EIA认证证书怎么申请
- 0关注
- 0收藏,756浏览
问题描述:
EIA的内置证书只有一年有效期,需要每年重新导入,如果用户自己申请CA证书的话,怎么申请,有教程吗
组网及组网描述:
- 2023-09-18提问
- 举报
-
(0)
您好,请知:
以下是EIA的配置举例,请参考:
3 配置举例
3.1 组网需求
某公司用户接入网络时采用802.1X进行身份验证,同时在通信前用户客户端相互验证对方的证书。具体的组网如图1所示。EIA服务器IP地址为192.168.40.239,接入设备IP地址为192.168.30.100,连接PC的端口为Eth1/0/9,此端口进行接入认证,用户PC使用的IP地址为192.168.30.235。
本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 接入设备为H3C S3600V2-28TP-EI Comware Software,Version 5.20,Release 2103
· iNode版本为iNode PC 7.3 (E0601)
3.2 配置步骤
3.2.1 配置EIA服务器
配置EIA服务器时,需要配置以下功能:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
· 导入证书
1. 增加接入设备
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备列表页面,如图2所示。
(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 增加接入设备。增加接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
本例采用手工增加的方式进行说明。
a. 单击页面下方设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。
b. 输入接入设备的IP地址,本例为“192.168.30.100”,完成效果如图5所示。
图5 手工输入接入设备的IP地址
c. 单击<确定>按钮,页面返回增加接入设备页面。
(4) 配置接入配置参数,参数说明如表1所示,配置完成效果如图6所示。
参数 | 说明 |
认证端口 | EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致,一般采用默认端口1812。 |
计费端口 | EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致,一般采用默认端口1813。 |
共享密钥/确认共享密钥 | 接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致,本例为“hello”。 |
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面,如图7所示。
(6) 单击“返回接入设备列表”链接,返回接入设备列表,在列表中查看新增的接入设备,如图8所示。
2. 增加接入策略
为了验证接入用户及EIA服务器的证书,创建接入策略时需选择证书认证。
(1) 单击导航树中的[接入策略管理>接入策略管理]菜单项,进入接入策略管理页面,如图9所示。
(2) 单击<增加>按钮,增加接入策略,配置参数说明如表2所示。本例参考配置如下,配置完成效果如图10所示。
¡ 接入策略名:输入CA策略。
¡ 首选EAP类型:选择“EAP-TLS”。
¡ EAP自协商:选择“不启用”。
¡ 其他参数保持默认即可。
增加接入策略时涉及配置参数较多,请按实际需求进行配置。如仅需体验或验证相关功能,可参考本例配置。
参数 | 参数说明 |
接入策略名 | 接入策略在接入业务中的唯一标识。 |
业务分组 | 用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。配置该接入策略所属的业务分组,用于接入策略的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置接入策略。 |
描述 | 针对该接入策略的描述,方便操作员的日常维护。 |
接入时段 | 选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。 |
分配IP地址 | 是否下发用户IP地址。当选择“是”时,则为用户选择使用此接入策略的服务时须填写要下发的IP地址,用户在使用此接入策略上线时,RADIUS服务器会把填写的IP地址下发给客户端,客户端会将此IP应用到所在终端并进行重认证。此外接入策略“用户客户端配置”区域的“IP地址获取方式”不要选择“必须动态获取”;如果接入策略勾选了“绑定用户IP地址”,需把下发给用户的IP地址加入该用户的绑定的IP地址中或保证可以通过自学习的方式绑定此IP地址,已使得用户可通过IP地址检查。 |
上行、下行速率 | 根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。 |
优先级 | 其值高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。 |
首选EAP类型/子类型 | 进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型。 · EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。 · EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionID以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionID进行快速重认证,简化认证流程,加快认证速度,可对较大的TLS报文进行分片处理。 · EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2,EAP-MD5,EAP-GTC)和两个非EAP的子类型(MSCHAPv2,PAP)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。 · EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。 · EAP-SIM:是一种基于GSM-SIM卡的身份认证,EAP-SIM提供了双向认证,即服务器端认证客户端,客户端认证服务器端,只有双向认证通过之后,服务器端才发送EAP-Success消息至客户端,客户端才可以接入网络。同时,EAP-SIM认证机制还通过多次挑战响应机制,生成更强的会话密钥。 |
