• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C交换机 典型配置举例-6W100

02-HTTPS典型配置举例

本章节下载 02-HTTPS典型配置举例  (476.79 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S10500/S10500/Configure/Typical_Configuration_Example/H3C_Typical_Configuration_Example-6W100/201312/807729_30005_0.htm

02-HTTPS典型配置举例


1  HTTPS典型配置举例

1.1  简介

本章介绍通过HTTPS功能,对客户端身份和服务器进行验证,对传输的数据进行加密,从而实现对交换机安全管理的典型配置举例。

1.2  HTTPS典型配置举例

1.2.1  适用产品和版本

表1 配置适用的产品与软件版本关系

产品

软件版本

S5800&S5820X系列以太网交换机

Release 1808

S5830系列以太网交换机

Release 1115,Release 1118

S5500-EI&S5500-SI系列以太网交换机

Release 2220

 

1.2.2  组网需求

图1所示,公司的网络管理员(Administrator)与该公司的研发部位于不同的城市,通过在研发部的网关设备Switch上配置HTTPS功能,使网络管理员能够安全地远程登录到该设备,实现对其的控制。

图1 HTTPS配置组网图

 

1.2.3  配置思路

·     本例中PC和Switch在建立HTTPS连接时,无论是作为HTTPS服务器的Switch还是作为HTTPS客户端的PC,均需要通过数字证书进行身份验证。为保证证书的安全性,需要配置CA服务器为Switch和PC颁发证书。如下配置举例以Windows Server 2003为例,说明CA服务器的配置方法,包括安装证书服务器组件、安装SCEP插件、安装并启用IIS等。

·     Switch上的HTTPS功能,实际上是通过SSL为HTTP协议提供安全连接。因此需要配置SSL服务器端策略,并在该策略中指定引用的PKI域,最终实现证书的申请和验证。

·     由于HTTPS服务器上配置需要对客户端进行认证,因此,HTTPS客户端需要从CA服务器获取证书。通过HTTPS协议登录Switch,并输入用户名和密码,才进入Switch的Web配置页面。

1.2.4  配置注意事项

·     证书中包含有效时间,建议为实体申请证书之前,将实体时钟与CA的时钟同步,以避免获取证书失败。

·     当采用Windows 2003 server作为CA时,需要安装SCEP插件。在这种情况下,配置PKI域时,需要使用certificate request from ra命令指定PKI实体从RA注册申请证书。

·     为了避免与已有的Web服务冲突,建议修改CA服务器默认网站的TCP端口号为未使用的端口号。

·     使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。

1.2.5  配置步骤

说明

按照组网图配置设备各接口的IP地址,保证各主机、服务器和设备之间的路由可达。

 

1. CA服务器的配置

(1)     安装证书服务组件

打开[控制面板]/[添加或删除程序],左侧窗格中选择[添加/删除Windows组件],在弹出的“Windows组件向导”对话框中选择“证书服务”,并单击<下一步>按钮。

图2 安装证书组件1

2013-06-28_145822.png

 

选择CA类型为独立根CA,并单击<下一步>按钮。

图3 安装证书组件2

2013-06-28_145901.png

 

输入CA的名称为“myca”,并单击<下一步>按钮。

图4 安装证书组件3

2013-06-28_150008.png

 

选择CA证书数据库、数据库日志和共享文件夹的存储位置,并单击<下一步>按钮。这里采用缺省设置。

图5 安装证书组件4

2013-06-28_152800.png

 

说明

安装证书时,界面上会出现证书数据库、证书数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径,其中共享文件夹存放路径中的“lswdoc”为CA服务器的主机名。

 

证书组件安装成功后,单击<完成>按钮,退出[Windows组件向导]窗口。

(2)     安装SCEP插件

说明

·     由于Windows 2003 server作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使设备具备证书自动注册、获取等功能。

·     SCEP的安装文件可以从Microsoft网站免费下载。

 

