• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C EAD终端智能接入典型配置举例-5W106

08-H3C EIA 证书使用指导

本章节下载 08-H3C EIA 证书使用指导  (1.47 MB)

08-H3C EIA 证书使用指导

H3C EIA 证书使用指导

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:5W100-20260424

产品版本:EIA (E7303)

 

Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

在网络安全认证体系中,证书认证是一种重要的身份验证与数据加密手段,能够有效保障通信双方的身份真实与数据传输的安全可靠。EIA支持基于证书的安全认证机制,通过在客户端与EIA之间建立可信的证书链,实现安全、稳定的接入。

在实际部署过程中,证书认证通常涉及多种类型的证书,包括用于建立信任根的“根证书”、用于标识和保护服务器身份的“服务器证书”、以及用于验证客户端身份的“客户端证书”等。正确申请、安装并配置这些证书,是确保认证顺利进行的关键。

本文将系统介绍H3C EIA环境下各类证书的作用与适用场景,详细说明证书的申请途径、生成方法、安装步骤等内容,帮助快速构建安全可靠的证书认证体系,并提升网络接入的整体安全性与管理效率。

表1-1 术语介绍

术语

说明

根证书

由权威的证书颁发机构(CA)签发,用于建立证书信任链的最高级别证书

服务器证书

用于标识服务器身份,并在客户端与服务器之间建立加密连接

客户端证书

用于标识客户端身份,在双向认证场景中由服务器验证其合法性

CA

证书颁发机构,负责签发、管理和吊销数字证书的权威机构

PKI

公钥基础设施,一套支持数字证书管理、密钥管理和加密通信的技术体系

 

 


2 使用指南

2.1  使用场合

2.1.1  适用对象

本手册适用于以下人员:

·     负责EIA系统部署、维护及管理的网络管理员。

·     需要为客户端配置证书认证的IT运维人员。

·     参与企业网络安全规划、实施及优化的技术工程师。

2.1.2  证书类型与使用场景

不同的认证场景可以采用不同的证书类型,服务器和客户端需要安装的证书也不尽相同。EAP-TLS、EAP-TTLS、EAP-PEAP这三种常见的认证证书类型,它们都属于EAP(Extensible Authentication Protocol,可扩展认证协议)的不同实现方式,通常用于网络接入认证。

表2-1 证书类型

认证证书类型

使用场合

所需安装的证书

客户端

EIA

EAP-TLS

用户证书认证

根证书

用户证书

根证书

服务器证书

计算机证书认证

根证书

计算机证书

EAP-TTLS

用户证书认证

根证书

服务器证书

EAP-PEAP

 

说明

用户证书和计算机证书都属于客户端证书,只是在申请的时候证书名称不同。用户证书的证书名称是账号名,计算机证书的证书名称是计算机的全名。

 

表2-2 证书类型详细介绍

证书类型

特征

优点

缺点

适用场景

EAP-TLS

·     基于双向证书认证,客户端和服务器都需要持有有效的数字证书

·     通过TLS协议加密整个认证过程,安全性极高

·     证书由权威CA或企业内部CA签发,包含公钥、私钥、身份信息

·     认证过程中会验证服务器证书的合法性,同时服务器也会验证客户端证书的合法性

·     安全性高,防止中间人攻击和身份伪造

·     适合高安全要求的企业网络

·     部署复杂,需要为每个客户端发放并安装证书

·     证书管理和更新成本较高

·     企业内网高安全无线接入(如802.1X)

·     高安全接入认证

·     VPN双向证书认证

EAP-TTLS

·     只要求服务器端有证书,客户端不必须安装证书

·     在TLS加密隧道中,客户端使用用户名/密码等方式进行二次认证(如PAP、CHAP、MS-CHAPv2)

·     隧道建立后,用户凭证在加密通道中传输,减少被窃取风险

·     部署相对简单,只需管理服务器证书

·     兼顾安全性与易用性

·     安全性略低于EAP-TLS,因为客户端不使用证书进行身份验证

·     仍可能受到弱密码攻击的威胁

·     企业无线网络认证(中等安全要求)

·     办公环境中用户量较大、证书分发困难的接入系统

EAP-PEAP

·     由Microsoft、Cisco和RSA Security共同开发

·     类似EAP-TTLS,只要求服务器证书,用TLS建立安全隧道

·     常见的内部认证方式是MS-CHAPv2,用于在隧道内验证用户名和密码

·     广泛支持于Windows、macOS、Linux、Android、iOS等系统

·     部署简单,客户端无需证书

·     与Active Directory 集成方便,特别适合Windows环境

·     安全性依赖于密码强度和服务器证书管理

·     如果密码泄露,可能被冒用

·     企业无线网络(尤其是 Windows AD 环境)

·     与域控结合的用户认证

·     需要兼顾易部署和一定安全性的场合

 

表2-3 证书类型对比总结

证书类型

客户端证书

服务器证书

安全性

典型场景

EAP-TLS

必须

必须

高安全企业网络、双向认证VPN

EAP-TTLS

不需要

必须

中等安全无线接入、大规模用户

EAP-PEAP

不需要

必须

Windows域环境无线接入

 