EAP自协商 | 当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。 · 配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。 · 配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。 |
单次最大在线时长(分钟) | 使用该策略的接入帐号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果帐号在线时间超过该参数值,EIA则强制该用户下线。 |
在线最大时长预警阀值(分钟) | 达到最大在线时长下线提前预警,适用于使用iNode认证。该参数取值范围为1~1440,单位为分钟;默认值为20,表示将达到最大在线时长时提前20分钟预警。此功能必须启用策略服务器心跳,且心跳周期需要小于该参数值。 |
下发地址池 | 输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。 |
下发VLAN | 设置向用户下发的VLAN。 · 当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务将以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。 · 其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。 |
下发User Profile | 将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。 |
下发VSI名称 | 对于采用VXLAN组网的场景,Leaf设备作为接入设备时,可以下发VSI名称,将用户划分到相应的VXLAN中。 |
下发ACL | 设置向用户下发的访问控制列表。 |
离线检查时长 | 哑终端用户认证通过后向设备下发该参数,设备以该参数作为时间间隔周期性检测哑终端,如果在周期内未收到哑终端的报文,则断开该哑终端的连接并通知RADIUS服务器该哑终端用户已下线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。 |
认证密码方式 | · 如果选择“帐号密码”,服务器只校验帐号密码。 · 如果选择“动态密码”,服务器只校验动态密码,动态密码可由短信、电子邮件两种方式发送给用户。 · 如果选择“帐号密码+动态密码”,服务器同时校验帐号密码和动态密码,动态密码由短信方式发送给用户。 · 如果选择“帐号密码+异步短信验证码”,服务器先校验帐号密码,帐号密码校验通过后再去校验短信验证码,验证码由短信方式发送给用户。 由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和EAP-PEAP/EAP-GTCS四种认证方式,所以选择“动态密码”或“帐号密码+动态密码”时,认证方式只能配置为以上四种方式,“帐号密码+动态密码”仅适用于客户端认证。 |
(3) 单击<确定>按钮,完成接入策略的配置。
3. 增加接入服务
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入服务管理]菜单项,进入接入服务管理页面,如图11所示。
(2) 单击接入服务管理页面中的<增加>按钮,增加接入服务,配置参数说明如表3所示。本例参考配置如下,配置完成如图12所示。
¡ 服务名:输入“CA服务”。
¡ 服务后缀:输入“cert”。
¡ 缺省接入策略:选择“CA策略”。
¡ 其他参数保持默认即可。
参数 | 参数说明 |
服务名 | 输入服务名称,其为特定服务在接入业务中的唯一标识。 |
服务后缀 | 服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表4。 |
缺省接入策略 | 当接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制。 |
缺省私有属性下发策略 | 不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。 |
缺省单帐号最大绑定终端数 | 接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。取值范围为0~999,值为0时表示不限制。 |
缺省单帐号在线数量限制 | 接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。取值范围为0~999,值为0时表示不限制。 |
服务描述 | 针对该服务的描述,以方便操作员的日常维护。 |
可申请 | 只有选中此项,用户在开户或修改帐户信息时才可以申请该服务。当系统启用按用户分组申请服务时,如果该服务已经指定给用户分组,那么无论该服务是否为可申请状态,属于该用户分组的接入用户都会申请该服务。 |
无感知认证 | 决定服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证,第一次认证时会强制推出认证页面,用户需要输入用户名和密码进行认证,第一次认证成功后,RADIUS服务器会将该终端的MAC地址和接入用户绑定(如果是Portal认证方式,还会和服务绑定),之后如果该智能终端再次接入网络,RADIUS服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务,并自动进行认证,不会再强制推出认证页面,无需再次输入用户名和密码。 |
表4 iMC中服务后缀的选择
认证连接用户名 | 设备用于认证的Domain | 设备Radius scheme中的命令 | iMC中服务的后缀 |
X@Y | Y | user-name-format with-domain | Y |
user-name-format without-domain | 无后缀 | ||
X | [Default Domain] 设备上指定的缺省域 | user-name-format with-domain | [Default Domain] |
user-name-format without-domain | 无后缀 |
(3) 单击<确定>按钮完成接入服务的配置。
4. 增加接入用户
如果系统参数中启用了“检查帐号名与证书中的属性”参数,且勾选了“主题-CN、主题-Email、主题备用名-DNS、主题备用名-UPN”中的一项或几项属性,则增加接入用户时,帐号名至少要与选中的一项属性一致,否则认证失败;如果系统参数中没有启用“检查帐号名与证书中的属性”参数,则没有该限制。本例没有启用“检查帐号名与证书中的属性”参数,如图13所示。
