Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

证书管理概述

通常,用户根据其用户名和密码从应用程序或系统访问资源。您还可以使用证书对各种服务器和用户之间的会话进行身份验证和授权。基于证书的安全套接字层 (SSL) 连接身份验证是最安全的身份验证类型。证书可以存储在智能卡、USB 令牌或计算机硬盘驱动器上。用户通常无需输入用户名和密码即可刷卡以登录系统。

Junos Space 网络管理平台采用基于密码的默认身份验证模式。管理员可以使用默认凭据登录 Junos Space 平台。Junos Space Platform 允许您使用基于证书的身份验证,从 Junos Space 网络管理平台 15.2R1 版开始,使用基于 X.509 参数的身份验证来验证用户。这些身份验证模式可从“管理”工作区的“修改应用程序设置”页面上的用户部分进行配置。

默认情况下,Junos Space 平台使用自签名 SSL 证书。但是,如果您需要使用自己的自定义证书,可以 X.509 或 PKCS#12 格式上传自定义证书。在完整证书验证模式下,整个 X.509 证书会在登录过程中得到验证,您必须为所有用户上传用户证书。

在基于 X.509 参数的身份验证期间,每个用户最多可指定四个在登录过程中验证的 X.509 证书参数。借助基于 X.509 参数的身份验证,可以避免将新用户的证书上传到 Junos Space 平台。Junos Space Platform 从创建用户时加载的证书中提取现有用户参数值。您可以在“管理”工作区的“修改应用程序设置”页面上的 X509 证书参数部分定义 X.509 证书参数。

注意:

一次仅支持一种身份验证模式,并使用所选的身份验证模式对所有用户进行身份验证。

有关 Junos Space 平台上的身份验证模式、自定义 Junos Space 服务器证书、用户证书、证书颁发机构 (CA) 证书、证书撤销列表 (CRL) 以及证书到期和无效条件的工作流程信息,请参阅以下部分。

认证模式工作流程

为不同身份验证模式建立 SSL 连接的步骤如下:

  • 基于用户名和密码的身份验证:

    1. 客户端请求访问 Junos Space 服务器。

    2. Junos Space 服务器将其证书呈现给客户端。

    3. 客户端验证服务器的证书。

    4. 如果证书验证成功,则客户端会将其用户名和密码发送至服务器。

    5. 服务器会验证客户端的凭据。

    6. 如果验证成功,则服务器将授予对客户端请求的受保护资源的访问权限。

  • 基于证书的身份验证:

    1. 客户端请求访问 Junos Space 服务器。

    2. Junos Space 服务器将其证书呈现给客户端。

    3. 客户端验证服务器的证书。

    4. 如果证书验证成功,则客户端将其证书发送至服务器。

    5. 服务器会验证客户端的证书。

    6. 如果验证成功,则服务器将授予对客户端请求的受保护资源的访问权限。

      如果验证失败,Junos Space 平台向用户显示登录失败页面。

  • 基于 X509 证书参数的身份验证:

    1. 客户端请求访问 Junos Space 服务器。

    2. Junos Space 服务器向客户端出示其 X.509 证书。

    3. 客户端验证服务器的 X.509 证书。

    4. 如果证书验证成功,则客户端将其证书发送至服务器。

    5. 服务器从客户端的 X.509 证书中提取指定值,并使用 Junos Space Platform 数据库中的值来验证这些值。

    6. 如果验证成功,则服务器将授予对客户端请求的受保护资源的访问权限。

      如果验证失败,Junos Space 平台向用户显示登录失败页面。

注意:

使用基于证书的完整或基于证书参数的身份验证时,如果用于登录的智能卡或安全卡(包含证书和私钥)拔出或从客户端系统中移除,会话将终止。

自定义 Junos Space 服务器证书

默认情况下,Junos Space 网络管理平台使用自签名 SSL 证书。但是,如果您需要使用自己的自定义证书,请转至 “管理>平台证书 ”页面,并在“平台证书”页面上上传您的自定义 X.509 或 PKCS#12 证书。

X.509 是定义数字证书的广泛使用的标准。通常,在 X.509 中,证书和密钥是单独存储的。私钥可以是加密的,也可以是不加密的。虽然密码是可选的,但如果私钥已加密,则需要使用密码。

个人信息交换语法标准 (PKCS) #12 格式是 Windows 操作系统中广泛使用的数字证书格式。此标准指定了一种可移植格式,用于在一个可加密文件中存储或传输用户的私钥、证书和密码。

有关上传自定义证书的说明,请参阅 在 Junos Space 服务器上安装自定义 SSL 证书

证书属性

表 1 列出了您在证书中经常看到的属性。

表 1:证书属性

证书属性

描述

Subject Name: OID.1.2.840.113549.1.9.1=user1@10.205.57.195

“OID.1.2.840.113549.1.9.1”是用于识别此签名算法的 ASN.1 对象标识符。“user1@10.205.57.195”是证书所有者的电子邮件地址。