2.2  配置前提

在申请和安装证书之前,需要先自行部署并配置 CA(认证授权中心,Certification Authority)服务器。本文示例基于已完成配置且IP地址为10.114.119.41的CA服务器进行说明。

注意

·     在使用Internet Explorer浏览器访问证书服务器前,建议将[Internet>安全>自定义级别]选项中的“ActiveX控件和插件”区域下的选项置为“启用”或“提示”并重启。

由于IE使用限制,访问证书服务器的IE版本不能高于安装证书服务器系统的IE版本。


3 申请和安装证书-服务器

为了使EIA具备证书认证能力,需要将根证书和服务器证书文件导入到EIA中。证书文件的获取方式如下:

·     根证书文件:申请后直接下载。

·     服务器证书文件:无法直接下载。获取方法如下:

a.     安装证书:申请服务器证书时,直接将证书安装到用于访问证书服务页面的操作系统中。

b.     导出证书文件:在该操作系统中,使用IE浏览器将已安装的服务器证书导出为文件。

3.2  申请证书

1. 根证书

(1)     在可以访问证书服务的操作系统中,打开Internet Explorer浏览器,在地址栏中输入http://10.114.119.41/certsrv/”,进入Microsoft Active Directory证书服务页面,如下图所示。其中,10.114.119.41是CA服务器的IP地址。

图3-2 证书服务

 

(2)     单击“下载CA证书、证书链或CRL”链接,进入下载CA证书、证书链或CRL页面,如下图所示。

图3-3 下载CA证书

 

(3)     单击“下载CA证书”链接,按提示信息将证书保存至本地。

(4)     鼠标双击下载完成的“certnew.cer”文件,打开本地的根证书,如下图所示。

图3-4 证书

 

(5)     单击<安装证书>按钮,进入证书导入向导页面,如下图所示。

图3-5 证书导入向导

 

(6)     按需选择存储位置,单击<下一步>按钮,进入证书存储页面,如下图所示。

图3-6 证书存储

 

(7)     使能“将所有的证书放入下列存储”项,单击<浏览>按钮,进入选择证书存储页面,如下图所示。

图3-7 选择证书存储

 

(8)     选择“受信任的根证书颁发机构”项,单击<确定>按钮,返回证书存储页面。单击<下一步>按钮,进入正在完成证书导入向导页面,如下图所示。

图3-8 正在完成证书导入向导

 

(9)     单击<完成>按钮,系统出现提示安全警告,单击<是>按钮,根证书安装完成,如下图所示。

图3-9 安全性警告

 

2. 服务器证书

(1)     在可以访问证书服务的操作系统中,打开Internet Explorer浏览器,在地址栏中输入“http://10.114.119.41/certsrv/”,进入证书服务页面,如下图所示。其中,10.114.119.41是CA证书服务器的IP地址。

图3-10 证书服务

 

(2)     依次单击“申请证书 > 高级证书申请 > 创建并向此CA提交一个申请”链接,进入高级证书申请页面,配置服务器证书申请,如下图所示。

图3-11 服务器证书申请

 

参数配置如下:

¡     姓名:填写“Server”。

¡     需要的证书类型:选择“服务器身份验证证书”。

¡     CSP:选择“Microsoft Enhanced RSA and AES Cryptographic Provider”。

¡     勾选“标记密钥可导出”,将证书设为可导出状态。

其他参数保持缺省值即可

(3)     单击<提交>按钮,提交申请,如下图所示。

图3-12 提交申请

 

提示

申请提交后,需要等待证书服务器管理员颁发证书。用户可以通过单击图3-10中的“查看挂起的证书申请的状态”查看证书申请的当前状态。

 

(4)     证书服务器管理员向您的证书申请授权后,单击图3-10中的“查看挂起的证书申请的状态”链接,进入查看证书申请的当前状态页面,如下图所示。

图3-13 看挂起的证书申请的状态

 

(5)     单击“服务器身份验证证书”链接,进入证书已颁发页面,如下图所示。

图3-14 证书已颁发

 

(6)     单击“安装此证书”链接,按照提示信息安装。页面显示“你的新证书已成功安装”如下图所示。

图3-15 证书已安装

 

3.3  导出服务器证书

(1)     单击浏览器右上角工具图标,弹出工具菜单栏,选择“Internet选项”菜单项,进入Internet选项页面,如下图所示。

图3-16 Internet选项

 

(2)     切换至“内容”页签,单击<证书>按钮,进入证书页面,如下图所示。

图3-17 导出证书

 

(3)     选择需要导出的服务器证书,单击<导出>按钮,进入证书导出向导,如下图所示。

图3-18 证书导出向导

 

(4)     单击<下一步>按钮,进入导出私钥页面,如下图所示。

图3-19 导出私钥

 

(5)     选择“是,导出私钥”项,单击<下一步>按钮,进入导出文档格式页面,如下图所示。

图3-20 导出文件格式

 

