你好支持的

1  簡介

本文檔介紹F1000-C8102設備管理員雙因子認證功能配置舉例，在配置前，先了解如下定義：

·     管理員雙因子認證： 結合管理員合法賬號和Ukey雙重身份的認證方式。

·     Ukey： 具有識別和導入用戶證書功能的USB設備。

2  配置前提

本文檔中的配置均是在實驗室環境下進行的配置和驗證，配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置和以下舉例中的配置不衝突。

·     Ukey管理軟件： 對Ukey設備進行初始化授權。

·     Ukey客戶端軟件： 對Ukey設備導入用戶證書。

本文檔假設您已了管理員雙因子認證特性。

3  管理員雙因子認證功能配置舉例

3.1  組網需求

如圖1所示，某公司網絡管理員對設備訪問權限進行了嚴格控製，在設備上開啟管理員雙因子認證，要求同時擁有合法管理員賬號和Ukey設備的用戶才能登錄設備進行操作 。

圖1 管理員雙因子認證組網

3.2  配置思路

·     在設備上配置各接口地址，如拓撲圖所示。

·     生成CA根證書。

·     生成用戶證書並簽發。

·     導出用戶證書（P12格式）。

·     將Ukey初始化。

·     將用戶證書導入Ukey。

·     開啟管理員雙因子認證。

·     驗證配置。

3.3  配置步驟

1. 配置路由接口

如圖2、圖3所示，在設備上配置各接口地址。點擊“網絡配置>接口>物理接口”，配置接口IP地址。

圖2 配置ge2接口

圖3 配置mgt0接口

2. 生成CA根證書

如圖4所示，點擊“對象管理>CA服務器>根CA配置管理”，在根證書管理中點擊生成CA根證書，配置CA信息。

圖4 配置CA根證書

如圖5所示，查看已生成的CA根證書。

圖5 查看已生成的CA根證書

3. 生成用戶證書並簽發

如圖6所示，點擊“資源管理 > CA服務器 > 用戶證書管理>生成證書請求”，配置用戶證書信息。

圖6 配置用戶證書

如圖7所示，點擊簽發證書，輸入證書有效期和密碼，提交。

圖7 簽發用戶證書

如圖8所示，查看已生成並簽發的用戶證書。

圖8 簽發用戶證書

4. 導出用戶證書

如圖9所示，點擊“資源管理 > CA服務器 > 用戶證書管理”，點擊導出用戶證書。

圖9 簽發用戶證書

5. 將Ukey初始化（首次使用Ukey）

(1)     如圖10所示，在“係統管理>管理設定”中下載Ukey客戶端軟件安裝，管理員電腦插上Ukey，然後下載Ukey管理軟件，並雙擊打開。

圖10 Ukey管理軟件界麵

(2)     如圖11所示，點擊圖中向上的箭頭。

圖11 Ukey管理軟件初始化按鈕

(3)     如圖12所示，點擊上圖初始化按鈕，配置並確定，完成Ukey初始化。

圖12 Ukey管理軟件初始化界麵

如圖13所示，Ukey管理軟件初始化過程。

圖13 Ukey管理軟件初始化過程界麵

如圖14所示，Ukey管理軟件初始化成功彈框提示。

圖14 Ukey管理軟件初始化成功界麵

6. 將用戶證書導入Ukey

(1)     如圖15所示，將Ukey管理軟件關閉退出，雙擊打開已安裝的Ukey客戶端軟件，輸入之前設置的PIN碼後，登錄成功。

圖15 Ukey客戶端軟件登錄界麵

(2)     如圖16所示，Ukey管理軟件登錄成功界麵。

圖16 Ukey客戶端軟件登錄成功界麵

(3)     如圖17所示，點擊導入，通過<瀏覽>找到之前下載的用戶證書user.p12，輸入證書訪問密碼，新建容器命名名稱，用途選擇<簽名>，確定提交。

圖17 Ukey客戶端軟件導入用戶證書界麵

(4)     如圖18所示，用戶證書導入成功。

圖18 用戶證書導入成功界麵

7. 開啟管理員雙因子認證

如圖19所示，點擊“係統管理>管理員>管理設定”，開啟管理員雙因子認證功能。

圖19 開啟管理員雙因子認證

3.4  配置注意事項

·     開啟管理員雙因子認證前需要先生成CA根證書。

·     在管理員雙因子認證功能已正常開啟的情況下，如果設備CA證書發生變更，需要先關閉管理員雙因子認證功能然後再次開啟，以便重新關聯新的CA根證書。

3.5  驗證配置

如圖20所示，管理員Host不插入Ukey，直接使用https方式訪問設備，不會顯示登錄界麵，提示沒有登錄證書。

圖20 管理員訪問設備WEB界麵失敗

如圖21所示，插上Ukey後，再次使用https方式訪問設備，會彈出證書選擇界麵，選擇證書，點擊確定。

圖21 選擇證書

如圖22所示，彈出框驗證PIN碼，輸入正確的PIN碼：。

圖22 輸入驗證PIN碼

如圖23所示，返回設備WEB登錄界麵，輸入正確的管理員用戶名密碼，即可登錄設備。

圖23 設備WEB登錄界麵

4  管理員雙因子認證功能使用限製及注意事項

·     開啟管理員雙因子認證前需要先生成CA根證書

·     在管理員雙因子認證功能已正常開啟的情況下，如果設備CA證書發生變更，需要先關閉管理員雙因子認證功能然後再次開啟，以便重新關聯新的CA根證書

·     IE瀏覽器因對證書安全檢驗級別較高，不受信任的證書網站瀏覽器會禁止用戶繼續訪問，導致無法通過https訪問設備

·     火狐瀏覽器需要做兼容性設置，否則無法調用Ukey中的證書，設置方法參見後麵第5節：火狐瀏覽器兼容性設置方法

·     USBKey目前僅支持epass一個廠商

5  火狐瀏覽器兼容性設置

說明：示例瀏覽器版本號55.0.3（32位），因瀏覽器版本不同，設置方法可能會略有差異

(1)     按如下截圖操作，選擇<菜單>- <選項>

(2)     按如下截圖操作，選擇<高級>-<證書>-<安全設備>

(3)     按如下截圖操作並配置，選擇<載入>，模塊名稱填寫：epass2001PKCS#11 Module ， 模塊文件名選擇瀏覽並填寫路徑  C :\Windows\System32\ ShuttleCsp11_2001.dll（此為默認安裝路徑）

(4)     查看是否設置成功：

6  相關資料

·     《H3C SecPath F1000-C8102安全產品管理平台Web配置手冊》 中的“管理設定”

·     《H3C SecPath F1000-C8102安全產品管理平台 對外測試手冊》中的“管理員雙因子認證測試”