歡迎user我的BOB登陆 退出

HTTPS配置舉例

HTTPS配置舉例

關鍵詞:HTTPSSSLPKICARA

    要:HTTPS是支持SSLHTTP協議。用戶可以通過HTTPS協議安全地登錄設備,通過Web頁麵實現對設備的控製。本文介紹了HTTPS的配置過程。

縮略語:

縮略語

英文全名

中文解釋

CA

Certificate Authority

證書機構

HTTPS

Hypertext Transfer Protocol Secure

安全超文本傳輸協議

IIS

Internet Information Service

Internet信息服務

MAC

Message Authentication Code

消息驗證碼

PKI

Public Key Infrastructure

公鑰基礎設施

RA

Registration Authority

注冊機構

SCEP

Simple Certificate Enrollment Protocol

簡單證書注冊協議

SSL

Secure Sockets Layer

安全套接層

 

 


 

1 特性簡介... 3

2 應用場合... 3

3 配置舉例... 4

3.1 組網需求... 4

3.2 配置思路... 4

3.2.1 CA服務器配置思路... 5

3.2.2 HTTPS服務器配置思路... 5

3.2.3 HTTPS客戶端配置思路... 6

3.3 配置步驟... 6

3.3.1 配置CA服務器... 6

3.3.2 配置HTTPS服務器... 17

3.3.3 配置HTTPS客戶端... 21

3.3.4 驗證結果... 24


特性簡介

對於支持Web網管功能的設備,開啟HTTP服務後,設備可以作為Web服務器,允許用戶通過HTTP協議登錄,並利用Web頁麵實現對設備的訪問和控製。但是HTTP協議本身不能對Web服務器的身份進行驗證,也不能保證數據傳輸的私密性,無法提供安全性保證。為此,設備提供了HTTPS功能,將HTTPSSL結合,通過SSL對客戶端身份和服務器進行驗證,對傳輸的數據進行加密,從而實現了對設備的安全管理。

HTTPS通過SSL協議,從以下幾方麵提高了安全性:

l              客戶端通過數字證書對服務器進行身份驗證,保證客戶端訪問正確的服務器;

l              服務器通過數字證書對客戶端進行身份驗證,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備;

l              客戶端與設備之間交互的數據需要經過加密,保證了數據傳輸的安全性和完整性,從而實現了對設備的安全管理;

l              製定基於證書屬性的訪問控製策略,對客戶端的訪問權限進行控製,進一步避免了客戶端對設備進行攻擊。

應用場合

HTTPS主要用於網絡管理員遠程配置設備。如1 所示,某公司在AB兩地分別設立分公司,位於A地的網絡管理員無法直接配置位於B地的Device B。為了實現對Device B的安全管理,網絡管理員通過HTTPS登錄Device B,利用Web頁麵配置遠程設備Device B

圖1  HTTPS典型應用場景

配置舉例

3.1  組網需求

公司A的網絡管理員與該公司的研發部位於不同的城市,網絡管理員希望安全地遠程登錄到研發部的網關設備,實現對其的控製。

2 所示,HTTPS可以滿足這個需求:

l              網絡管理員通過主機Admin與網關設備Gateway建立HTTPS連接,通過Web頁麵實現對Gateway的控製。

l              利用SSL的安全機製對HTTPS服務器GatewayHTTPS客戶端Admin進行身份驗證,提高了遠程登錄的安全性。

l              為了實現基於證書的身份驗證,公司A還需要配置CA服務器,為GatewayAdmin頒發證書。本配置舉例以Windows Server 2003為例,說明CA服務器的配置方法。

圖2  HTTPS典型配置舉例組網圖

3.2  配置思路

為了實現上述組網需求,需要完成1 中的操作。

表1  配置步驟簡介

操作

配置思路

詳細配置

配置CA服務器

3.2.1 

3.3.1 

配置HTTPS服務器

3.2.2 

3.3.2 

配置HTTPS客戶端

3.2.3 

3.3.3 

 

