• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S3600系列以太网交换机 操作手册-Release 1702(V1.01)

49-HTTPS操作

本章节下载 49-HTTPS操作  (153.57 KB)

49-HTTPS操作


1 HTTPS配置

1.1  HTTPS简介

HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。

HTTPS通过SSL协议,从以下几方面提高了设备的安全性:

l              通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;

l              客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;

l              为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。

l    设备上,HTTP连接和HTTPS连接的总数不能超过10。

l    SSL的详细介绍请参见“SSL操作”。

 

1.2  HTTPS配置任务简介

表1-1 HTTPS配置任务简介

配置任务

说明

详细配置

配置HTTPS服务与SSL服务器端策略关联

必选

1.3 

使能HTTPS服务

必选

1.4 

配置HTTPS服务与证书属性访问控制策略关联

可选

1.5 

配置HTTPS服务与ACL关联

可选

1.6 

 

1.3  配置HTTPS服务与SSL服务器端策略关联

使能HTTPS服务前,必须先配置HTTPS服务与已创建的SSL服务器端策略关联。

表1-2 配置HTTPS服务与SSL服务器端策略关联

操作

命令

说明

进入系统视图

system-view

-

配置HTTPS服务与SSL服务器端策略关联

ip https ssl-server-policy policy-name

必选

缺省情况下,没有SSL服务器端策略与HTTPS服务关联

 

l    如果重复执行ip https ssl-server-policy命令,HTTPS服务将只与最后一次配置的SSL服务器端策略关联。

l    HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效。

 

1.4  使能HTTPS服务

只有使能该功能后,设备才能作为HTTPS服务器,允许用户通过Web功能访问和控制设备。

表1-3 使能HTTPS服务

操作

命令

说明

进入系统视图

system-view

-

使能HTTPS服务

ip https enable

必选

缺省情况下,HTTPS服务处于关闭状态

 

l    使能HTTPS服务后,可以通过display ip https命令查看HTTPS服务的状态,验证HTTPS服务启动是否成功。

l    使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。

 

1.5  配置HTTPS服务与证书属性访问控制策略关联

通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性。

表1-4 配置HTTPS服务与证书属性访问控制策略关联

操作

命令

说明

进入系统视图

system-view

-

配置HTTPS服务与证书属性访问控制策略关联

ip https certificate access-control-policy policy-name

必选

缺省情况下,没有证书属性访问控制策略与HTTPS服务关联

 

l    如果重复执行ip https certificate access-control-policy命令,HTTPS服务将只与最后一次配置的证书属性访问控制策略关联。

l    如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录设备。

l    如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。

 

1.6  配置HTTPS服务与ACL关联

通过将HTTPS服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备。

表1-5 配置HTTPS服务与ACL关联

操作

命令

说明

进入系统视图

system-view

-

配置HTTPS服务与ACL关联

ip https acl acl-number

必选

缺省情况下,没有ACL与HTTPS服务关联

 

1.7  HTTPS显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后HTTPS的运行情况,通过查看显示信息验证配置的效果。

表1-6 HTTPS显示和维护

操作

命令

显示HTTPS的状态信息

display ip https

 

1.8  HTTPS典型配置举例

1. 组网需求

l              Host作为HTTPS客户端,Device作为HTTPS服务器;

l              Host通过Web访问Device,并实现对Device的控制;

l              CA(Certificate Authority,认证机构)为Device颁发证书,CA的名称为new-ca。

本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

 

2. 组网图

图1-1 HTTPS配置组网图

 

3. 配置步骤

(1)        为Device申请证书

# 配置PKI实体。

<Device> system-view

[Device] pki entity en

[Device-pki-entity-en] common-name http-server1

[Device-pki-entity-en] fqdn ssl.security.com

[Device-pki-entity-en] quit

# 配置PKI域。

[Device] pki domain 1

[Device-pki-domain-1] ca identifier new-ca

[Device-pki-domain-1] certificate request url http://10.1.2.2:8080/certsrv/mscep/mscep.dll

[Device-pki-domain-1] certificate request from ra

[Device-pki-domain-1] certificate request entity en

[Device-pki-domain-1] quit

# 生成本地的RSA密钥对。

[Device] public-key local create rsa

# 从CA获取服务器证书。

[Device] pki retrieval-certificate ca domain 1

# 本地证书申请。

[Device] pki request-certificate domain 1

(2)        配置HTTPS服务使用的SSL服务器端策略

# 配置SSL服务器端策略。

[Device] ssl server-policy myssl

[Device-ssl-server-policy-myssl] pki-domain 1

[Device-ssl-server-policy-myssl] client-verify enable

[Device-ssl-server-policy-myssl] quit

(3)        配置证书访问控制策略

# 配置证书属性组。

[Device] pki certificate attribute-group mygroup1

[Device-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca

[Device-cert-attribute-group-mygroup1] quit

# 配置证书访问控制策略myacp,并建立控制规则。

[Device] pki certificate access-control-policy myacp

[Device-pki-cert-acp-myacp] rule 1 permit mygroup1

[Device-pki-cert-acp-myacp] quit

(4)        配置HTTPS服务引用SSL服务器端策略

# 配置HTTPS服务与SSL服务器端策略myssl关联。

[Device] ip https ssl-server-policy myssl

(5)        配置HTTPS服务与证书属性访问控制策略关联

# 配置HTTPS服务与证书属性访问控制策略myacp关联。

[Device] ip https certificate access-control-policy myacp

(6)        使能HTTPS服务

# 使能HTTPS服务。

[Device] ip https enable

(7)        验证配置结果

在Host上打开IE浏览器,输入网址https://10.1.1.1,可以登录Device,并实现对Device的控制。

l    HTTPS服务器的URL地址以“https://”开始。

l    PKI配置命令的详细介绍请参见“PKI命令”;

l    SSL配置命令的详细介绍请参见“SSL命令”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们