目  录

第1章 SSL配置

1.1 SSL简介

1.2 SSL配置任务简介

1.3 配置SSL服务器端策略

1.3.1 配置准备

1.3.2 配置SSL服务器端策略

1.3.3 SSL服务器端策略典型配置举例

1.4 配置SSL客户端策略

1.4.1 配置准备

1.4.2 配置SSL客户端策略

1.5 SSL显示和维护

1.6 常见配置错误举例

1.6.1 SSL握手失败

第2章 HTTPS配置

2.1 HTTPS简介

2.2 HTTPS配置任务简介

2.3 配置HTTPS服务与SSL服务器端策略关联

2.4 使能HTTPS服务

2.5 配置HTTPS服务与证书属性访问控制策略关联

2.6 配置HTTPS服务与ACL关联

2.7 HTTPS显示和维护

2.8 HTTPS典型配置举例

第1章  SSL配置

1.1  SSL简介

SSL（Secure Sockets Layer，安全套接层）是一个安全协议，为基于TCP的应用层协议提供安全连接，如SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域，为网络上数据的传输提供安全性保证。

SSL提供的安全连接可以实现：

l              连接的私密性：在SSL握手阶段生成密钥后，用对称加密算法对传输数据进行加密。

l              身份认证：对服务器和客户端进行基于证书的身份认证，其中客户端认证是可选的。

l              连接的可靠性：消息传输过程中使用基于密钥的MAC（Message Authentication Code，消息验证码）来检验消息的完整性。

如图1-1所示，SSL协议本身可以分为两层：底层为SSL记录协议（SSL record protocol）；上层为SSL握手协议（SSL handshake protocol）、SSL密码变化协议（SSL change cipher spec protocol）和SSL警告协议（SSL alert protocol）。

图1-1 SSL协议栈

l              SSL记录协议：主要负责对上层的数据进行分块、压缩、计算并添加MAC、加密，最后把记录块传输给对方。

l              SSL握手协议：客户端和服务器通过握手协议建立一个会话。会话包含一组参数，主要有会话ID、对方的证书、加密套件（包括密钥交换算法、数据加密算法和MAC算法）、压缩算法以及主密钥。SSL会话可以被多个连接共享，以减少会话协商开销。

l              SSL密码变化协议：客户端和服务器端通过密码变化协议通知接收方，随后的报文都将使用新协商的加密套件和密钥进行保护和传输。

l              SSL警告协议：用来允许一方向另一方报告告警信息。消息中包含告警的严重级别和描述。

1.2  SSL配置任务简介

SSL服务器和客户端需要配置的参数不同，下面将分别介绍SSL服务器端策略和SSL客户端策略的配置方法。

表1-1 SSL配置任务简介

1.3  配置SSL服务器端策略

SSL服务器端策略是服务器启动时使用的SSL参数。只有与应用层协议（如HTTP协议）关联后，SSL服务器端策略才能生效。

1.3.1  配置准备

在进行SSL服务器端策略配置之前，需要先配置PKI（Public Key Infrastructure，公钥基础设施）域。

1.3.2  配置SSL服务器端策略

表1-2 配置SSL服务器端策略

&  说明：

如果服务器端需要对客户端进行基于证书的身份验证，即配置了client-verify enable命令，则必须先为SSL客户端申请本地证书。

1.3.3  SSL服务器端策略典型配置举例

1. 组网需求

l              Switch作为HTTPS服务器；

l              Host作为HTTPS客户端，通过基于SSL的HTTP协议访问HTTPS服务器；

l              CA（Certification Authentication，认证机构）为Switch颁发证书。

  注意：

本配置举例中，采用Windows Server作为CA，在CA上需要安装SCEP（Simple Certificate Enrollment Protocol，简单证书注册协议）插件。