3.2.1  CA服務器配置思路

Windows Server 2003作為CA服務器時,配置過程為:

(1)        安裝證書服務組件,並設置CA服務器的類型、名稱等參數。
(2)        安裝SCEP插件。SCEP是證書申請者與認證機構通信時使用的協議。Windows Server作為CA服務器時,缺省情況下不支持SCEP,所以需要安裝SCEP插件,才能使CA服務器具備自動處理證書注冊和頒發等功能。
(3)        將證書服務的頒發策略修改為自動頒發證書。否則,收到證書申請後,管理員需要確認申請,並手工頒發證書。
(4)        修改IIS服務的屬性。將默認網站的路徑修改為證書服務保存的路徑;為了避免與已有的服務衝突,建議修改默認網站的TCP端口號。

  注意:

Windows Server作為CA服務器時,需要在CA服務器上安裝並啟用IIS

 

3.2.2  HTTPS服務器配置思路

HTTPS服務器的配置過程為:

(1)        配置PKIPKI是通過公開密鑰技術和數字證書來確保係統信息安全,並負責驗證數字證書持有者身份的一種體係。SSL通過PKI實現對服務器和客戶端的身份驗證。配置HTTPS服務器之前,首先要完成PKI的配置,其中包括:

l              配置PKI實體。實體的身份信息用來唯一標識證書申請者。

l              配置PKI域。實體在進行證書申請操作之前需要配置一些注冊信息來配合完成申請的過程。這些信息的集合就是一個實體的PKI域。創建PKI域的目的是便於其它應用引用PKI的配置。

l              獲取CA證書,並下載至本地,以便驗證申請到證書的真實性和合法性。

l              申請本地證書。可以采用手工和自動兩種方式申請本地證書。本配置中以手工方式為例。

(2)        配置SSL服務器端策略。通過該策略可以指定引用的PKI域,SSL服務器端策略支持的加密套件,以及是否需要對客戶端進行身份驗證等。本配置中,需要對客戶端進行身份驗證。
(3)        配置HTTPS使用的SSL服務器端策略,並使能HTTPS服務。
(4)        創建本地用戶,通過用戶名和密碼實現對用戶身份的驗證。

3.2.3  HTTPS客戶端配置思路

HTTPS客戶端上需要執行如下操作:

(1)        申請證書。由於HTTPS服務器上配置需要對客戶端進行認證,因此,HTTPS客戶端需要從CA服務器獲取證書。
(2)        通過HTTPS協議登錄Gateway,並輸入用戶名和密碼,進入GatewayWeb配置頁麵。

3.3  配置步驟

&  說明:

進行下麵的配置之前,需要確保HTTPS服務器GatewayHTTPS客戶端AdminCA服務器之間的路由可達。

 

3.3.1  配置CA服務器

1. 安裝證書服務組件

(1)        打開[控製麵板]/[添加或刪除程序],選擇[添加/刪除Windows組件]。在[Windows組件向導]中,選中“證書服務”,並單擊<下一步>按鈕。

圖3  安裝證書組件1

(2)        選擇CA類型為獨立根CA,並單擊<下一步>按鈕。

圖4  安裝證書組件2

(3)        輸入CA的名稱為CA server,並單擊<下一步>按鈕。

圖5  安裝證書組件3

(4)        選擇CA證書數據庫、數據庫日誌和共享文件夾的存儲位置,並單擊<下一步>按鈕。

圖6  安裝證書組件4

&  說明:

安裝證書時,界麵上會出現CA證書數據庫、數據庫日誌和共享文件夾的缺省存放路徑。本配置舉例中使用了缺省存放路徑,其中共享文件夾存放路徑中的“ca”為CA服務器的主機名。

 

(5)        證書組件安裝成功後,單擊<完成>按鈕,退出[Windows組件向導]窗口。

2. 安裝SCEP插件

(1)        雙擊運行SCEP的安裝文件,在彈出的窗口中,單擊<下一步>按鈕。

&  說明:

SCEP的安裝文件可以從Microsoft網站免費下載。

 

