08-SSL-HTTPS典型配置指导
本章节下载: 08-SSL-HTTPS典型配置指导 (127.45 KB)
目 录
SSL(Secure Sockets Layer,安全套接层)是一个安全协议,为基于TCP的应用层协议提供安全连接,如SSL可以为HTTP协议提供安全连接,即HTTPS(HTTP Security,HTTP安全)。
对于支持Web网管功能的交换机,开启HTTP服务后,交换机可以作为Web服务器,允许用户通过HTTP协议登录,并利用Web页面实现对交换机的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证,也不能保证数据传输的私密性,无法提供安全性保证。为此,将HTTP和SSL结合,通过SSL对客户端身份和服务器进行验证,对传输的数据进行加密,从而实现对设备的安全管理。
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:
l 通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
l 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
l 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。
用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS(HTTP Security,支持SSL协议的HTTP)的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。
图1-1 SSL-HTTPS典型配置网图
为了满足应用需求,首选要确保Switch、Host、CA之间路由可达,然后进行如下配置:
l 配置Switch作为HTTPS服务器,并为Switch申请证书。
l 为HTTPS客户端Host申请证书,以便Switch验证其身份。
其中,负责为Switch和Host颁发证书的CA(Certificate Authority,认证机构)名称为new-ca。
本配置举例中,采用Windows Server作为CA,在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
表1-1 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 配置HTTPS服务器Switch
# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。
<Switch> system-view
[Switch] pki entity en
[Switch-pki-entity-en] common-name http-server1
[Switch-pki-entity-en] fqdn ssl.security.com
[Switch-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。
[Switch] pki domain 1
[Switch-pki-domain-1] ca identifier new-ca
[Switch-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Switch-pki-domain-1] certificate request from ra
[Switch-pki-domain-1] certificate request entity en
[Switch-pki-domain-1] quit
# 生成本地的RSA密钥对。
[Sysname] public-key local create rsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
.......++++++
.............++++++
............++++++++
....++++++++
.....
# 获取CA的证书。
[Switch] pki retrieval-certificate ca domain 1
# 为Switch申请证书。
[Switch] pki request-certificate domain 1
# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。
[Switch] ssl server-policy myssl
[Switch-ssl-server-policy-myssl] pki-domain 1
[Switch-ssl-server-policy-myssl] client-verify enable
[Switch-ssl-server-policy-myssl] quit
# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,可识别名称)中包含new-ca。
[Switch] pki certificate attribute-group mygroup1
[Switch-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Switch-pki-cert-attribute-group-mygroup1] quit
# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。
[Switch] pki certificate access-control-policy myacp
[Switch-pki-cert-acp-myacp] rule 1 permit mygroup1
[Switch-pki-cert-acp-myacp] quit
# 配置HTTPS服务与SSL服务器端策略myssl关联。
[Switch] ip https ssl-server-policy myssl
# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。
[Switch] ip https certificate access-control-policy myacp
# 使能HTTPS服务。
[Switch] ip https enable
# 创建本地用户usera,密码为123,服务类型为telnet。
[Switch] local-user usera
[Switch-luser-usera] password simple 123
[Switch-luser-usera] service-type telnet
(2) 配置HTTPS客户端Host
在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。
(3) 验证配置结果
在Host上打开IE浏览器,输入网址https://10.1.1.1,选择CA server为Host颁发的证书,即可打开Switch的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Switch的Web配置页面,实现对Switch的访问和控制。
#
pki entity en
common-name http-server1
fqdn ssl.security.com
#
pki domain 1
ca identifier new-ca
certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity en
#
pki certificate attribute-group mygroup1
attribute 1 issuer-name dn ctn new-ca
#
pki certificate access-control-policy myacp
rule 1 permit mygroup1
#
local-user usera
password simple 123
service-type telnet
#
ssl server-policy myssl
pki-domain 1
client-verify enable
#
ip https ssl-server-policy myssl
ip https certificate access-control-policy myacp
ip https enable
#
l 在进行SSL服务器端策略配置之前,需要先配置PKI(Public Key Infrastructure,公钥基础设施)域。
l 如果服务器端需要对客户端进行基于证书的身份验证,即配置了client-verify enable命令,而SSL客户端的证书不存在或不能被信任,则必须先为SSL客户端申请并安装证书。
l 如果服务器端证书不能被信任,请在SSL客户端安装为SSL服务器颁发证书的CA服务器根证书,或服务器向SSL客户端信任的CA服务器重新申请证书。
l 使用display ssl server-policy命令查看SSL服务器端策略支持的加密套件。如果SSL服务器端和客户端支持的加密套件不匹配,请用ciphersuite命令修改SSL服务器支持的加密套件。
l 关闭HTTPS服务后,将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联。
l 使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!