防火墙双因子认证

防火墙Web登录的“证书+密码”双因子认证中，所使用的证书是由您自己公司内部的PKI系统或防火墙设备生成的，而不是由第三方机构提供。

这是一种基于公钥基础设施（PKI）的本地化安全方案，目的是确保管理员访问的安全性。其核心流程可以理解为：您在自己公司的防火墙或内部服务器上建立一个“发证机关”（CA），并用它为每一位管理员签发专属的数字“身份证”（即用户证书），最后将这个“身份证”导入到U-Key（一种USB密钥设备）中。

 证书类型说明

此方案主要涉及两类证书：

• CA根证书：这是您自己创建的内部证书颁发机构（CA）的“根证书”，是整个信任体系的基石。

• 用户证书：这是为每位管理员单独签发的“数字身份证”，绑定其个人身份信息，用于登录时的身份验证。

 证书来源：为何非第三方机构？

关键在于，这类双因子认证使用的是内部私有证书，而非第三方机构签发的公网SSL证书。第三方CA（如DigiCert、GlobalSign）主要用于验证公开网站的身份，无法用于此处管理员个人身份的内部校验，而且外部机构也无法拿到您公司内部的个人敏感信息。

 配置案例：以H3C设备为例

根据您的设备品牌，实现此功能需经过以下关键步骤：

第1步：配置防火墙基础网络
确保防火墙接口IP地址和路由配置正确，保证管理PC能通过网络访问到防火墙设备。

第2步：在防火墙上创建并配置CA服务器
在防火墙Web管理界面中，找到CA服务器或PKI相关功能，生成您自己的CA根证书和密钥，也就是建立起您自己的“发证机关”。

第3步：为用户申请并签发证书
在CA服务器上为每位需要登录的管理员生成一个证书请求，然后用您的CA根证书为其签发一个用户数字证书。

第4步：生成并导出证书
将签发好的用户证书导出为.p12格式的个人信息交换文件。在导出时系统会要求您设置一个密码，这个密码非常重要，是登录时除U-Key外的第二个验证要素。

第5步：将证书导入U-Key（物理令牌）
使用U-Key厂商提供的管理软件，将导出的.p12证书文件和密码导入U-Key硬件中。U-Key在此处扮演了两个角色：

• 存储介质：安全保存用户的数字证书。

• 身份载体：物理持有，确保“只有拥有此U-Key的人才能登录”。

第6步：在防火墙上启用双因子认证
在防火墙Web管理界面中找到“管理员双因子认证”功能并启用，绑定之前生成的CA根证书，并将相关管理员账户与U-Key关联。

第7步：登录验证
完成所有配置后，管理员在登录时，需要同时插入U-Key（第一因子：您有什么）、输入U-Key密码（第二因子：您知道什么，即第4步设置的密码）和账户密码（可选，第三因子：您是谁），验证通过后方可登录。

 注意事项与验证

• 设备与U-Key兼容性：不同厂商和型号的防火墙与U-Key的兼容性可能不同，实施前务必查阅官方硬件兼容性列表。如H3C官方文档提到需要U-Key管理软件和客户端软件。

• 登录测试：建议在实际应用前进行充分的登录测试，确保流程无误。例如，有用户在配置后遇到浏览器提示“不接受您的登录证书，或者您可能没有提供登录证书”的情况，这可能意味着证书未被正确导入浏览器或U-Key，或浏览器安全设置阻止了证书弹窗。

• 证书管理：妥善保管CA根证书私钥，并建立用户证书的生命周期管理机制（如定期更新、吊销）。

• 厂商官方文档：具体配置命令和界面可能因防火墙型号和软件版本而异，最准确的操作指南请务必参考您设备对应的官方配置手册。

• 方案规划：此方案适用于内部管理系统（如防火墙管理后台）的高安全加固。对于面向公众的服务，则可能需要集成短信、动态令牌等其他双因子方案。

一、这个 “证书 + 密码” 到底是什么证书？
你在 H3C 防火墙上配置的 Web 登录双因子：证书 + 密码，指的是：
客户端证书（用户证书）
不是网站 HTTPS 证书
不是服务器证书
是 给管理员个人用的证书，存在浏览器 / USB Key / 电脑证书库里
谁来提供？两种都可以
1）企业自己签发（自建 CA）—— 最常用、免费、内网够用
防火墙自己当 CA
自己给管理员签发用户证书
不需要第三方
配置最简单、无成本
2）第三方 CA 机构签发（如 CFCA、天威诚信、Entrust）
合规要求高、等保 3 级以上场景用
需要购买证书服务
普通运维场景完全没必要
二、真实场景结论（99% 企业都这样）
内网管理防火墙 → 自己建 CA、自己签发证书，不需要第三方。
三、完整配置案例（直接复制可用）
1. 开启 HTTPS 和登录双因子
plaintext
ip https enable
local-user admin
password cipher Admin@123
service-type https
authorization-attribute user-role network-admin

login-verify enable
login-verify mode certificate
2. 自建 CA + 签发管理员证书
plaintext
# 1. 创建 PKI 实体
pki entity local-ca
common-name firewall-ca
country CN
organization IT

pki entity admin-user
common-name admin
country CN
organization IT

# 2. 创建 PKI 域
pki domain myca
ca identifier local-ca
certificate request entity local-ca

pki domain admin-cert
ca identifier local-ca
certificate request entity admin-user

# 3. 自签发 CA 证书
pki create certificate ca domain myca

# 4. 签发管理员用户证书
pki create certificate local domain admin-cert
3. 导出证书给浏览器使用
plaintext
# 导出 CA 证书（要导入浏览器“受信任的根证书”）
pki export ca domain myca pem filename ca.crt

# 导出用户证书（给管理员浏览器登录用）
pki export local domain admin-cert p12 filename admin.p12 password simple 123456
四、浏览器安装证书（关键步骤）
导入 ca.crt 到：
Internet 属性 → 内容 → 证书 → 受信任的根证书颁发机构
导入 admin.p12 到：
个人 → 导入 → 输入密码 123456
五、登录效果（双因子）
打开防火墙 Web：
输入用户名：admin
输入密码：Admin@123
浏览器自动弹出选择客户端证书
验证通过才允许登录
缺一不可：证书 + 密码 = 双因子
六、你最关心的一句话总结
Web 登录的 “证书 + 密码” 双因子 = 客户端用户证书
不需要第三方，企业自己在防火墙上建 CA 签发即可
配置简单、免费、满足等保，是标准方案