登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

HTTPS配置举例

HTTPS配置举例

关键词:HTTPSSSLPKICARA

    要:HTTPS是支持SSLHTTP协议。用户可以通过HTTPS协议安全地登录设备,通过Web页面实现对设备的控制。本文介绍了HTTPS的配置过程。

缩略语:

缩略语

英文全名

中文解释

CA

Certificate Authority

证书机构

HTTPS

Hypertext Transfer Protocol Secure

安全超文本传输协议

IIS

Internet Information Service

Internet信息服务

MAC

Message Authentication Code

消息验证码

PKI

Public Key Infrastructure

公钥基础设施

RA

Registration Authority

注册机构

SCEP

Simple Certificate Enrollment Protocol

简单证书注册协议

SSL

Secure Sockets Layer

安全套接层

 

 


 

1 特性简介... 3

2 应用场合... 3

3 配置举例... 4

3.1 组网需求... 4

3.2 配置思路... 4

3.2.1 CA服务器配置思路... 5

3.2.2 HTTPS服务器配置思路... 5

3.2.3 HTTPS客户端配置思路... 6

3.3 配置步骤... 6

3.3.1 配置CA服务器... 6

3.3.2 配置HTTPS服务器... 17

3.3.3 配置HTTPS客户端... 21

3.3.4 验证结果... 24


特性简介

对于支持Web网管功能的设备,开启HTTP服务后,设备可以作为Web服务器,允许用户通过HTTP协议登录,并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证,也不能保证数据传输的私密性,无法提供安全性保证。为此,设备提供了HTTPS功能,将HTTPSSL结合,通过SSL对客户端身份和服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。

HTTPS通过SSL协议,从以下几方面提高了安全性:

l              客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器;

l              服务器通过数字证书对客户端进行身份验证,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;

l              客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;

l              制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了客户端对设备进行攻击。

应用场合

HTTPS主要用于网络管理员远程配置设备。如1 所示,某公司在AB两地分别设立分公司,位于A地的网络管理员无法直接配置位于B地的Device B。为了实现对Device B的安全管理,网络管理员通过HTTPS登录Device B,利用Web页面配置远程设备Device B

图1  HTTPS典型应用场景

配置举例

3.1  组网需求

公司A的网络管理员与该公司的研发部位于不同的城市,网络管理员希望安全地远程登录到研发部的网关设备,实现对其的控制。

2 所示,HTTPS可以满足这个需求:

l              网络管理员通过主机Admin与网关设备Gateway建立HTTPS连接,通过Web页面实现对Gateway的控制。

l              利用SSL的安全机制对HTTPS服务器GatewayHTTPS客户端Admin进行身份验证,提高了远程登录的安全性。

l              为了实现基于证书的身份验证,公司A还需要配置CA服务器,为GatewayAdmin颁发证书。本配置举例以Windows Server 2003为例,说明CA服务器的配置方法。

图2  HTTPS典型配置举例组网图

3.2  配置思路

为了实现上述组网需求,需要完成1 中的操作。

表1  配置步骤简介

操作

配置思路

详细配置

配置CA服务器

3.2.1 

3.3.1 

配置HTTPS服务器

3.2.2 

3.3.2 

配置HTTPS客户端

3.2.3 

3.3.3 

 

3.2.1  CA服务器配置思路

Windows Server 2003作为CA服务器时,配置过程为:

(1)        安装证书服务组件,并设置CA服务器的类型、名称等参数。
(2)        安装SCEP插件。SCEP是证书申请者与认证机构通信时使用的协议。Windows Server作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使CA服务器具备自动处理证书注册和颁发等功能。
(3)        将证书服务的颁发策略修改为自动颁发证书。否则,收到证书申请后,管理员需要确认申请,并手工颁发证书。
(4)        修改IIS服务的属性。将默认网站的路径修改为证书服务保存的路径;为了避免与已有的服务冲突,建议修改默认网站的TCP端口号。

  注意:

Windows Server作为CA服务器时,需要在CA服务器上安装并启用IIS

 

3.2.2  HTTPS服务器配置思路

HTTPS服务器的配置过程为:

(1)        配置PKIPKI是通过公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。SSL通过PKI实现对服务器和客户端的身份验证。配置HTTPS服务器之前,首先要完成PKI的配置,其中包括:

l              配置PKI实体。实体的身份信息用来唯一标识证书申请者。

l              配置PKI域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的PKI域。创建PKI域的目的是便于其它应用引用PKI的配置。

l              获取CA证书,并下载至本地,以便验证申请到证书的真实性和合法性。

l              申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。

(2)        配置SSL服务器端策略。通过该策略可以指定引用的PKI域,SSL服务器端策略支持的加密套件,以及是否需要对客户端进行身份验证等。本配置中,需要对客户端进行身份验证。
(3)        配置HTTPS使用的SSL服务器端策略,并使能HTTPS服务。
(4)        创建本地用户,通过用户名和密码实现对用户身份的验证。