双击运行SCEP的安装文件,在弹出的窗口中,单击<下一步>按钮。

图6 安装SCEP插件1

2013-06-28_153838.png

 

选择使用本地系统帐户作为标识,并单击<下一步>按钮。

图7 安装SCEP插件2

2013-06-28_153855.png

 

去掉“Require SCEP Challenge Phrase to Enroll”选项,单击<下一步>按钮。

图8 安装SCEP插件3

2013-06-28_153941.png

 

输入RA向CA服务器登记时使用的RA标识信息,单击<下一步>按钮。

图9 安装SCEP插件4

2013-06-28_154505.png

 

RA的功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。RA是CA的延伸,可以作为CA的一部分。

注意

RA的标识信息“Name”和CA的名称不能相同,否则相关功能可能无法正常工作。

 

图10 安装SCEP插件5

2013-06-28_154710.png

 

完成上述配置后,如图10所示,单击<完成>按钮,弹出如图11所示的提示框。记录该URL地址,并单击<确定>按钮。

图11 安装SCEP插件6

2013-06-28_154737.png

 

注意

配置HTTPS服务器Switch时,需要将注册服务器地址配置为提示框中的URL地址,其中的主机名“lswdoc”可以替换为CA 服务器的IP 地址(本例为192.168.0.12)。

 

(3)     修改证书服务的属性

完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。

右键单击[myca],选择[属性]。

图12 修改证书服务的属性

2013-06-28_155610.png

 

在[myca 属性]窗口选择“策略模块”页签,单击<属性>按钮。

图13 证书服务属性窗口

2013-06-28_155726.png

 

选择策略模块的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书(F)。”。单击<确定>按钮。

图14 策略模块的属性

2013-06-28_155754.png

 

单击图15中的停止服务和图16中的启动服务按钮,重启证书服务。

图15 停止证书服务

1.PNG

 

图16 启动证书服务

2.PNG

 

(4)     修改IIS服务的属性

打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],右键单击[默认网站],选择[属性]。

图17 IIS管理器

IIS.PNG

 

选择[默认网站 属性]窗口中的“主目录”页签,将本地路径修改为证书服务保存的路径。

图18 修改默认网站的主目录

2013-07-01_100012.png

 

选择[默认网站 属性]窗口中的“网站”页签,将TCP端口改为8080。

注意

为了避免与已有的服务冲突,默认网站的TCP端口号不能与已有服务的端口号相同,且建议不要使用默认端口号80。

 

图19 修改默认网站的TCP端口号

2013-06-28_160658.png

 

以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书。

2. Switch的配置(作为HTTPS服务器)

(1)     配置Switch向CA服务器申请证书

# 配置PKI实体,实体名为aaa,通用名为switch。

<Switch> system-view

[Switch] pki entity aaa

[Switch-pki-entity-aaa] common-name switch

[Switch-pki-entity-aaa] quit

# 配置PKIssl

[Switch] pki domain ssl

# 配置可信任的CA服务器名称为myca。

[Switch-pki-domain-ssl] ca identifier ca server

# 配置注册服务器的URL地址为安装SCEP插件时弹出的URL地址。由于CA服务器上默认网站的TCP端口号修改为8080,配置注册服务器的URL地址时,需要指定端口号为8080。

[Switch-pki-domain-ssl] certificate request url http://192.168.0.12:8080/certsrv/mscep/mscep.dll

# 配置证书申请的注册受理机构为RA。

[Switch-pki-domain-ssl] certificate request from ra

# 指定实体名称为aaa。

[Switch-pki-domain-ssl] certificate request entity aaa

[Switch-pki-domain-ssl] quit

# 生成RSA本地密钥对。

[Switch] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

.......++++++

.............++++++

............++++++++

....++++++++

.....

