单位有一台联想网御强五防火墙，闲置了较长的时间，因业务需要想利用起来，但在进行配置时，发现了一个严重的问题：防火墙的电子密钥找不到了。联想防火墙通常使用Web方式进行管理，使用Web方式管理防火墙，有电子钥匙认证和证书认证两种认证方式。如果没有电子密钥，也可以使用证书认证的方式登录防火墙进行管理，但问题的严重在于该防火墙并没有上传证书。而要上传证书，必须首先使用电子钥匙通过认证。丢失电子钥匙意味着第一步的工作都进行不下去，正在头疼之际，突然想起防火墙培训时提起过的串口工具好像有灾难恢复的功能，赶紧找来了资料，经过一番试验解决了这个问题，现将解决办法与大家共享。
联想网御防火墙提供了串口，可通过它们对防火墙进行管理，主要用于系统灾难恢复。使用串口线连接防火墙console口和主机的串口，使用超级终端登录，参数设置为：波特率为“9600比特”，数据位为“8”，奇偶校验为“无”，停止位为“1”，流量控制为“硬件/无”。登录后需提供用户名和密码，默认均为administrator。
1.查看、更改配置。通过admhost show命令可以查看管理主机的地址，通过interface show all命令可以查看端口地址。可以使用admhost add ip 10.1.5.200命令将出厂默认的管理主机添加到防火墙中。使用interface set phy if fe1 ip 10.1.5.254 netmask 255.255.255.255命令将防火墙的fe1口恢复为出厂设置。使用config reset命令后按照提示重新启动防火墙，可恢复出厂配置。
2.导入证书、启用管理员证书。
①上传文件。通过支持Zmodem协议（如SecureCRT、Windows超级终端等）的终端登录，输入命令rz，选择要上传的防火墙证书，包括CACert.pem（CA中心证书）、leadsec.pem（安全网关证书）、leadsec_key.pem（安全网关密钥）、admin.pem（管理员证书）四个文件，将这些文件上传到防火墙上。
②添加认证证书和防火墙证书，输入命令admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pem；添加管理员证书，输入命令admcert add admincert admin.pem。
③输入命令admcert on admincert admin.pem启用管理员证书。
④输入命令config save保存配置。
注：通过命令admcert show cacert、admcert show fwcert以及admcert show admincert可以查看证书。输入命令admcert off admincert admin.pem可以禁用管理员证书，输入命令admcert del admincert admin.pem可以删除管理员证书。注意：不能删除已经启用的管理员证书。
3.在IE浏览器中导入证书：
 使用Web界面管理时，管理主机默认接防火墙的fe1口，使用交叉线连接防火墙fe1口和管理主机网卡，设置默认管理主机地址为：10.1.5.200。在管理主机本地双击IE浏览器证书admin.p12，按照提示进行按照，需要输入密码时输入：hhhhhh，当出现导入成功后点击确定完成。
4.当防火墙与IE证书均导入成功后，打开IE浏览器，输入https://10.1.5.254:8889，出现选择证书提示后点击“确定”即可登录防火墙并进行管理了，防火墙的默认用户名和密码都是：administrator。

文章如转载，请注明转载自：http://www.5iadmin.com/post/997.html