• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

28-HTTPS认证告警消除典型配置

本章节下载 28-HTTPS认证告警消除典型配置  (339.08 KB)

28-HTTPS认证告警消除典型配置


简介

本文档用于介绍设备上HTTPS认证告警消除的功能,HTTPS认证告警消除用于消除https弹出认证portal时会弹出告警的不方便,告警消除功能分为两部分:HTTPS弹portal告警消除和加密认证告警消除。

·              HTTPS弹portal告警消除:当用户访问https时,弹出portal前会有告警。

·              加密认证告警消除:本地web认证、短信认证有加密功能,当开启加密时,访问的所有http和https都被加密为HTTPS,该功能用于消除加密后的https站点的告警。

配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解用户认证特性。

使用限制

·              HTTPS认证消除告警功能生效,需要在设备配置SSL证书,可以不配置解密策略,但是要加载证书。PC浏览器导入本地证书后功能方可生效。

·              必须访问域名,弹出的portal才能消除告警,且终端DNS请求必须经过设备。

·              HTTPS认证告警消除不支持项:不支持移动端、包括ios、安卓系统。

·              该功能不支持IPv6。

·              认证告警消除,默认支持消除告警的站点仅包含在解密支持的站点内。开启全域名支持后,受限于SSL解密规格。

·              证书记录缓存功能仅支持设备内置的默认站点,全部站点消除告警功能默认关闭,全部站点消除告警功能关闭时,内置站点记录缓存且消除告警,非内置站点则有告警。

·              全部站点消除告警功能开启后,则所有URL全部消除告警,但是全部站点不再记录缓存。

·              证书记录缓存默认开启,可以通过命令行选择关闭。

·              HTTPS弹portal的证书缓存功能,只支持https对象中的域名(不包含通配符域名),证书缓存功能只在开启用户态协议栈,且未开启全域名消除告警时生效。

·              开启消除告警功能后认证登录的上线用户,在心跳维持时,如果卸载证书,或者关闭功能,已经上线的用户会心跳超时,最终超时下线。

配置举例

4.1  组网需求

本功能需要DNS访问必须经过设备,所以二层和三层组网只要确保认证PC的流量经过设备就可以,组网如图1所示。

图1 组网图

4.2  配置思路

·              生成一个新的根证书,导出证书。

·              导入本地证书,并在SSL中引用该证书,不需要配置解密策略。

·              在浏览器中导入证书。

·              配置认证策略,开启消除告警功能。

·              访问https弹出portal认证页面,触发消除告警功能。

4.3  使用版本

本举例是在R6616版本上进行配置和验证的。

4.4  配置注意事项

本功能需要访问HTTPS域名,且DNS经过设备,所以需要认证终端的DNS经过设备,且能正常访问HTTPS域名,访问IP地址时该功能不生效。

4.5  配置步骤

4.5.1  配置设备

1. 根据组网图配置接口地址、静态路由及NAT策略。

2. 配置证书。

如果没有已生成的证书则需要先生成根证书。

(1)      进入“策略配置>对象管理>CA服务器>根CA配置管理”,单击“生成CA根证书”,如下图所示。配置证书名称、密码、有效期,并记好密码,之后导入证书时需要输入正确的密码。

图2 生成CA根证书

 

(2)      单击“导出CA根证书”,如下图所示。

图3 导出CA根证书

 

(3)      然后把下载好的证书导入到设备本地证书。进入“策略配置>对象管理>本地证书>证书>导入”,如下图所示。可以选择导入P12格式或CER格式,输入刚才设置的密码,点击提交,把证书成功导入到设备。

图4 导入证书

 

(4)      进入“策略配置>SSL解密策略>解密策略”,在证书列表中选择导入的证书。

图5 选择证书

 

4.5.2  浏览器导入证书(以Chrome浏览器为例)。

(1)      进入“设置>隐私设置和安全性>安全>管理证书>受信任的根证书颁发机构”,单击“导入”,根据提示选择和设备上引用的一样的证书,单击“下一步”,直到完成证书导入后,点击确认完成导入。

图6 浏览器导入证书

 

4.5.3  配置设备认证

1. 配置告警消除

进入“用户管理>认证管理>高级选项”,勾选“https弹portal和https弹portal告警消除”和“加密认证告警消除”,识别范围改为any,如下图所示。

图7 配置告警消除页面

 

2. 配置认证策略

进入“用户管理>认证管理>认证策略”,点击新建,认证方式选择本地WEB认证,配置完成后点击提交。

图8 配置认证策略

 

在认证方式中选择本地Web认证进行配置,把加密的勾选取消。

图9 配置本地Web认证

 

3. 验证配置

(1)      弹portal是否有告警。

Host A访问https域名(如:https://www.baidu.com),被重定向到认证页面,且没有告警页面。

图10 认证无告警页面

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们