Subject Name: CN

证书所有者的通用名称

Subject Name: OU

证书所有者所属的组织单位名称

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “Junos Space”。

Subject Name: O

证书所有者所属的组织

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “Juniper Networks, Inc.”。

Subject Name: L

证书所有者的位置

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “Sunnyvale”。

Subject Name: ST

证书所有者的居住国

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “California”。

Subject Name: C

证书所有者的居住国家/地区

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “US”。

Issuer Name: OID.1.2.840.113549.1.9.1=user1@10.205.57.195

“OID.1.2.840.113549.1.9.1”是用于识别此签名算法的 ASN.1 对象标识符。“user1@10.205.57.195”是发行人的电子邮件地址。

Issuer Name: CN

证书颁发者的通用名称

这是系统的 IP 地址。通用名称 (CN) 必须与此证书的颁发者的主机名匹配。一般来说,它应该是发行者的主机名。

Issuer Name: OU

证书颁发者所属的组织单位名称

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “Junos Space”。

Issuer Name: O

证书颁发者所属的组织

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “Juniper Networks, Inc.”。

Issuer Name: L

证书颁发者的位置

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “Sunnyvale”。

Issuer Name: ST

证书签发者的居住国

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “California”。

Issuer Name: C

证书颁发者居住的国家/地区

例如,瞻博网络签名的 Junos Space 网络管理平台 SSL 证书包含此属性的 “US”。

Signature Algorithm Name

证书颁发机构使用算法对证书进行签名

例如,由瞻博网络签名的 Junos Space 网络管理平台 SSL 证书可以包含此属性的 “SHA1withRSA”。

Serial Number

证书序列号

Not Before

证书生效日期

Not After

证书无效的日期

用户证书

如果使用基于证书的身份验证模式,则需要为每个用户上传相应的证书,供 Junos Space 服务器对用户进行身份验证。您可以在创建用户时或通过修改用户设置来将证书与用户关联。要将证书与现有用户相关联,请转至 基于角色的访问控制>用户帐户>选择>用户修改用户 页面。

有关上传用户证书的说明,请参阅 上传用户证书

CA 证书和 CCL

证书颁发机构 (CA) 证书或根证书用于验证用户证书。根证书的私有密钥用于对用户证书进行签名,然后用户证书继承了根证书的可信度。

证书撤销列表 (CRL) 由 CA 维护,是该 CA 在其预定到期日期之前颁发和撤销的证书以及撤销原因列表。CA 可能会出于各种原因撤销证书,例如证书中规定的用户可能不再有权使用该密钥,证书中规定的密钥可能已遭到破坏,另一个证书正在替换当前证书,等等。

有关上传 CA 证书或 CCL 的说明,请参阅 上传 CA 证书和证书撤销列表

更改用户身份验证模式

您可以从 Junos Space 用户界面或 VIP 节点的 CLI 将身份验证模式从用户名和密码更改为基于证书或 X.509 证书参数。更改身份验证模式之前,您必须将证书颁发机构 (CA) 证书和个人或用户证书(Junos Space 服务器证书为可选)上传到 Junos Space 服务器。Junos Space Platform 会先验证所有证书,然后再上传。不会上传无效或格式错误的证书。

谨慎:

身份验证模式更改后,所有现有用户会话(当前管理员会话除外,更改身份验证模式的管理员会话除外)将自动终止,并强制用户退出。从一种身份验证模式切换到另一种身份验证模式时,无需重新启动 Junos Space 平台。

有关更改身份验证模式的说明,请参阅 更改用户身份验证模式

证书到期

如果 X.509 Junos Space 服务器证书计划在从当前日期起的 30 天内到期,则 Junos Space 平台会在管理员每次登录时显示一条警告消息。例如:Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?

作为管理员,请执行以下操作之一:

  • 上传新证书 — 选择 “管理>平台证书 ”,并从“上传证书”区域上传证书。Junos Space Platform 会删除旧用户证书,然后开始使用新上传的证书。

  • 使用默认证书 — 选择 “管理>平台证书 ”,然后单击“当前平台证书”区域中的“ 使用默认 证书”。

注意:

如果 X.509 Junos Space 服务器证书计划在一天内到期,则 Junos Space Platform 会开始使用默认的自签名证书。在安装过程中创建的自签名 Junos Space 平台 SSL 证书的有效期为五年。

如果用户证书计划在从当前日期起的 30 天内到期,则如果用户已使用基于认证的身份验证模式登录,则 Junos Space Platform 将显示一条警告消息。有关更多信息,请参阅 上传用户证书

用户证书无效

用户证书可能由于以下原因而无效:

  • 证书已过期。

  • 证书将在一天内到期。

  • 证书仅于以后有效。

  • 证书与私有密钥不匹配。

  • 证书或私钥文件损坏。

  • Junos Space 服务器中存在同一证书。

如果用户尝试使用无效或过期的证书登录,Junos Space Platform 将显示登录失败页面,并显示以下错误消息: No user mapped for this certificate

相关文档

版本历史记录表
释放
描述
15.2R1
Junos Space Platform 允许您使用基于证书的身份验证,从 Junos Space 网络管理平台 15.2R1 版开始,使用基于 X.509 参数的身份验证来验证用户。