28-HTTPS认证告警消除典型配置
本章节下载: 28-HTTPS认证告警消除典型配置 (339.08 KB)
目录
本文档用于介绍设备上HTTPS认证告警消除的功能,HTTPS认证告警消除用于消除https弹出认证portal时会弹出告警的不方便,告警消除功能分为两部分:HTTPS弹portal告警消除和加密认证告警消除。
· HTTPS弹portal告警消除:当用户访问https时,弹出portal前会有告警。
· 加密认证告警消除:本地web认证、短信认证有加密功能,当开启加密时,访问的所有http和https都被加密为HTTPS,该功能用于消除加密后的https站点的告警。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解用户认证特性。
3 使用限制
· HTTPS认证消除告警功能生效,需要在设备配置SSL证书,可以不配置解密策略,但是要加载证书。PC浏览器导入本地证书后功能方可生效。
· 必须访问域名,弹出的portal才能消除告警,且终端DNS请求必须经过设备。
· HTTPS认证告警消除不支持项:不支持移动端、包括ios、安卓系统。
· 该功能不支持IPv6。
· 认证告警消除,默认支持消除告警的站点仅包含在解密支持的站点内。开启全域名支持后,受限于SSL解密规格。
· 证书记录缓存功能仅支持设备内置的默认站点,全部站点消除告警功能默认关闭,全部站点消除告警功能关闭时,内置站点记录缓存且消除告警,非内置站点则有告警。
· 全部站点消除告警功能开启后,则所有URL全部消除告警,但是全部站点不再记录缓存。
· 证书记录缓存默认开启,可以通过命令行选择关闭。
· HTTPS弹portal的证书缓存功能,只支持https对象中的域名(不包含通配符域名),证书缓存功能只在开启用户态协议栈,且未开启全域名消除告警时生效。
· 开启消除告警功能后认证登录的上线用户,在心跳维持时,如果卸载证书,或者关闭功能,已经上线的用户会心跳超时,最终超时下线。
4 配置举例
本功能需要DNS访问必须经过设备,所以二层和三层组网只要确保认证PC的流量经过设备就可以,组网如图1所示。
· 生成一个新的根证书,导出证书。
· 导入本地证书,并在SSL中引用该证书,不需要配置解密策略。
· 在浏览器中导入证书。
· 配置认证策略,开启消除告警功能。
· 访问https弹出portal认证页面,触发消除告警功能。
本举例是在R6616版本上进行配置和验证的。
本功能需要访问HTTPS域名,且DNS经过设备,所以需要认证终端的DNS经过设备,且能正常访问HTTPS域名,访问IP地址时该功能不生效。
如果没有已生成的证书则需要先生成根证书。
(1) 进入“策略配置>对象管理>CA服务器>根CA配置管理”,单击“生成CA根证书”,如下图所示。配置证书名称、密码、有效期,并记好密码,之后导入证书时需要输入正确的密码。
图2 生成CA根证书
(2) 单击“导出CA根证书”,如下图所示。
图3 导出CA根证书
(3) 然后把下载好的证书导入到设备本地证书。进入“策略配置>对象管理>本地证书>证书>导入”,如下图所示。可以选择导入P12格式或CER格式,输入刚才设置的密码,点击提交,把证书成功导入到设备。
图4 导入证书
(4) 进入“策略配置>SSL解密策略>解密策略”,在证书列表中选择导入的证书。
图5 选择证书
(1) 进入“设置>隐私设置和安全性>安全>管理证书>受信任的根证书颁发机构”,单击“导入”,根据提示选择和设备上引用的一样的证书,单击“下一步”,直到完成证书导入后,点击确认完成导入。
图6 浏览器导入证书
进入“用户管理>认证管理>高级选项”,勾选“https弹portal和https弹portal告警消除”和“加密认证告警消除”,识别范围改为any,如下图所示。
图7 配置告警消除页面
进入“用户管理>认证管理>认证策略”,点击新建,认证方式选择本地WEB认证,配置完成后点击提交。
图8 配置认证策略
在认证方式中选择本地Web认证进行配置,把加密的勾选取消。
图9 配置本地Web认证
(1) 弹portal是否有告警。
Host A访问https域名(如:https://www.baidu.com),被重定向到认证页面,且没有告警页面。
图10 认证无告警页面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!