当前位置:论坛首页 > Linux面板 > Linux面板教程

【教程帖】堡塔限制访问型证书(HTTPS双向认证)使用说明

发表在 Linux面板2021-10-13 16:48 [复制链接] 27 36509

简介

堡塔限制访问型证书是一种用来限制指定计算机访问网站的产品,通过颁发SSL授权许可证书限制计算机访问,没有得到访问授权许可证书的任何计算机都无法访问网站,

说明:可搭配堡塔U盾使用,属于极高级别的限制访问方式,类似网银密钥U盾(电脑插上堡塔U盾可以访问网站,拔掉堡塔U盾网站将无法访问),如需购买堡塔U盾请联系 宝塔客服:3007255432

开发目的:只允许被授权的计算机访问指定网站,必要时吊销某些计算机的授权许可证书拒绝他访问网站。

使用场景:
1.如果用户端访问网站时,没有管理员颁发的用户端证书,直接拒绝访问
2.某公司的内部ERP网站,仅允许某些负责人访问
3.商城系统的后台管理页面,仅允许某些运营、管理人员访问
4.学校OA平台,仅允许教师、管理员访问
5.政企网站需要控制仅允许所有或某些内部人员访问

没有用户端证书的用户访问网站时,提示400状态码返回,直接拒绝访问,如下图:

QQ截图20211013172734.png

拥有用户端证书的用户访问网站时,访问网站正常,显示网站内容,如下图:

QQ截图20211013172800.png

安装步骤如下:

登录宝塔面板-->软件商店-->【关键词搜索:限制访问型证书】或【堡塔限制访问型证书】-->堡塔限制访问型证书-->安装

QQ截图20211013164705.png

插件使用快速入门:

【证书配置】
初次使用插件时,会提示先完善配置
公司名称:必填,填写真实且不会再修改的名称
域名列表:必填,SSL可使用的域名列表,可泛域名并且支持IP,多个域名可以逗号隔开
注意:公司名称一旦输入,不建议再修改,否则【已申请】证书将全部失效。

QQ截图20211013170207.png

【双向认证】
填写完配置信息后,如果您的网站是公网(非内网)直接可以访问的,直接前往双向认证页面初次点击后会获取网站列表,您在网站页面创建的所有网站都会获取到这里
选择需要开启双向验证的网站,将它开关打开
注意:
1.双向认证仅支持HTTPS访问,如果您的网站没有部署SSL,请部署后再开启双向认证
2.开启双向认证后,需要访问网站的用户,需要将客户端证书导入用户计算机的浏览器后才能访问该网站


QQ截图20211013170255.png


堡塔限制访问型证书开启步骤

开启功能:
双向认证-->网站列表-->需要开启的网站-->打开开关,测试访问效果如下:

QQ截图20211013172734.png

授权证书:
前往【客户端证书列表】,此处为生成给用户访问的证书,也可以吊销某一个用户的证书
互动操作:
1.点击生成证书-->使用者可填中文->-提交即可生成用户证书
2.下载证书-->下载的压缩包pfx文件导入-->即可访问对应的网站
3.撤销证书-->点击撤销后-->该用户的证书直接过期-->将再也无法访问指定网站


QQ截图20211013170814.png

【用户拿到证书后的安装步骤】
1.下载使用者的证书文件-->解压使用者的证书文件-->进入证书文件目录

QQ截图20211013181544.png

2.双击pfx文件进入安装-->输入证书密码(密码在同目录password文件中)

QQ截图20211013181633.png

3.关闭浏览器-->重新打开浏览器-->输入需要访问的网站-->即可正常访问,访问效果如下:

QQ截图20211013172800.png


【SSL证书】
此栏目使用场景为:公司全部网站都是内网访问,并且没有公网
例如:学校OA,政企内部网站,公司内部ERP等(仅为举例,不一定这些网站都是只有内网的,也不一定内网下使用的只有这么少类型)
此栏目提供自签SSL证书,域名来自证书配置栏目中的域名,由服务器签发,公网访问浏览器将提示不受信任。
互动使用说明:
1.点击申请证书-->服务器颁发证书
2.将证书部署到对应的网站即可

QQ截图20211013175547.png
QQ截图20211013175720.png

访问效果:

QQ截图20211013175858.png

注意:
1.由于所有浏览器信任的证书都来自于像CA机构一样的证书机构,所以服务器自签证书会提示不受信任,正常使用可忽略此提示;
2.如需自签证书信任,仅需将SSL证书pfx文件下载到用户电脑(SSL证书栏目 --> 下载pfx证书 --> 解压 --> 安装),双击打开安装即可

