孙建刚,某局点为解决portal重定向提示“此网站的安全证书有问题”导入证书失败
问题描述
Portal认证时,打开https网页进行portal重定向过程中,页面会提示此网站的安全证书有问题,并且不推荐继续浏览此网站现象,为此我们可以导入特定证书来解决,但在导入根证书时存在相关报错:
[AC]pki import domain uic p12 local filename xxxx.pfx
Please input the password:
Failed to import certificates.
过程分析
首先此页面弹出的原因本身是https 的安全机制,如果设备不存在受信任的证书就会导致此页面的弹出,对于无线V7设备来说内置了SSL策略,自带签名证书,但是仍然只能解决特定域名,无法保证所有域名都没问题,如果客户存在特定的需求,需导入 特定“受信任的证书” 解决。在导入证书的时候,我们要求local证书中公钥长度为2048 Bits,但查看客户现场的证书中公钥长度为4096 Bits导致导入失败:
解决方法
需要明确的是证书我们都是要从证书服务器侧获取,设备本身不作提供。为此我们想证书机构申请到根证书,确保公钥长度为2048 Bits,这点可在证书的详细信息中检查。
具体过程
1、首先创建一个PKI域并命名:
[H3C]pki domain xxxx
[H3C-pki-domain-test]undo crl check enable
2.导入CA证书和local证书到PKI域中:
[H3C] pki import domain xxxx der ca filename xxxxxx.cer//修改为获取的证书的名字
[H3C] pki import domain xxxx p12 local filename xxxxxx.pfx //修改为获取的证书的名字
3、在配置视图下通过命令ssl server-policy policy-name进入服务器端策略视图
<H3C>system-view
[H3C]ssl server-policy https_redirect(固定名称)
[H3C-ssl-server-policy-xxxx]pki-domain xxxx //引用pki域