圖7  安裝SCEP插件1

(2)        選擇使用本地係統帳戶作為標識,並單擊<下一步>按鈕。

圖8  安裝SCEP插件2

(3)        去掉“Require SCEP Challenge Phrase to Enroll”選項,單擊<下一步>按鈕。

圖9  安裝SCEP插件3

(4)        輸入RACA服務器登記時使用的RA標識信息,單擊<下一步>按鈕。RA的功能包括個人身份審核、CRL管理、密鑰對產生和密鑰對備份等。RACA的延伸,可以作為CA的一部分。

圖10  安裝SCEP插件4

(5)        完成上述配置後,單擊<完成>按鈕,彈出如11 所示的提示框。記錄該URL地址,並單擊<確定>按鈕。

圖11  安裝SCEP插件5

  注意:

配置HTTPS服務器Gateway時,需要將注冊服務器地址配置為提示框中的URL地址,其中的主機名ca可以替換為CA服務器的IP地址。

 

3. 修改證書服務的屬性

完成上述配置後,打開[控製麵板/管理工具]中的[證書頒發機構],如果安裝成功,在[頒發的證書]中將存在兩個CA服務器頒發給RA的證書。

(1)        右鍵單擊[CA server],選擇[屬性]

圖12  修改證書服務的屬性

(2)        [CA server 屬性]窗口選擇“策略模塊”頁簽,單擊<屬性>按鈕。

圖13  證書服務屬性窗口

(3)        選擇策略模塊的屬性為“如果可以的話,按照證書模板中的設置。否則,將自動頒發證書(F)。”。單擊<確定>按鈕。

圖14  策略模塊的屬性

(4)        單擊15 中的停止服務和16 中的啟動服務按鈕,重啟證書服務。

圖15  停止證書服務

圖16  啟動證書服務

4. 修改IIS服務的屬性

(1)        打開[控製麵板/管理工具]中的[Internet 信息服務(IIS)管理器],右鍵單擊[默認網站],選擇[屬性]

圖17  IIS管理器

(2)        選擇[默認網站 屬性]窗口中的“主目錄”頁簽,將本地路徑修改為證書服務保存的路徑。

圖18  修改默認網站的主目錄

(3)        選擇[默認網站 屬性]窗口中的“網站”頁簽,將TCP端口改為8080

  注意:

為了避免與已有的服務衝突,默認網站的TCP端口號不能與已有服務的端口號相同,且建議不要使用默認端口號80

 

圖19  修改默認網站的TCP端口號

3.3.2  配置HTTPS服務器

1. 配置步驟

(1)        配置GatewayCA服務器申請證書

l              配置實體命名空間

# 配置PKI實體,實體名稱為aaa,通用名為gateway

<Gateway> system-view

[Gateway] pki entity aaa

[Gateway-pki-entity-aaa] common-name gateway

[Gateway-pki-entity-aaa] quit

l              配置PKI

# 創建並進入PKIssl

[Gateway] pki domain ssl

# 配置可信任的CA服務器名稱為myca

[Gateway-pki-domain-ssl] ca identifier ca server

# 配置注冊服務器的URL地址為安裝SCEP插件時彈出的URL地址,如11 所示。由於CA服務器上默認網站的TCP端口號修改為8080,配置注冊服務器的URL地址時,需要指定端口號為8080

[Gateway-pki-domain-ssl] certificate request url http://5.5.5.1:8080/certsrv/mscep/mscep.dll

# 配置證書申請的注冊受理機構為RA

[Gateway-pki-domain-ssl] certificate request from ra

# 指定實體名稱為aaa

[Gateway-pki-domain-ssl] certificate request entity aaa

[Gateway-pki-domain-ssl] quit

l              生成RSA本地密鑰對

[Gateway] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

..++++++++.++++++++++

...++..++...++....++...++...++..++...++...++..++...++...++..++...++...++...++..+

+...++...++..++....++..++...++...++..++...++...++...++..++..++...++...++..++..++

...++...++...++++++++.+++++++++.+

...++..++....++...++..++..++..++...++...++..++...++...++..++...++.++++++++++++++

+.+++++++

..++...++..++...++++++++++++++.++++++++++

l              申請證書

  注意:

證書中包含有效時間,建議為Gateway申請證書之前,將GatewayCA服務器的時間同步,以避免獲取證書失敗。

 

# 獲取CA證書並下載至本地。

[Gateway] pki retrieval-certificate ca domain ssl

Retrieving CA/RA certificates. Please wait a while......