PS:火狐浏览器不信任所有自签证书,解决方法如下:
打开浏览器,在地址栏输入:about:config,随后搜索:security.enterprise_roots.enabled,将它的参数改成:true,随后重启火狐浏览器再打开即可,如下图

QQ截图20211016093658.png


【吊销证书】
有人员离职、或者不再需要这个人访问宝塔面板了,前往【堡塔限制访问型证书 ----> 双向认证 ----> 客户端证书列表】,找到对应的使用者,点击右边的 撤销 即可吊销证书。

使用道具 举报 只看该作者 回复
发表于 2022-1-6 10:43:20 | 显示全部楼层
使用场景1:在部署了双向认证后,添加计划任务会报 400 错误的请求
★[2022-01-06 09:43:09] Successful
----------------------------------------------------------------------------
<html>
<head><title>400 No required SSL certificate was sent</title></head>
<body>
<center><h1>400 Bad Request</h1></center>
<center>No required SSL certificate was sent</center>
<hr><center>nginx</center>
</body>
</html>
----------------------------------------------------------------------------
★[2022-01-06 09:44:32] Successful
是因为服务器本身没有引用到双向认证的证书,导致计划任务执行的时候报错解决方案:
1、为了不和其他的使用这产生冲突,我们重新创建一个客户端证书,专门用来跑计划任务
dapaoyw.png
2、添加计划任务,不再使用访问网站这个计划任务,改为shell
buzhou.png

计划任务内容:
  1. curl -sS --connect-timeout 10 -m 3600  -k --cert /www/server/panel/plugin/ssl_verify/client/Server_Crontab/cert.crt --key /www/server/panel/plugin/ssl_verify/client/Server_Crontab/key.pem https://www.dapaoit.com
复制代码


参数解读:
-S, --show-error 显示错误。用-s,使curl在发生错误时显示错误。
-s, --silent 无声模式。不输出任何东西

--connect-timeout SECONDS 允许连接的最大时间
--max-time SECONDS 允许传输的最大时间
-k, --insecure 允许连接到没有证书的SSL网站(H)

--key KEY 私钥文件名(SSL/SSH)
PS,如果您创建的使用者是和我的一样,Server_Crontab  一样,那么可以直接引用我的计划任务内容

3、手动执行后,看下效果
执行结果jjgh.png


如果有其他疑问,可以发帖求助。



使用道具 举报 回复 支持 反对
发表于 2023-2-3 11:34:41 | 显示全部楼层
如果颁发了一个证书给使用者 A 后,  B 通过其他途径拿到了这个证书,那 B 使用 A 的证书是不是也可以访问服务

同问  发表于 7 天前
使用道具 举报 回复 支持 1 反对 0
发表于 2021-10-14 19:37:13 | 显示全部楼层
确实很强
使用道具 举报 回复
发表于 2021-10-15 18:11:39 | 显示全部楼层
使用道具 举报 回复 支持 反对
发表于 2021-10-15 21:07:24 | 显示全部楼层
安装不了
使用道具 举报 回复
发表于 2021-10-15 21:32:42 | 显示全部楼层

有报错吗?截图看下报错信息
使用道具 举报 回复 支持 反对
发表于 2021-10-16 09:41:47 | 显示全部楼层

你好,正式版的宝塔面板暂时安装不了,需要使用测试版的宝塔面板安装
使用道具 举报 回复 支持 反对
发表于 2021-10-18 15:56:08 | 显示全部楼层
微信截图_20211018155503.png
使用道具 举报 回复 支持 反对
发表于 2021-10-18 16:01:07 | 显示全部楼层

你好,请问是在哪一步的时候报错了?方便的话描述一下,谢谢
使用道具 举报 回复 支持 反对
发表于 2021-10-18 16:12:03 | 显示全部楼层
安装的时候就报错了
使用道具 举报 回复 支持 反对
发表于 2021-10-18 16:14:20 | 显示全部楼层

加你了我的qq1021266737;其他的不要信
另外其他用户在使用这个插件遇到有问题的直接加我qq也可以,添加时备注这个插件的问题
使用道具 举报 回复 支持 反对
发表于 2021-10-18 16:32:42 | 显示全部楼层

你好,现在Linux正式版可以使用了,软件商店-刷新软件列表后直接安装即可
使用道具 举报 回复 支持 反对
发表于 2022-8-27 13:18:03 | 显示全部楼层
这个可以单独开通使用吗,我是专业版
使用道具 举报 回复 支持 反对
发表于 2022-10-24 15:46:43 | 显示全部楼层
有个问题,安装这个后,会影响正常的ssl证书吗?比如微信支付回调
使用道具 举报 回复 支持 反对
12下一页
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表