如何用 2FA 智能卡身份验证配置 SecureCRT 和 SecureFX (RFC 6187)

配置 SecureCRT/SecureFX for Windows 以使用智能卡完成

为 2FA 智能卡身份验证配置 SecureCRT 和 SecureFX (RFC 6187)

如果您的 SSH2 服务器环境为 X.509 智能卡证书身份验证正确配置,那么您可以配置 SecureCRT/SecureFX 以使用智能卡上的 2FA 证书进行身份验证。

以下是配置 SecureCRT/SecureFX for Windows 以使用智能卡完成身份验证的一般步骤:

  1. 打开全局选项并选择SSH2 类别。
  2. 公钥部分,启用使用来自您的个人 CAPI 存储或 PKCS #11 提供程序 DLL 的证书选项。
  3. 插入您的智能卡。
  4. 对于要使用的证书字段,按右侧的[…]按钮并浏览可用的证书。
  5. 如果您的证书包含应该用于身份验证的用户帐户名,请启用从证书中获取用户名选项;然后指定证书字段,其中包含对 SSH2 服务器进行智能卡身份验证所需的帐户名称(主体名称或 公用名称)。
    但是,如果您的证书不包含应该用于对 SSH 服务器进行身份验证的用户帐户名,那么您不应启用从证书中获取用户名选项。相反,您应该在SSH2的用户名字段中指定所需的用户名会话选项窗口的类别。
  6. 禁用指纹查看区域下方“高级”部分中的“将密钥添加到代理”选项。
  7. 按 OK 按钮保存您的配置更改。

一旦对 SecureCRT 的Global Options进行了上述更改,您现在就可以设置会话以使用智能卡身份验证。

如果您想为所有或大部分连接使用选定的证书,请编辑默认会话以使用您刚刚在上面配置的全局公钥配置:

  1. 选择选项 > 编辑默认会话…
  2. 选择SSH2类别,在右侧的Authentication列表中,突出显示PublicKey身份验证方法并将其移至列表顶部。
  3. Authentications列表中仍选择PublicKey身份验证方法时,按[Properties…]按钮。
  4. Public Key Properties窗口中,启用Use global public key setting选项并注意信息与您之前在Global Options , SSH2类别中指定的信息相匹配。
    提醒:如果您需要用于对大多数 SSH2 服务器进行身份验证的用户帐户名称与证书中的名称不同,则不应启用从证书中获取用户名选项。相反,您应该在 SSH2 类别的用户名字段中指定所需的用户帐户名称,如上图的防火墙字段下方所示。
  5. 确定按钮关闭公钥属性窗口。
  6. 确定按钮关闭会话选项窗口。
  7. 当系统提示您对所有现有会话或仅对默认会话“应用默认会话更改”时,请注意,如果您选择对所有会话进行此更改,则此操作无法撤消没有 UNDO 警告/应用默认会话更改如果您将为大多数连接使用智能卡证书进行身份验证,那么您应该考虑对所有会话进行更改。如果您已经保存了会话,这些会话已配置为使用非智能卡

    的公钥身份验证进行身份验证,并且您希望保留这些会话,则需要编辑这些单独的已保存会话以恢复特定于会话的公钥设置(使用公共密钥属性配置那些,以便启用使用会话公共密钥设置,而不是全局,如下图所示)。
    公钥属性异常会话/使用会话公钥设置

笔记:

如上所述,SecureCRT/SecureFX 不会缓存您的智能卡 PIN。第一次使用智能卡上的证书进行身份验证时,MS CAPI 或智能卡的中间件提供商将提示您输入 PIN。如果随后在使用智能卡进行身份验证时未提示您输入 PIN,那是因为您的 PIN 已被智能卡的中间件缓存。有关如何禁用 PIN 缓存的信息,请参阅您的智能卡中间件文档。

在某些情况下,个人可能希望使用其智能卡中的证书私钥向不支持根据 RFC 6187 的证书身份验证的远程 SSH2 主机进行身份验证,但远程主机确实支持标准/原始 SSH2 公钥身份验证。如果您在 SecureCRT 中修改相应的已保存会话以启用将证书用作原始 SSH2 密钥选项,则可以使用智能卡上的私钥实现原始 SSH2 公钥身份验证。

公钥属性/使用证书作为原始 SSH2 密钥

要提取配置远程 SSH2 服务器以接受您的密钥进行身份验证所需的公钥 (.pub) 文件,请按[Export Public Key…]按钮。然后按照远程主机上特定 SSH2 服务器的说明,了解如何应用该公钥以供远程主机上的用户帐户使用。

故障排除提示

  • 许多智能卡包含许多不同的证书。确保您从智能卡中指定了正确的证书,SSH2 服务器希望您使用该证书进行身份验证。
  • 配置将使用智能卡身份验证的会话时,您可能必须以 FQDN 格式(完全限定域名)指定主机。例如,如果没有智能卡身份验证,“host”可能会起作用,但使用智能卡身份验证可能需要“host.mydomain.com”。
  • 文件菜单中启用跟踪选项将帮助您查看客户端和 SSH2 服务器之间发生的 SSH2 协商。此信息将包括尝试进行身份验证时的证书指纹,这将帮助您确定正在使用智能卡上的哪个证书(将指纹与证书的指纹匹配)。
  • 许多 SSH2 服务器被配置为将未签名的公钥认证尝试视为失败,仅在少数失败(例如 3 次)后断开客户端。如果您的智能卡有多个证书,您将需要指定要使用的确切证书,而不是将 SecureCRT/SecureFX 配置为 在您的智能卡上<尝试所有证书>。
  • VanDyke Software 的技术支持团队可以帮助进行 SecureCRT/SecureFX 配置和故障排除。请通过电子邮件向support@vandyke.com提供您的跟踪选项调试日志(有关如何执行此操作的概述,请参阅SecureCRT 跟踪选项调试日志 YouTube 视频)以及您所面临问题的描述。请不要将跟踪选项调试日志信息发布到这些或任何其他公共论坛。

管理选项

可以通过组策略应用一个管理选项,该选项将在智能卡被移除时强制断开连接。

给TA打赏
共{{data.count}}人
人已打赏
软件使用介绍

什么是 Internet Download Manager ?

2022-1-19 18:00:56

软件使用介绍

ToDesk 远程控制,不限速正版免费用

2022-2-13 19:19:23

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索