堡垒机开启证书认证方法参考
原创
证书认证是传统型堡垒机二次较验的方式之一,主要是通过在本地客户端和服务端进行双向证书认证的方式,来校验本地客户端登陆的合法性。
让拥有合法授权证书的客户端才能成功登陆到堡垒机web管理界面后台
下面介绍一下证书认证配置的完整流程:
0、配置前的注意事项
堡垒机超级管理员和运维账号都可以配置证书认证,初次配置堡垒机证书认证,建议优先配置运维账号进行测试,不要直接先配置admin超级管理员账号
避免配置过程出现遗漏或失误,导致admin超级管理员账户无法登陆的情况发生
本次范例,主要介绍为运维用户开启证书认证的方法
1、管理员开启证书认证服务
- 1.1 使用超级管理员admin登陆堡垒机,选择
系统管理如下图所示:
- 1.2 在
系统管理--安全设置的证书配置中,开启证书认证
堡垒机支持 本地自签发证书认证和 第三方签发证书认证 ,如需要使用第三方签发证书,可以选择第三方签发,同时上传自己的CA证书
第三方匹配字符说明如下:
- 匹配起始字符:个人证书使用者的用户账号起始字符。
- 匹配结束字符:个人证书使用者的用户账号结束字符
- 示例1:CN=姓名,EMAILADDRESS=name@xx.com,OU=abcd,O=SINOPEC,C=CN
则匹配起始字符为:`EMAILADDRESS=` 匹配结束字符为:`@`- 示例2:CN=test,则配置匹配起始字符为 `CN=`,匹配结束字符为`,`本范例使用的是本地自签发证书,因此选择本地证书后,点击启动即可
- 1.3 重启web服务
证书服务开启后,需要重启web服务器,才能使证书配置生效,可在 系统管理 界面的 系统配置 ----系统维护中进行重启,如下图:
重启通常需要5-15分钟时间,重启完成后,退出堡垒机web后台,需要重新登陆
2、管理员生成证书
开启证书并重启web服务器后,将会退出web登陆界面,此时继续通过admin登陆堡垒机后台进行证书的生成和下载
超级管理员登陆后,在用户管理中选择需要证书登陆的运维用户,点击编辑,进入用户配置标签页,在证书管理中点击生成证书
3、运维用户下载和导入证书
超级管理员为运维用户生成证书后,接下来的操作就需要运维用户登陆进行操作了,运维用户需要下载证书并导入到自己本地个人电脑浏览器中
运维用户一共需要安装根证书和个人证书,下面依次介绍根证书和个人证书的安装流程
3.1 运维用户下载并导入根证书
运维账户(范例中的运维账户为theon_conner),登陆堡垒机web后台
然后点击左上角电脑图标
进入根证书下载标签页,下载根证书
根证书下载到本地后,导入到浏览器(以谷歌浏览器为例),如下图步骤
3.1 运维用户下载并导入个人证书
运维用户登陆堡垒机的web后台后,选择右上角的自维护
在弹出的对话框中,的证书管理选项中,下载个人证书
下载到本地后,在本地个人计算机浏览器中,导入本地证书(以谷歌浏览器为例)
个人证书的私钥密码为 zD3A7S9B#&2uS
4、管理员开启运维账户证书认证
运维用户,导入并安装好根证书和个人证书后,使用admin管理员登陆堡垒机web后台,为运维账户(范例中为theon_conner)开启证书认证即可
5、运维账户登陆测试
管理员开启运维账户的证书登陆后,运维账户下次登陆就需要进行证书二次认证才能正常登陆了
6、补充:admin管理员证书认证
如您需要为admin管理员配置证书认证登陆,您无需安装根证书,只需要开启证书服务后,admin登陆堡垒机web后台,在自维护中,生成证书并下载,导入到本地个人计算机浏览器(参考3.1步骤运维账户个人证书的浏览器导入步骤),同时开启证书认证即可
下载admin的个人证书后,参考第3.1步骤,运维用户导入个人证书的步骤,导入admin的个人证书即可(证书的私钥密码仍为zD3A7S9B#&2uS)
登陆测试
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。