3.2.3  HTTPS客户端配置思路

HTTPS客户端上需要执行如下操作:

(1)        申请证书。由于HTTPS服务器上配置需要对客户端进行认证,因此,HTTPS客户端需要从CA服务器获取证书。
(2)        通过HTTPS协议登录Gateway,并输入用户名和密码,进入GatewayWeb配置页面。

3.3  配置步骤

&  说明:

进行下面的配置之前,需要确保HTTPS服务器GatewayHTTPS客户端AdminCA服务器之间的路由可达。

 

3.3.1  配置CA服务器

1. 安装证书服务组件

(1)        打开[控制面板]/[添加或删除程序],选择[添加/删除Windows组件]。在[Windows组件向导]中,选中“证书服务”,并单击<下一步>按钮。

图3  安装证书组件1

(2)        选择CA类型为独立根CA,并单击<下一步>按钮。

图4  安装证书组件2

(3)        输入CA的名称为CA server,并单击<下一步>按钮。

图5  安装证书组件3

(4)        选择CA证书数据库、数据库日志和共享文件夹的存储位置,并单击<下一步>按钮。

图6  安装证书组件4

&  说明:

安装证书时,界面上会出现CA证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径,其中共享文件夹存放路径中的“ca”为CA服务器的主机名。

 

(5)        证书组件安装成功后,单击<完成>按钮,退出[Windows组件向导]窗口。

2. 安装SCEP插件

(1)        双击运行SCEP的安装文件,在弹出的窗口中,单击<下一步>按钮。

&  说明:

SCEP的安装文件可以从Microsoft网站免费下载。

 

图7  安装SCEP插件1

(2)        选择使用本地系统帐户作为标识,并单击<下一步>按钮。

图8  安装SCEP插件2

(3)        去掉“Require SCEP Challenge Phrase to Enroll”选项,单击<下一步>按钮。

图9  安装SCEP插件3

(4)        输入RACA服务器登记时使用的RA标识信息,单击<下一步>按钮。RA的功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。RACA的延伸,可以作为CA的一部分。

图10  安装SCEP插件4

(5)        完成上述配置后,单击<完成>按钮,弹出如11 所示的提示框。记录该URL地址,并单击<确定>按钮。

图11  安装SCEP插件5

  注意:

配置HTTPS服务器Gateway时,需要将注册服务器地址配置为提示框中的URL地址,其中的主机名ca可以替换为CA服务器的IP地址。

 

3. 修改证书服务的属性

完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。

(1)        右键单击[CA server],选择[属性]

图12  修改证书服务的属性

(2)        [CA server 属性]窗口选择“策略模块”页签,单击<属性>按钮。

图13  证书服务属性窗口

(3)        选择策略模块的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书(F)。”。单击<确定>按钮。

图14  策略模块的属性

(4)        单击15 中的停止服务和16 中的启动服务按钮,重启证书服务。

图15  停止证书服务

图16  启动证书服务

4. 修改IIS服务的属性

(1)        打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],右键单击[默认网站],选择[属性]

图17  IIS管理器

(2)        选择[默认网站 属性]窗口中的“主目录”页签,将本地路径修改为证书服务保存的路径。

图18  修改默认网站的主目录

(3)        选择[默认网站 属性]窗口中的“网站”页签,将TCP端口改为8080

  注意:

为了避免与已有的服务冲突,默认网站的TCP端口号不能与已有服务的端口号相同,且建议不要使用默认端口号80

 

图19  修改默认网站的TCP端口号

3.3.2  配置HTTPS服务器

1. 配置步骤

(1)        配置GatewayCA服务器申请证书

l              配置实体命名空间

# 配置PKI实体,实体名称为aaa,通用名为gateway

<Gateway> system-view

[Gateway] pki entity aaa

[Gateway-pki-entity-aaa] common-name gateway

[Gateway-pki-entity-aaa] quit

l              配置PKI

# 创建并进入PKIssl

[Gateway] pki domain ssl

# 配置可信任的CA服务器名称为myca

[Gateway-pki-domain-ssl] ca identifier ca server

# 配置注册服务器的URL地址为安装SCEP插件时弹出的URL地址,如11 所示。由于CA服务器上默认网站的TCP端口号修改为8080,配置注册服务器的URL地址时,需要指定端口号为8080

[Gateway-pki-domain-ssl] certificate request url http://5.5.5.1:8080/certsrv/mscep/mscep.dll

# 配置证书申请的注册受理机构为RA

[Gateway-pki-domain-ssl] certificate request from ra

# 指定实体名称为aaa

[Gateway-pki-domain-ssl] certificate request entity aaa

[Gateway-pki-domain-ssl] quit

l              生成RSA本地密钥对

[Gateway] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

..++++++++.++++++++++

...++..++...++....++...++...++..++...++...++..++...++...++..++...++...++...++..+

+...++...++..++....++..++...++...++..++...++...++...++..++..++...++...++..++..++

...++...++...++++++++.+++++++++.+

...++..++....++...++..++..++..++...++...++..++...++...++..++...++.++++++++++++++

+.+++++++

..++...++..++...++++++++++++++.++++++++++

l              申请证书

  注意:

证书中包含有效时间,建议为Gateway申请证书之前,将GatewayCA服务器的时间同步,以避免获取证书失败。

 

# 获取CA证书并下载至本地。

[Gateway] pki retrieval-certificate ca domain ssl

Retrieving CA/RA certificates. Please wait a while......