# 获取CA证书并下载到本地。

[Switch] pki retrieval-certificate ca domain ssl

The trusted CA's finger print is:                                              

    MD5  fingerprint:BF61 0C7F 1737 5AC6 5631 432A A764 5D3E                   

    SHA1 fingerprint:88E1 918A E266 AB66 F82C 9001 8620 0640 CAFC FC6E         

                                                                               

Is the finger print correct?(Y/N):y

 

Saving CA/RA certificates chain, please wait a moment.........

 

CA certificates retrieval success.

# 手工申请本地证书。

[Switch] pki request-certificate domain ssl

Certificate is being requested, please wait......

Enrolling the local certificate,please wait a while......

[Switch]

Certificate request Successfully!

Saving the local certificate to device......

Done!

(2)     配置SSL服务器端策略

# 创建一个名为myssl的SSL服务器端策略。

[Switch] ssl server-policy myssl

# 配置SSL服务器端策略使用的PKI域名为ssl。

[Switch-ssl-server-policy-myssl] pki-domain ssl

# 配置需要对客户端进行认证。

[Switch-ssl-server-policy-myssl] client-verify enable

[Switch-ssl-server-policy-myssl] quit

(3)     配置HTTPS服务

# 配置HTTPS服务使用的SSL策略为myssl。

[Switch] ip https ssl-server-policy myssl

# 使能HTTPS服务。

[Switch] ip https enable

(4)     创建本地用户

# 创建本地用户abc,密码为123,服务类型为Web,能访问的命令级别为3。

[Switch] local-user abc

[Switch-luser-abc] password simple 123

[Switch-luser-abc] service-type web

[Switch-luser-abc] authorization-attribute level 3

[Switch-luser-abc] quit

3. HTTPS客户端的配置

(1)     在PC上打开IE,并输入网址http://192.168.0.12:8080/certsrv。由于CA服务器默认网站的TCP端口号修改为8080,PC访问CA服务器时需要指定端口号。

(2)     选择一个任务:“申请一个证书”。

图20 申请证书1

2013-06-28_160857.png

(3)     选择一个证书类型:“Web浏览器证书”。

图21 申请证书2

2013-06-28_160936.png

(4)     输入Web浏览器证书的识别信息(包括姓名、电子邮件、公司等),点击<提交>按钮。

图22 申请证书3

2013-06-28_161051.png

(5)     证书申请成功后,单击“安装此证书”。

图23 安装证书

2013-06-28_161134.png

 

证书安装成功后,打开[工具/Internet选项]的“内容”页签,单击<证书>按钮,可以查看申请到的证书。

1.2.6  验证配置

# 通过以下显示命令可以在Switch上查看获取的本地证书信息。

<Switch>display pki certificate local domain ssl                               

Certificate:                                                                   

    Data:                                                                      

        Version: 3 (0x2)                                                       

        Serial Number:                                                         

            1AA26B06 00000000 0006                                             

        Signature Algorithm: sha1WithRSAEncryption                             

        Issuer:                                                                

            CN=myca                                                             

        Validity                                                               

            Not Before: Jul  1 09:56:52 2013 GMT                               

            Not After : Jul  1 10:06:52 2014 GMT                               

        Subject:                                                               

            CN=switch                                                          

        Subject Public Key Info:                                                

            Public Key Algorithm: rsaEncryption                                

            RSA Public Key: (1024 bit)                                         

                Modulus (1024 bit):                                             

                    00AC09E4 29AA5ADE D762BA5A 317AEF2F                        

                    146A67D8 A6846C77 F4F4237D EFE7C88D                        

                    9610DC0D 323D8362 B1F39EE0 783A2D6E                         

                    CAAD3A1F B6A8AA86 B6ED8CD5 EE93F236                        

                    68444431 C7EB0B25 1A135E4A CB3DF770                        

                    50811A8B FEE210D2 6C005439 EB23C878                        

                    9C12933E 002F8CA4 5144FFA7 8A3C4B8E                        

                    46E20CAD 99C16B35 6CC2AAF3 5B687766                        

                    C3                                                         

                Exponent: 65537 (0x10001)                                      

