通过WI双向认证实现桌面云互联网终端证书认证

发布时间:  2015-06-03 浏览次数:  213 下载次数:  0
问题描述

1.将桌面云发布到互联网

2.只凭用户名和密码访问内网桌面云有安全隐患

3.客户希望通过个人证书+用户名密码实现双重认证

处理过程

1 更新WI服务器证书

1.1 Keystore文件准备

服务端ssl证书:用于和客户端证书进行双向认证。通常为p12或pfx格式。

注:当前工具支持p12格式,如果从证书颁发机构(例如:AD)获取的是pfx格式,请手动直接修改文件扩展名成p12.


1.2 Truststore文件准备

服务端信任证书库:用于检查客户端证书合法性。通常为cer格式。

1) 请先获取证书颁发机构(例如:AD)的根证书。

2) 在命令行通过如下命令将根证书转化成truststore.JKS文件。

keytool -import -file ca.cer -keystore truststore.jks -storepass password(设置的truststore.jks密码)

注:keytool为java工具,请在JRE/JDK安装目录下获取。


1.3 通过证书更新工具更新证书

1) 在ITA服务器中,选择“开始 > 所有程序 > ITA > 更新证书”。 

打开“FusionAccess证书更换工具”。

2) 选择“其他证书更换”。 

3) 切换到“其他证书更换”界面。

4) 在“选择需更换证书”下拉框中选择“WI portal 双向认证证书”。 

5) 在右侧的“证书信息”区域框中,设置如下参数:

Keystore文件

Keystore密码

Truststore文件

Truststore密码

6) 在左侧的“主机信息”区域框中,设置如下参数。 

IP地址 

维护账号 

维护密码 

root密码

7) 单击“证书更新”。 

界面提示证书文件更新成功。

8) 重复步骤 6) ~ 步骤 7),更新其余WI服务器的证书。


2 在Windows PC/TC上安装客户端证书

2.1 客户端证书及根证书准备

客户端ssl证书:用于和服务端证书进行双向认证。通常为p12或pfx格式。

根证书:用于验证服务端证书合法性。通常为cer格式。


2.2 在Windows TC/SC上导入根证书

1) 在PC操作系统任务栏中,单击“开始”,在“搜索程序和文件”中输入inetcpl.cpl,打开“Internet 属性”窗口。 

2) 单击“内容”页签,单击“证书”。 

3) 单击“导入”。 

4) 单击“下一步”。 

5) 单击“浏览”,选择需要导入的根证书,单击“下一步”。 

6) 单击“浏览”。 

7) 在“选择要使用的证书存储”下方,选择“受信任的根证书颁发机构”,单击“确定”,如图1所示。 

图1 选择“受信任的根证书颁发机构” 

 

8) 单击“下一步”。 

9) 单击“完成”。 

 说明: 

如果弹出安全性警告,单击“是”。

10) 单击“确定”。 

11) 单击“关闭”。

12) 单击“确定”。 

任务结束。


2.3 在Windows TC/SC上导入客户端证书

13) 重复步骤 3) ~ 步骤 12),在终端上导入客户端证书。 

 说明: 

步骤 8中,选择“个人”。


3 在Android客户端上安装客户端证书

1) 将根证书与客户端证书拷贝到Android设备文件系统。

2) 进入Android设备的设置-》安全-》从sd卡导入证书,选择根证书,导入手机系统。

3) 打开FusionAccess客户端,在设置-》帮助-》SSL帮助-》导入证书,选择客户端证书(.p12),输入密码,安装证书。首次安装证书后,会弹出选择证书窗口,根据安装证书的名称选择证书。


4 在iPhone客户端上安装客户端证书

1) 将根证书通过邮件(或其他方式)发送到苹果手机,点击安装根证书到系统。

2) IOS设备连接电脑ituns,选择应用程序-》文件共享-》FusionAccess,把客户端证书(.p12)拖到根目录下。

3) 打开FusionAccess客户端,在设置-》帮助-》SSL帮助-》导入证书,选择客户端证书(.p12),输入密码,安装证书。

END