2. 组网图

图1-2 SSL服务器端策略组网图

3. 配置步骤

(1)        为Switch申请证书

# 配置PKI实体。

<Sysname> system-view

[Sysname] pki entity en

[Sysname-pki-entity-en] common-name http-server1

[Sysname-pki-entity-en] fqdn ssl.security.com

[Sysname-pki-entity-en] quit

# 配置PKI域。

[Sysname] pki domain 1

[Sysname-pki-domain-1] ca identifier ca1

[Sysname-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll

[Sysname-pki-domain-1] certificate request from ra

[Sysname-pki-domain-1] certificate request entity en

[Sysname-pki-domain-1] quit

# 用RSA算法生成本地的密钥对。

[Sysname] public-key local create rsa

# 从CA获取服务器证书。

[Sysname] pki retrieval-certificate ca domain 1

# 本地证书申请。

[Sysname] pki request-certificate domain 1

(2)        配置SSL服务器端策略

# 创建一个名为myssl的SSL服务器端策略。

[Sysname] ssl server-policy myssl

# 配置SSL服务器端策略使用的PKI域名为1。

[Sysname-ssl-server-policy-myssl] pki-domain 1

# 配置服务器端需要认证客户端。

[Sysname-ssl-server-policy-myssl] client-verify enable

[Sysname-ssl-server-policy-myssl] quit

(3)        配置HTTPS服务与SSL服务器端策略关联，并使能HTTPS服务

# 配置HTTPS服务使用的SSL策略为myssl。

[Sysname] ip https ssl-server-policy myssl

# 使能HTTPS服务。

[Sysname] ip https enable

(4)        验证配置结果

在Host上打开IE浏览器，输入网址https://10.1.1.1，可以登录Switch，并实现对Switch的控制。

&  说明：

l      PKI配置命令的详细介绍请参见“PKI命令”；

l      public-key local create rsa命令的详细介绍请参见“SSH命令”；

1.4  配置SSL客户端策略

SSL客户端策略是客户端连接SSL服务器时使用的参数。只有与应用层协议关联后，SSL客户端策略才能生效。

1.4.1  配置准备

在进行SSL客户端策略配置之前，需要先配置PKI域。PKI域配置方法的详细介绍，请参见“PKI操作”。

1.4.2  配置SSL客户端策略

表1-3 配置SSL客户端策略

&  说明：

如果服务器端需要对客户端进行基于证书的身份验证，则必须先在SSL客户端所属的PKI域内为SSL客户端申请本地证书。

1.5  SSL显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后SSL的运行情况，通过查看显示信息验证配置的效果。

表1-4 SSL显示和维护

1.6  常见配置错误举例

1.6.1  SSL握手失败

1. 故障现象

设备作为SSL服务器时，与SSL客户端握手失败。

2. 故障分析

SSL握手失败，可能有以下原因：

l              SSL服务器端证书不存在，或者证书不能被信任；

l              如果服务器端配置了必须对客户端证书认证，但SSL客户端的证书不存在或不能被信任；

l              SSL服务器端和客户端支持的加密套件不匹配。

3. 故障排除

(1)        使用debugging ssl命令查看调试信息：

l              如果SSL服务器端的证书不存在，请为SSL服务器申请证书；

l              如果服务器端证书不能被信任，请在SSL客户端安装为SSL服务器颁发证书的CA服务器根证书，或服务器向SSL客户端信任的CA服务器重新申请证书；

l              如果服务器端配置了必须对客户端证书认证，而SSL客户端的证书不存在或不能被信任，请为客户端申请并安装证书。

(2)        使用display ssl server-policy命令查看SSL服务器端策略支持的加密套件。如果SSL服务器端和客户端支持的加密套件不匹配，请用ciphersuite命令修改SSL服务器支持的加密套件。

第2章  HTTPS配置

2.1  HTTPS简介

HTTPS（HTTP Security，HTTP安全）是支持SSL（Secure Sockets Layer，安全套接层）协议的HTTP协议。

HTTPS通过SSL协议，从以下几方面提高了设备的安全性：

l              通过SSL协议保证合法客户端可以安全地访问设备，禁止非法的客户端访问设备；

l              客户端与设备之间交互的数据需要经过加密，保证了数据传输的安全性和完整性，从而实现了对设备的安全管理；

l              为设备制定基于证书属性的访问控制策略，对客户端的访问权限进行控制，进一步避免了非法客户对设备进行攻击。

&  说明：

设备上，HTTP连接和HTTPS连接的总数不能超过5。

2.2  HTTPS配置任务简介

表2-1 HTTPS配置任务简介

2.3  配置HTTPS服务与SSL服务器端策略关联

使能HTTPS服务前，必须先配置HTTPS服务与已创建的SSL服务器端策略关联。

表2-2 配置HTTPS服务与SSL服务器端策略关联

&  说明：

l      如果重复执行ip https ssl-server-policy命令，HTTPS服务将只与最后一次配置的SSL服务器端策略关联。

l      关闭HTTPS服务后，将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前，需要重新配置HTTPS服务与SSL服务器端策略关联。

l      HTTPS服务处于使能状态时，对与其关联的SSL服务器端策略进行的修改不会生效。

2.4  使能HTTPS服务

在进行HTTPS配置之前，需要先使能HTTPS服务。只有使能该功能后，其他相关的HTTPS配置才能生效。

表2-3 使能HTTPS服务

&  说明：

l      使能HTTPS服务后，可以通过display ip https命令查看HTTPS服务的状态，验证HTTPS服务启动是否成功。

l      使能HTTPS服务，会触发SSL的握手协商过程。在SSL握手协商过程中，如果设备的本地证书已经存在，则SSL协商可以成功，HTTPS服务可以正常启动；如果设备的本地证书不存在，则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间，会导致SSL协商不成功，从而无法正常启动HTTPS服务。因此，在这种情况下，需要多次执行ip https enable命令，这样HTTPS服务才能正常启动。