(1) 选择“用户”页签,单击导航树中的[接入用户管理>接入用户]菜单项,进入接入用户列表页面,如图14所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图15所示。
¡ 选择基本用户方式:单击“选择基本用户”图标,弹出选择基本用户窗口,如图16所示,输入基本用户姓名后单击<查询>按钮,可以查询出已存在的基本用户,勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式,一个基本用户下可存在多个接入用户,基本用户通过用户姓名和证件号码构成唯一标识。
¡ 直接配置方式:在如图15所示中直接进行用户姓名填写,完成效果如图17所示。本例选择直接配置方式。
(4) 接入信息及接入服务配置如下,配置完成效果如图18所示。
¡ 帐号名:输入用于认证的帐号名sam。
¡ 密码/密码确认:输入两次相同的密码。
¡ 接入服务:选择“CA服务”。
¡ 其他参数保持默认即可。
(5) 单击<确定>按钮,完成接入用户的配置。
5. 证书配置
申请根证书和服务器证书的详细操作请参见“iMC EIA证书使用指导”。
(1) 选择“用户”页签。
(2) 单击导航树中的[接入策略管理>业务参数配置>证书配置]菜单项,进入证书配置页面,如图19所示。
(3) 在“根证书配置”页签下,单击<导入EAP根证书>按钮,进入根证书配置页面。
(4) 单击<选择文件>按钮,选择要导入的根证书,如图20所示。
(5) 单击<下一步按钮,进入CRL配置页面,如图21所示。
图21 CRL配置
(6) 暂时不进行CRL的配置,单击<确定>按钮,完成根证书的配置,如图22所示。
(7) 选择“服务器证书配置”页签,如图23所示,开始配置服务器证书。
(8) 单击<导入EAP服务器证书>按钮,进入服务器证书配置页面。
(9) 勾选“服务器证书和私钥在同一文件”,单击<选择文件>按钮,选择导出的服务器证书文件,如图24所示。
(10) 单击<下一步>按钮,输入服务器私钥密码(在导出服务器证书时设置的私钥密码),如图25所示。
(11) 单击<确定>按钮,服务器证书配置完成,如图26所示。
(12) 单击<已导入证书校验>按钮,校验根证书和服务器证书的合法性,如图27所示。
3.2.2 配置接入设备
1. RADIUS方案配置
<SWITCH>system-view
//配置RADIUS方案capolicy。
[SWITCH]radius scheme capolicy
//配置RADIUS认证服务器IP,端口(端口默认为1812,与iMC配置的认证端口保持一致)。
[SWITCH-radius-capolicy]primary authentication 192.168.40.239 1812
//配置RADIUS计费服务器IP,端口(端口默认为1813,与iMC配置的计费端口保持一致)。
[SWITCH-radius-capolicy]primary accounting 192.168.40.239 1813
//配置RADIUS认证和计费密钥,与iMC配置的共享密钥一致。
[SWITCH-radius-capolicy]key authentication hello
[SWITCH-radius-capolicy]key accounting hello
//指定设备发送RADIUS报文使用的源地址。
[SWITCH-radius-capolicy] nas-ip 192.168.30.100
//配置服务器类型,extended表示支持扩展属性。
[SWITCH-radius-capolicy]server-type extended
//配置用户名格式,with-domain表示用户名后携带域名。
[SWITCH-radius-capolicy]user-name-format with-domain
[SWITCH-radius-capolicy]quit
2. Domain配置
//配置Domain uamca。
[SWITCH]domain cert
//指定802.1X 关联的RADIUS方案。
[SWITCH-isp- cert]authentication lan-access radius-scheme capolicy
[SWITCH-isp- cert]authorization lan-access radius-scheme capolicy
[SWITCH-isp- cert]accounting lan-access radius-scheme capolicy
[SWITCH-isp- cert]quit
3. 802.1X配置
//必须使能全局和接口的802.1X功能后,接口的802.1X功能才生效。
[SWITCH]dot1x
[SWITCH]dot1x interface Ethernet 1/0/9
//因为是证书认证,所以必须选择EAP认证方式。
[SWITCH]dot1x authentication-method eap
3.3 客户端配置
3.3.1 安装根证书
客户端根证书的申请和安装请参见“iMC EIA证书使用指导”。
3.3.2 申请并安装客户端证书
客户端证书的申请和安装请参见“iMC EIA证书使用指导”。
3.3.3 iNode PC客户端配置
1. 证书认证配置
(1) 打开iNode客户端,单击“802.1X连接”,如图28所示。
图28 iNode客户端
(2) 单击“更多”按钮,选择“属性”菜单项,弹出属性设置窗口,如图29所示。
(3) 选择“高级”页签,配置高级认证,如图30所示。
(4) 勾选“启用高级认证”前的复选框,如图31所示。
(5) 配置证书认证,配置完成效果如图32所示,具体配置步骤如下。
a. 在下拉框中选择“证书认证”。
b. 证书类型选择“EAP-TLS”。
c. 单击<选择客户端证书…>按钮,在弹出的窗口中选择用于认证的客户端证书,单击<确定>按钮,证书选择完成。
d. 勾选“验证服务器证书”前的复选框。
(6) 单击<确定>按钮,证书认证配置完成。
2. iNode客户端认证
(1) 证书认证配置完成后,iNode界面变化如图33所示。
图33 连接界面
(2) 输入用户名“sam@cert”,单击<连接>按钮,iNode智能客户端开始请求身份验证,身份验证完成后,用户成功接入网络,如图34所示。
3.3.4 在EIA中查看在线用户
选择“用户”页签,点击导航树中的[接入用户管理>在线用户]菜单项,进入在线用户页面。在本地在线用户列表中可以看到“sam@cert”在线,如图35所示。
- 2023-09-18回答
- 评论(1)
- 举报
-
(0)
所以你粘贴这么一大段的意义是什么?
所以你粘贴这么一大段的意义是什么?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
“iMC EIA证书使用指导”这个文档在哪可以找到