08-H3C EIA 证书使用指导
本章节下载: 08-H3C EIA 证书使用指导 (1.47 MB)
H3C EIA 证书使用指导
资料版本:5W100-20260424
产品版本:EIA (E7303)
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
在网络安全认证体系中,证书认证是一种重要的身份验证与数据加密手段,能够有效保障通信双方的身份真实与数据传输的安全可靠。EIA支持基于证书的安全认证机制,通过在客户端与EIA之间建立可信的证书链,实现安全、稳定的接入。
在实际部署过程中,证书认证通常涉及多种类型的证书,包括用于建立信任根的“根证书”、用于标识和保护服务器身份的“服务器证书”、以及用于验证客户端身份的“客户端证书”等。正确申请、安装并配置这些证书,是确保认证顺利进行的关键。
本文将系统介绍H3C EIA环境下各类证书的作用与适用场景,详细说明证书的申请途径、生成方法、安装步骤等内容,帮助快速构建安全可靠的证书认证体系,并提升网络接入的整体安全性与管理效率。
表1-1 术语介绍
|
术语 |
说明 |
|
根证书 |
由权威的证书颁发机构(CA)签发,用于建立证书信任链的最高级别证书 |
|
服务器证书 |
用于标识服务器身份,并在客户端与服务器之间建立加密连接 |
|
客户端证书 |
用于标识客户端身份,在双向认证场景中由服务器验证其合法性 |
|
CA |
证书颁发机构,负责签发、管理和吊销数字证书的权威机构 |
|
PKI |
公钥基础设施,一套支持数字证书管理、密钥管理和加密通信的技术体系 |
本手册适用于以下人员:
· 负责EIA系统部署、维护及管理的网络管理员。
· 需要为客户端配置证书认证的IT运维人员。
· 参与企业网络安全规划、实施及优化的技术工程师。
不同的认证场景可以采用不同的证书类型,服务器和客户端需要安装的证书也不尽相同。EAP-TLS、EAP-TTLS、EAP-PEAP这三种常见的认证证书类型,它们都属于EAP(Extensible Authentication Protocol,可扩展认证协议)的不同实现方式,通常用于网络接入认证。
|
认证证书类型 |
使用场合 |
所需安装的证书 |
|
|
客户端 |
EIA |
||
|
EAP-TLS |
用户证书认证 |
根证书 用户证书 |
根证书 服务器证书 |
|
计算机证书认证 |
根证书 计算机证书 |
||
|
EAP-TTLS |
用户证书认证 |
根证书 |
服务器证书 |
|
EAP-PEAP |
|||
用户证书和计算机证书都属于客户端证书,只是在申请的时候证书名称不同。用户证书的证书名称是账号名,计算机证书的证书名称是计算机的全名。
表2-2 证书类型详细介绍
|
证书类型 |
特征 |
优点 |
缺点 |
适用场景 |
|
EAP-TLS |
· 基于双向证书认证,客户端和服务器都需要持有有效的数字证书 · 通过TLS协议加密整个认证过程,安全性极高 · 证书由权威CA或企业内部CA签发,包含公钥、私钥、身份信息 · 认证过程中会验证服务器证书的合法性,同时服务器也会验证客户端证书的合法性 |
· 安全性高,防止中间人攻击和身份伪造 · 适合高安全要求的企业网络 |
· 部署复杂,需要为每个客户端发放并安装证书 · 证书管理和更新成本较高 |
· 企业内网高安全无线接入(如802.1X) · 高安全接入认证 · VPN双向证书认证 |
|
EAP-TTLS |
· 只要求服务器端有证书,客户端不必须安装证书 · 在TLS加密隧道中,客户端使用用户名/密码等方式进行二次认证(如PAP、CHAP、MS-CHAPv2) · 隧道建立后,用户凭证在加密通道中传输,减少被窃取风险 |
· 部署相对简单,只需管理服务器证书 · 兼顾安全性与易用性 |
· 安全性略低于EAP-TLS,因为客户端不使用证书进行身份验证 · 仍可能受到弱密码攻击的威胁 |
· 企业无线网络认证(中等安全要求) · 办公环境中用户量较大、证书分发困难的接入系统 |
|
EAP-PEAP |
· 由Microsoft、Cisco和RSA Security共同开发 · 类似EAP-TTLS,只要求服务器证书,用TLS建立安全隧道 · 常见的内部认证方式是MS-CHAPv2,用于在隧道内验证用户名和密码 · 广泛支持于Windows、macOS、Linux、Android、iOS等系统 |