2.5  配置HTTPS服务与证书属性访问控制策略关联

通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联，可以实现对客户端的访问权限进行控制，进一步保证设备的安全性。

表2-4 配置HTTPS服务与证书属性访问控制策略关联

&  说明：

l      如果重复执行ip https certificate access-control-policy命令，HTTPS服务将只与最后一次配置的证书属性访问控制策略关联。

l      如果配置HTTPS服务与证书属性访问控制策略关联，则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令，否则，客户端无法登录设备。

l      如果配置HTTPS服务与证书属性访问控制策略关联，则证书属性访问控制策略中必须至少包括一条permit规则，否则任何HTTPS客户端都无法登录设备。

l      证书属性访问控制策略的详细介绍请参见“PKI操作”。

2.6  配置HTTPS服务与ACL关联

通过将HTTPS服务与ACL关联，可以过滤掉来自某些客户端的请求，只允许通过ACL过滤的客户端访问设备。

表2-5 配置HTTPS服务与ACL关联

&  说明：

如果重复执行ip https acl命令，HTTPS服务将只与最后一次配置的ACL关联。

2.7  HTTPS显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后HTTPS的运行情况，通过查看显示信息验证配置的效果。

表2-6 HTTPS显示和维护

2.8  HTTPS典型配置举例

1. 组网需求

l              Host作为HTTPS客户端，Switch作为HTTPS服务器；

l              Host通过Web访问Switch，并实现对Switch的控制；

l              CA（Certification Authentication，认证机构）为Switch颁发证书，CA的通用名称为new-ca。

  注意：

本配置举例中，采用Windows Server作为CA。在CA上需要安装SCEP（Simple Certificate Enrollment Protocol，简单证书注册协议）插件。

2. 组网图

图2-1 HTTPS配置组网图

3. 配置步骤

(1)        为Switch申请证书

# 配置PKI实体。

<Switch> system-view

[Switch] pki entity en

[Switch-pki-entity-en] common-name http-server1

[Switch-pki-entity-en] fqdn ssl.security.com

[Switch-pki-entity-en] quit

# 配置PKI域。

[Switch] pki domain 1

[Switch-pki-domain-1] ca identifier ca1

[Switch-pki-domain-1] certificate request url http://10.1.2.2:8080/certsrv/mscep/mscep.dll

[Switch-pki-domain-1] certificate request from ra

[Switch-pki-domain-1] certificate request entity en

[Switch-pki-domain-1] quit

# 用RSA算法生成本地的密钥对。

[Switch] public-key local create rsa

# 从CA获取服务器证书。

[Switch] pki retrieval-certificate ca domain 1

# 本地证书申请。

[Switch] pki request-certificate domain 1

(2)        配置HTTPS服务使用的SSL服务器端策略

# 配置SSL服务器端策略。

[Switch] ssl server-policy myssl

[Switch-ssl-server-policy-myssl] pki-domain 1

[Switch-ssl-server-policy-myssl] client-verify enable

[Switch-ssl-server-policy-myssl] quit

(3)        配置证书访问控制策略

# 配置证书属性组。

[Switch] pki certificate attribute-group mygroup1

[Switch-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca

[Switch-pki-cert-attribute-group-mygroup1] quit

# 配置证书访问控制策略myacp，并建立控制规则。

[Switch] pki certificate access-control-policy myacp

[Switch-pki-cert-acp-myacp] rule 1 permit mygroup1

[Switch-pki-cert-acp-myacp] quit

(4)        配置HTTPS服务引用SSL服务器端策略

# 配置HTTPS服务与SSL服务器端策略myssl关联。

[Switch] ip https ssl-server-policy myssl

(5)        配置HTTPS服务与证书属性访问控制策略关联

# 配置HTTPS服务与证书属性访问控制策略myacp关联。

[Switch] ip https certificate access-control-policy myacp

(6)        使能HTTPS服务

# 使能HTTPS服务。

[Switch] ip https enable

(7)        验证配置结果

在Host上打开IE浏览器，输入网址https://10.1.1.1，可以登录Switch，并实现对Switch的控制。

&  说明：

l      PKI配置命令的详细介绍请参见“PKI命令”；

l      public-key local create rsa命令的详细介绍请参见“SSH命令”；