(6)     使能“个人信息交换 – PKCS #12(.PFX)(P)”项,并按需去勾选“如果可能,则包括证书路径中的所有证书”项,单击<下一步>按钮,进入安全页面,设置私钥密码,如下图所示。

图3-21 私钥密码

 

(7)     勾选“密码”项,输入并确认密码,单击<下一步>按钮,进入要导出的文件页面,如下图所示。

图3-22 要导出的文件

 

(8)     单击<浏览>按钮,弹出选择窗口,如下图所示。

图3-23 另存为

 

(9)     选择私钥存放路径,输入文件名,单击<保存>按钮,返回要导出的文件页面。单击<下一步>按钮,进入正在完成证书导出向导页面,如下图所示。

图3-24 正在完成证书导出向导

 

(10)     单击<完成>按钮,导出完成。

3.4  将根证书和服务器证书导入EIA服务器

1. 导入根证书

(1)     单击[自动化>网络准入>准入管理>参数管理]菜单项,进入参数管理页面。然后单击证书管理下方“认证证书”菜单,进入证书配置页面,如下图所示。

图3-25 证书配置

 

(2)     单击“根证书配置”标题下的<导入EAP根证书>按钮,进入导入根证书页面,如下图所示。

图3-26 选择文件

 

(3)     单击<选择文件>按钮,选择根证书。单击<下一步>按钮,进入CRL配置页面,如下图所示。

图3-27 CRL配置

 

(4)     单击<确定>按钮,根证书导入完成,可在列表中查看根证书导入信息,如下图所示。

图3-28 根证书导入完成

 

2. 导入服务器证书

(1)     单击[自动化>网络准入>准入管理>参数管理]菜单项,进入参数管理页面。然后单击证书管理下方“认证证书”菜单,进入证书配置页面,如下图所示。

图3-29 服务器证书配置

 

(2)     单击“服务器证书配置”页签下的<导入EAP服务器证书>按钮,进入导入服务器证书页面,如下图所示。

图3-30 配置服务器证书

 

(3)     勾选“服务器证书和私钥在同一文件”项,单击<选择文件>按钮,选择导出的服务器证书文件,如下图所示。

图3-31 配置服务器证书

 

(4)     单击<下一步>按钮,进入服务器私钥密码页面。

(5)     输入服务器私钥密码(私钥密码是导出服务器证书时设置的私钥密码),单击<确定>按钮,EIA导入服务器证书操作完成,可在列表中查看证书信息,如下图所示。

图3-32 导入完成

 

(6)     导入完成后,单击<已导入证书校验>按钮,验证证书完整性。校验完整后,EIA服务器已具备了证书认证的能力。

图3-33 证书校验结果


4 申请和安装证书-客户端

4.1  申请证书

1. 根证书

请参考申请证书章节内容申请根证书。

2. 客户端证书

(1)     在可以访问证书服务的操作系统中,打开Internet Explorer浏览器,在地址栏中输入“http://10.114.119.41/certsrv/”,进入证书服务页面。其中,10.114.119.41是CA证书服务器的IP地址。

图4-1 证书服务

 

(2)     依次单击“申请证书 > 高级证书申请 > 创建并向此CA提交一个申请”链接,进入高级证书申请页面,如下图所示。

图4-2 客户端证书申请

 

参数配置如下:

¡     姓名:

-     如果申请的是用户证书,需要填入使用此证书的账号名,如果账号名在域内,还需要添加域名称。

-     如果申请的是计算机证书,需要填入使用此证书的计算机的计算机名。

说明

EIA与客户端配合进行证书认证时,如果系统参数中启用了“检查账号名与证书中的属性”参数,且勾选了“主题-CN、主题-Email、主题备用名-DNS、主题备用名-UPN”中的一项或几项属性,则账号名至少要与选中的一项属性一致,否则认证失败;如果系统参数中没有启用“检查账号名与证书中的属性”参数,则没有该限制,申请证书时填写的姓名亦不做要求。

 

¡     需要的证书类型:选择“客户端身份验证证书”。

¡     如需导出客户端证书,勾选“标记密钥可导出”,将证书设为可导出状态。

其他参数保持缺省值即可。

(3)     单击<提交>按钮,提交申请。

提示

申请提交后,需要等待证书服务器管理员颁发证书。用户可以通过单击图中的“查看挂起的证书申请的状态”查看证书申请的当前状态。

 

(4)     证书服务器管理员向您的证书申请授权后,单击图中的“查看挂起的证书申请的状态”链接,进入查看证书申请的当前状态页面,如下图所示。

图4-3 看挂起的证书申请的状态

 

(5)     单击“客户端身份验证证书”链接,进入证书已颁发页面,如下图所示。

图4-4 证书已颁发

 

(6)     单击“安装此证书”链接,按照提示信息安装。页面显示“你的新证书已成功安装”如下图所示。

图4-5 证书已安装

 

4.2  导出客户端证书

请参考导出服务器证书章节内容导出客户端证书。

4.3  安装根证书和客户端证书

管理员将根证书和客户端证书分发给需要认证的用户,用户收到证书文件后,将根证书和客户端证书文件分别在自己本地终端上进行安装即可。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们