【SANGFOR_SSL_v5.X_DKEY登陆配置指导】
本文档详细介绍了深信服DKEY认证的原理和配置流程,适用于深信服SSL VPN v5.x版本。DKEY(Digital Key)是一种双因子认证工具,它通过USB接口,内置存储空间和智能卡芯片,为用户提供安全的身份验证。
**第一章 深信服DKEY认证原理**
DKEY认证是基于硬件令牌的安全认证方法,确保用户在访问SSL VPN时提供额外的安全层。有两种主要的认证方式:
1. **基于数字证书的认证**:有驱KEY认证利用数字证书进行身份验证,通过公钥基础设施(PKI)确保安全。用户需要USB KEY和PIN码来读取和验证证书,实现双因子认证。
2. **基于冲击-响应的认证**:无驱KEY认证依赖于不可逆密码算法和KEY的独立运算,同样需要PIN码和KEY设备,但不依赖外部驱动程序。
**第二章 DKEY认证配置流程**
配置DKEY认证分为有驱KEY和无驱KEY两种方式。
**2.1 有驱KEY配置**
步骤如下:
1. 登录SSL VPN控制台,进入SSLVPN设置,先下载并安装USB-KEY驱动和导入控件。
2. 在用户管理中创建一个用户组,并在该组下新建需要DKEY认证的用户,开启数字证书认证,并创建USB-KEY(此时需将KEY插入电脑)。
3. 对于SSL6.0,可以选择使用内置或外置CA。
4. 输入PIN码后,开始创建用户证书并将其刷入KEY,成功后保存配置。
**2.2 无驱KEY配置**
无驱KEY配置基于冲击-响应认证,其过程略有不同,但同样需要在SSL VPN控制台进行相应的设置,包括用户管理、认证类型选择和PIN码的管理。
**第三章 DKEY认证登陆流程**
完成配置后,用户在登陆SSL VPN时,需要插入DKEY设备并输入PIN码,系统将通过内置或外接的驱动进行身份验证,然后才能访问受保护的资源。
**第四章 故障排查及注意事项**
这部分内容涵盖了常见故障的排查方法和使用DKEY认证时需要注意的关键点,以确保系统的稳定性和用户的安全性。
综上,深信服DKEY认证提供了一种安全可靠的用户接入方式,通过物理设备和数字证书/冲击-响应机制,双重保障了SSL VPN的访问安全。配置过程虽然涉及多个步骤,但按照指导文档进行,可以有效地实施并维护这一认证机制。