        X509v3 extensions:                                                     

            X509v3 Subject Key Identifier:                                     

                D12ABCA2 3BE44AF2 1971AF54 1B7371AB 1C065AC7                   

            X509v3 Authority Key Identifier:                                   

                keyid:BDE50779 E63D651F AEC6E42C 875E328E 9D36A9B1             

                                                                                

            X509v3 CRL Distribution Points:                                    

                URI:http://lswdoc/CertEnroll/myca.crl                          

                URI:file://\\lswdoc\CertEnroll\myca.crl                        

                                                                               

            Authority Information Access:                                      

                CA Issuers - URI:http://lswdoc/CertEnroll/lswdoc_myca.crt      

                CA Issuers - URI:file://\\lswdoc\CertEnroll\lswdoc_myca.crt    

                                                                               

            1.3.6.1.4.1.311.20.2:                                               

                0000 - 1e 30 00 49 00 50 00 53-00 45 00 43 00   .0.I.P.S.E.C.  

                000d - 49 00 6e 00 74 00 65 00-72 00 6d 00 65   I.n.t.e.r.m.e  

                001a - 00 64 00 69 00 61 00 74-00 65 00 4f 00   .d.i.a.t.e.O.  

                0027 - 66 00 66 00 6c 00 69 00-6e 00 65         f.f.l.i.n.e    

                                                                               

    Signature Algorithm: sha1WithRSAEncryption                                 

        11D14564 32E424CB D9D9F8E8 217DD1BA                                    

        18D72081 8E743D38 64A846A9 E5B62D6A                                    

        9702CC10 5B13C6B9 E2A34000 5379539E                                    

        E98DB780 9FEFE935 83FE3ABE 26588A8B                                    

        84650AFF CF7ECD60 F26BD037 43A3238A                                    

        4E7A766B 7EBB4112 1E5B6EF2 D67C3578                                    

        08A3D633 6EB65C1A DFA76ACF 1EB99390                                    

        15A0BD89 40C9F972 46DFE1FB 0C097180                                    

        56FC8B45 A8B1EA5B 9A73FA68 E863E685                                    

        C056901A F8921146 F81D690E 5F067CB4                                    

        80B83973 8E47CDF7 F0C1BBC1 38B069D8                                    

        C83CC605 B712CF75 C1FDB825 B0FCC9F1                                    

        40ACA93A 3DAF4FDB 5D50BF2B D730C6B2                                    

        B92AF7A8 B1F285F2 8F7F9A11 0C4FF8A7                                    

        CF1D7E63 E33405C6 E30DE165 1EE99F48                                    

        0886BF3A 61FE01C1 9DCD513F A5F12A3C                                    

                                                

在PC上打开IE浏览器,输入网址https://10.1.1.1,选择申请到的证书。输入用户名“abc”、密码“123”,可进入Switch的管理界面。

说明

如果服务器的证书有效,则直接进入Switch的Web网管用户登录界面;如果服务器的证书存在问题,则通过安全警报提示用户是否继续访问服务器,从而避免用户信息被窃取。如果用户选择继续访问服务器,则单击<是>按钮,进入Switch的Web网管用户登录界面。

 

1.2.7  配置文件

#

pki entity aaa

 common-name switch

#

pki domain ssl

 ca identifier ca server

 certificate request url http://192.168.0.12:8080/certsrv/mscep/mscep.dll

 certificate request from ra

 certificate request entity aaa

#

local-user abc

password cipher $c$3$T8l1WFVduz6sfQvi2Hq04BM7Qh42iw==

 authorization-attribute level 3

 service-type web

#

ssl server-policy myssl

 pki-domain ssl

 client-verify enable

#

interface Vlan-interface1

 ip address 10.1.1.1 255.255.255.0

#

interface Vlan-interface10

 ip address 192.168.0.1 255.255.255.0

#

ip https ssl-server-policy myssl

ip https enable

#

load xml-configuration

#

return

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们