The trusted CA's finger print is:

    MD5  fingerprint:9C7A 2FBA 9230 2BF5 F27D 5391 DCF7 9912

    SHA1 fingerprint:189A CC85 F030 F866 51B1 9DD7 6DA9 65BA 5B05 2596

 

Is the finger print correct?(Y/N):y

 

Saving CA/RA certificates chain, please wait a moment.........

CA certificates retrieval success.

# 手工申请本地证书。

[Gateway] pki request-certificate domain ssl

Certificate is being requested, please wait......

[Gateway]

Enrolling the local certificate,please wait a while......

Certificate request Successfully!

Saving the local certificate to device......

Done! 

(2)        配置SSL服务器端策略

# 创建一个名为mysslSSL服务器端策略。

[Gateway] ssl server-policy myssl

# 配置SSL服务器端策略使用的PKI域名为ssl

[Gateway-ssl-server-policy-myssl] pki-domain ssl

# 配置需要对客户端进行认证。为客户端申请本地证书的方法请参见“3.3.3  配置HTTPS客户端”。

[Gateway-ssl-server-policy-myssl] client-verify enable

[Gateway-ssl-server-policy-myssl] quit

(3)        配置HTTPS服务

# 配置HTTPS服务使用的SSL策略为myssl

[Gateway] ip https ssl-server-policy myssl

# 使能HTTPS服务。

[Gateway] ip https enable

(4)        创建本地用户

# 创建本地用户abc,密码为123,服务类型为Telnet,能访问的命令级别为3

[Gateway] local-user abc

[Gateway-luser-abc] password simple 123

[Gateway-luser-abc] service-type telnet level 3

2. 配置文件

[Gateway] display current-configuration

#

 version 5.20, Test 5310

#

 sysname Gateway

#

 domain default enable system

#

 telnet server enable

#

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

pki entity aaa

  common-name gateway

#

pki domain ssl

  ca identifier ca server

  certificate request url http://5.5.5.1:8080/certsrv/mscep/mscep.dll

  certificate request from ra

  certificate request entity aaa

#

local-user abc

 password simple 123

 service-type telnet

 level 3

#

ssl server-policy myssl

 pki-domain ssl

 client-verify enable

#

interface Ethernet1/1

 port link-mode route

 ip address 5.5.5.2 255.255.255.0

#

interface Ethernet1/2

 port link-mode route

 ip address 1.1.1.1 255.255.255.0

#

 ip https ssl-server-policy myssl

 ip https enable

#

 load xml-configuration

#

user-interface aux 0

user-interface vty 0 4

 authentication-mode none

 user privilege level 3

#

return

3.3.3  配置HTTPS客户端

Admin申请证书的过程为:

(1)        Admin上打开IE,并输入网址http://5.5.5.1:8080/certsrv。由于CA服务器默认网站的TCP端口号修改为8080Admin访问CA服务器时需要指定端口号。
(2)        打开网页后,单击“申请一个证书”。

图20  Admin申请证书1

(3)        选择证书类型为“Web浏览器证书”。

图21  Admin申请证书2

(4)        输入证书的识别信息,如22 所示。

图22  Admin申请证书3

(5)        证书申请成功后,单击“安装此证书”。

图23  Admin申请证书4

证书安装成功后,打开[工具/Internet 选项]的“内容”页签,单击<证书>按钮,可以查看申请到的证书。

3.3.4  验证结果

(1)        Admin上打开IE,输入网址https://1.1.1.1,选择申请到的证书Admin

图24  选择HTTPS客户端的证书

(2)        判断服务器证书的有效性。如果服务器的证书有效,则直接进入GatewayWeb网管用户登录界面,如26 所示。如果服务器的证书存在问题,则通过安全警报提示用户是否继续访问服务器,从而避免用户信息被窃取。如果用户选择继续访问服务器,则单击<>按钮,进入GatewayWeb网管用户登录界面。

图25  确认HTTPS服务器的证书

(3)        进入GatewayWeb网管用户登录界面后,输入用户名abc、密码123,单击<登录>按钮,如26 所示,进入Gateway的管理界面。

图26  Web网管用户登录界面

 

 

 

 

 

 

 

 

Copyright ©2008-2009 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

附件下载

新华三官网
联系我们