· 部署简单,客户端无需证书 · 与Active Directory 集成方便,特别适合Windows环境 |
· 安全性依赖于密码强度和服务器证书管理 · 如果密码泄露,可能被冒用 |
· 企业无线网络(尤其是 Windows AD 环境) · 与域控结合的用户认证 · 需要兼顾易部署和一定安全性的场合 |
表2-3 证书类型对比总结
|
证书类型 |
客户端证书 |
服务器证书 |
安全性 |
典型场景 |
|
EAP-TLS |
必须 |
必须 |
高 |
高安全企业网络、双向认证VPN |
|
EAP-TTLS |
不需要 |
必须 |
中 |
中等安全无线接入、大规模用户 |
|
EAP-PEAP |
不需要 |
必须 |
中 |
Windows域环境无线接入 |
在申请和安装证书之前,需要先自行部署并配置 CA(认证授权中心,Certification Authority)服务器。本文示例基于已完成配置且IP地址为10.114.119.41的CA服务器进行说明。
· 在使用Internet Explorer浏览器访问证书服务器前,建议将[Internet>安全>自定义级别]选项中的“ActiveX控件和插件”区域下的选项置为“启用”或“提示”并重启。
由于IE使用限制,访问证书服务器的IE版本不能高于安装证书服务器系统的IE版本。
为了使EIA具备证书认证能力,需要将根证书和服务器证书文件导入到EIA中。证书文件的获取方式如下:
· 根证书文件:申请后直接下载。
· 服务器证书文件:无法直接下载。获取方法如下:
a. 安装证书:申请服务器证书时,直接将证书安装到用于访问证书服务页面的操作系统中。
b. 导出证书文件:在该操作系统中,使用IE浏览器将已安装的服务器证书导出为文件。
(1) 在可以访问证书服务的操作系统中,打开Internet Explorer浏览器,在地址栏中输入“http://10.114.119.41/certsrv/”,进入Microsoft Active Directory证书服务页面,如下图所示。其中,10.114.119.41是CA服务器的IP地址。
(2) 单击“下载CA证书、证书链或CRL”链接,进入下载CA证书、证书链或CRL页面,如下图所示。
(3) 单击“下载CA证书”链接,按提示信息将证书保存至本地。
(4) 鼠标双击下载完成的“certnew.cer”文件,打开本地的根证书,如下图所示。
(5) 单击<安装证书>按钮,进入证书导入向导页面,如下图所示。
(6) 按需选择存储位置,单击<下一步>按钮,进入证书存储页面,如下图所示。
(7) 使能“将所有的证书放入下列存储”项,单击<浏览>按钮,进入选择证书存储页面,如下图所示。
(8) 选择“受信任的根证书颁发机构”项,单击<确定>按钮,返回证书存储页面。单击<下一步>按钮,进入正在完成证书导入向导页面,如下图所示。
(9) 单击<完成>按钮,系统出现提示安全警告,单击<是>按钮,根证书安装完成,如下图所示。
(1) 在可以访问证书服务的操作系统中,打开Internet Explorer浏览器,在地址栏中输入“http://10.114.119.41/certsrv/”,进入证书服务页面,如下图所示。其中,10.114.119.41是CA证书服务器的IP地址。
(2) 依次单击“申请证书 > 高级证书申请 > 创建并向此CA提交一个申请”链接,进入高级证书申请页面,配置服务器证书申请,如下图所示。
参数配置如下:
¡ 姓名:填写“Server”。
¡ 需要的证书类型:选择“服务器身份验证证书”。
¡ CSP:选择“Microsoft Enhanced RSA and AES Cryptographic Provider”。
¡ 勾选“标记密钥可导出”,将证书设为可导出状态。
其他参数保持缺省值即可。
(3) 单击<提交>按钮,提交申请,如下图所示。
申请提交后,需要等待证书服务器管理员颁发证书。用户可以通过单击图3-10中的“查看挂起的证书申请的状态”查看证书申请的当前状态。
(4) 证书服务器管理员向您的证书申请授权后,单击图3-10中的“查看挂起的证书申请的状态”链接,进入查看证书申请的当前状态页面,如下图所示。
(5) 单击“服务器身份验证证书”链接,进入证书已颁发页面,如下图所示。
(6) 单击“安装此证书”链接,按照提示信息安装。页面显示“你的新证书已成功安装”如下图所示。
(1) 单击浏览器右上角工具图标
,弹出工具菜单栏,选择“Internet选项”菜单项,进入Internet选项页面,如下图所示。
