简介：

    系统为租户提供三种认证方式：

• 证书认证
• 用户名密码认证
• 双因子认证

       默认情况下，仅支持证书认证或者用户名密码认证，如果需要进行双因子认证，需要为租户配置开启双因子认证。开启双因子认证时，证书认证通过后还需要进行密码认证，密码不正确则用户认证失败，断开连接。

总体框架：

证书签发：

• 客户端证书签发

      云管平台预置和SSL网关相同的自签名CA证书和CA私钥，并部署openssl环境，用户注册时为用户签发客户端证书。该方法涉以下几个步骤：

1、云管平台预置和SSLVPN服务器相同的自签名的CA证书和CA私钥

2、发起SSLVPN用户注册

3、云管平台为该注册用户成为全局唯一uuid，唯一标识一个用户

4、云管平台为该注册用户签发用户证书和用户私钥，并使用预置的CA进行签名，同时将用户uuid签发进客户端证书，用于证书认证时识别用户，用户使用证书拨号时不感知uuid。

5、云管平台为该注册用户提供用户证书下载链接

• 服务端证书签发

       SSLVPN服务器预置自签名CA证书和CA私钥，并部署openssl环境，用户创建SSLVPN网关时，SSLVPN服务器为SSLVPN网关签发服务端证书。该方法涉以下几个步骤：

1、SSLVPN服务器预置自签名的CA证书和CA私钥

2、发起创建SSLVPN网关

3、云管平台下发SSLVPN网关的IP和端口信息到SSLVPN服务器

4、SSLVPN服务器创建SSLVPN网关

5、SSLVPN服务器为SSLVPN网关签发网关证书，将SSLVPN网关的IP签发进证书，并使用预置的CA证书进行签名，将网关证书存储在SSLVPN服务器并加载到当前创建的SSLVPN网关上下文，用于用户拨号时的双向认证

用户认证流程：

• 用户名密码认证

• SSLVPN证书认证

• 双因子认证

应用场景：

       员工远程办公或者出差场景下，需要接入云内网络，并访问相应的资源，如图所示。对于SSL VPN接入需要进行证书认证，认证通过后方可访问相应资源。