行操作了,运维用户需要下载证书并导入到自己本地个人电脑浏览器中

运维用户一共需要安装根证书和个人证书,下面依次介绍根证书和个人证书的安装流程

3.1 运维用户下载并导入根证书

运维账户(范例中的运维账户为theon_conner),登陆堡垒机web后台

1637928401213.png1637928401213.png

然后点击左上角电脑图标

1637928480511.png1637928480511.png

进入根证书下载标签页,下载根证书

1637928511358.png1637928511358.png

根证书下载到本地后,导入到浏览器(以谷歌浏览器为例),如下图步骤

1637928618797.png1637928618797.png
1637928686404.png1637928686404.png
1637928755694.png1637928755694.png
1637929176995.png1637929176995.png
1637929292399.png1637929292399.png
1637929485203.png1637929485203.png
1637929514355.png1637929514355.png

3.1 运维用户下载并导入个人证书

运维用户登陆堡垒机的web后台后,选择右上角的自维护

1637929635972.png1637929635972.png

在弹出的对话框中,的证书管理选项中,下载个人证书

1637929685603.png1637929685603.png

下载到本地后,在本地个人计算机浏览器中,导入本地证书(以谷歌浏览器为例)

1637929757707.png1637929757707.png
1637929976590.png1637929976590.png

个人证书的私钥密码为 zD3A7S9B#&2uS

1637930056022.png1637930056022.png
1637930075403.png1637930075403.png
1637930100024.png1637930100024.png
1637930109362.png1637930109362.png
1637930132524.png1637930132524.png

4、管理员开启运维账户证书认证

运维用户,导入并安装好根证书和个人证书后,使用admin管理员登陆堡垒机web后台,为运维账户(范例中为theon_conner)开启证书认证即可

1637930349963.png1637930349963.png
1637930379237.png1637930379237.png

5、运维账户登陆测试

管理员开启运维账户的证书登陆后,运维账户下次登陆就需要进行证书二次认证才能正常登陆了

1637930472644.png1637930472644.png
1637930579333.png1637930579333.png

6、补充:admin管理员证书认证

如您需要为admin管理员配置证书认证登陆,您无需安装根证书,只需要开启证书服务后,admin登陆堡垒机web后台,在自维护中,生成证书并下载,导入到本地个人计算机浏览器(参考3.1步骤运维账户个人证书的浏览器导入步骤),同时开启证书认证即可

1637930754442.png1637930754442.png
1637930771474.png1637930771474.png
1637930790652.png1637930790652.png

下载admin的个人证书后,参考第3.1步骤,运维用户导入个人证书的步骤,导入admin的个人证书即可(证书的私钥密码仍为zD3A7S9B#&2uS

1637930989548.png1637930989548.png

登陆测试

1637931147009.png1637931147009.png
数据安全网关

0 人点赞