(2) 切换至“内容”页签,单击<证书>按钮,进入证书页面,如下图所示。
(3) 选择需要导出的服务器证书,单击<导出>按钮,进入证书导出向导,如下图所示。
(4) 单击<下一步>按钮,进入导出私钥页面,如下图所示。
(5) 选择“是,导出私钥”项,单击<下一步>按钮,进入导出文档格式页面,如下图所示。
(6) 使能“个人信息交换 – PKCS #12(.PFX)(P)”项,并按需去勾选“如果可能,则包括证书路径中的所有证书”项,单击<下一步>按钮,进入安全页面,设置私钥密码,如下图所示。
(7) 勾选“密码”项,输入并确认密码,单击<下一步>按钮,进入要导出的文件页面,如下图所示。
(8) 单击<浏览>按钮,弹出选择窗口,如下图所示。
(9) 选择私钥存放路径,输入文件名,单击<保存>按钮,返回要导出的文件页面。单击<下一步>按钮,进入正在完成证书导出向导页面,如下图所示。
(10) 单击<完成>按钮,导出完成。
(1) 单击[自动化>网络准入>准入管理>参数管理]菜单项,进入参数管理页面。然后单击证书管理下方“认证证书”菜单,进入证书配置页面,如下图所示。
(2) 单击“根证书配置”标题下的<导入EAP根证书>按钮,进入导入根证书页面,如下图所示。
(3) 单击<选择文件>按钮,选择根证书。单击<下一步>按钮,进入CRL配置页面,如下图所示。
(4) 单击<确定>按钮,根证书导入完成,可在列表中查看根证书导入信息,如下图所示。
(1) 单击[自动化>网络准入>准入管理>参数管理]菜单项,进入参数管理页面。然后单击证书管理下方“认证证书”菜单,进入证书配置页面,如下图所示。
(2) 单击“服务器证书配置”页签下的<导入EAP服务器证书>按钮,进入导入服务器证书页面,如下图所示。
(3) 勾选“服务器证书和私钥在同一文件”项,单击<选择文件>按钮,选择导出的服务器证书文件,如下图所示。
(4) 单击<下一步>按钮,进入服务器私钥密码页面。
(5) 输入服务器私钥密码(私钥密码是导出服务器证书时设置的私钥密码),单击<确定>按钮,EIA导入服务器证书操作完成,可在列表中查看证书信息,如下图所示。
(6) 导入完成后,单击<已导入证书校验>按钮,验证证书完整性。校验完整后,EIA服务器已具备了证书认证的能力。
图3-33 证书校验结果
请参考申请证书章节内容申请根证书。
(1) 在可以访问证书服务的操作系统中,打开Internet Explorer浏览器,在地址栏中输入“http://10.114.119.41/certsrv/”,进入证书服务页面。其中,10.114.119.41是CA证书服务器的IP地址。
(2) 依次单击“申请证书 > 高级证书申请 > 创建并向此CA提交一个申请”链接,进入高级证书申请页面,如下图所示。
参数配置如下:
¡ 姓名:
- 如果申请的是用户证书,需要填入使用此证书的账号名,如果账号名在域内,还需要添加域名称。
- 如果申请的是计算机证书,需要填入使用此证书的计算机的计算机名。
EIA与客户端配合进行证书认证时,如果系统参数中启用了“检查账号名与证书中的属性”参数,且勾选了“主题-CN、主题-Email、主题备用名-DNS、主题备用名-UPN”中的一项或几项属性,则账号名至少要与选中的一项属性一致,否则认证失败;如果系统参数中没有启用“检查账号名与证书中的属性”参数,则没有该限制,申请证书时填写的姓名亦不做要求。
¡ 需要的证书类型:选择“客户端身份验证证书”。
¡ 如需导出客户端证书,勾选“标记密钥可导出”,将证书设为可导出状态。
其他参数保持缺省值即可。
(3) 单击<提交>按钮,提交申请。
申请提交后,需要等待证书服务器管理员颁发证书。用户可以通过单击图中的“查看挂起的证书申请的状态”查看证书申请的当前状态。
(4) 证书服务器管理员向您的证书申请授权后,单击图中的“查看挂起的证书申请的状态”链接,进入查看证书申请的当前状态页面,如下图所示。
(5) 单击“客户端身份验证证书”链接,进入证书已颁发页面,如下图所示。
(6) 单击“安装此证书”链接,按照提示信息安装。页面显示“你的新证书已成功安装”如下图所示。
请参考导出服务器证书章节内容导出客户端证书。
管理员将根证书和客户端证书分发给需要认证的用户,用户收到证书文件后,将根证书和客户端证书文件分别在自己本地终端上进行安装即可。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