The trusted CA's finger print is:

    MD5  fingerprint:9C7A 2FBA 9230 2BF5 F27D 5391 DCF7 9912

    SHA1 fingerprint:189A CC85 F030 F866 51B1 9DD7 6DA9 65BA 5B05 2596

 

Is the finger print correct?(Y/N):y

 

Saving CA/RA certificates chain, please wait a moment.........

CA certificates retrieval success.

# 手工申請本地證書。

[Gateway] pki request-certificate domain ssl

Certificate is being requested, please wait......

[Gateway]

Enrolling the local certificate,please wait a while......

Certificate request Successfully!

Saving the local certificate to device......

Done! 

(2)        配置SSL服務器端策略

# 創建一個名為mysslSSL服務器端策略。

[Gateway] ssl server-policy myssl

# 配置SSL服務器端策略使用的PKI域名為ssl

[Gateway-ssl-server-policy-myssl] pki-domain ssl

# 配置需要對客戶端進行認證。為客戶端申請本地證書的方法請參見“3.3.3  配置HTTPS客戶端”。

[Gateway-ssl-server-policy-myssl] client-verify enable

[Gateway-ssl-server-policy-myssl] quit

(3)        配置HTTPS服務

# 配置HTTPS服務使用的SSL策略為myssl

[Gateway] ip https ssl-server-policy myssl

# 使能HTTPS服務。

[Gateway] ip https enable

(4)        創建本地用戶

# 創建本地用戶abc,密碼為123,服務類型為Telnet,能訪問的命令級別為3

[Gateway] local-user abc

[Gateway-luser-abc] password simple 123

[Gateway-luser-abc] service-type telnet level 3

2. 配置文件

[Gateway] display current-configuration

#

 version 5.20, Test 5310

#

 sysname Gateway

#

 domain default enable system

#

 telnet server enable

#

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

pki entity aaa

  common-name gateway

#

pki domain ssl

  ca identifier ca server

  certificate request url http://5.5.5.1:8080/certsrv/mscep/mscep.dll

  certificate request from ra

  certificate request entity aaa

#

local-user abc

 password simple 123

 service-type telnet

 level 3

#

ssl server-policy myssl

 pki-domain ssl

 client-verify enable

#

interface Ethernet1/1

 port link-mode route

 ip address 5.5.5.2 255.255.255.0

#

interface Ethernet1/2

 port link-mode route

 ip address 1.1.1.1 255.255.255.0

#

 ip https ssl-server-policy myssl

 ip https enable

#

 load xml-configuration

#

user-interface aux 0

user-interface vty 0 4

 authentication-mode none

 user privilege level 3

#

return

3.3.3  配置HTTPS客戶端

Admin申請證書的過程為:

(1)        Admin上打開IE,並輸入網址http://5.5.5.1:8080/certsrv。由於CA服務器默認網站的TCP端口號修改為8080Admin訪問CA服務器時需要指定端口號。
(2)        打開網頁後,單擊“申請一個證書”。

圖20  Admin申請證書1

(3)        選擇證書類型為“Web瀏覽器證書”。

圖21  Admin申請證書2

(4)        輸入證書的識別信息,如22 所示。

圖22  Admin申請證書3

(5)        證書申請成功後,單擊“安裝此證書”。

圖23  Admin申請證書4

證書安裝成功後,打開[工具/Internet 選項]的“內容”頁簽,單擊<證書>按鈕,可以查看申請到的證書。

3.3.4  驗證結果

(1)        Admin上打開IE,輸入網址https://1.1.1.1,選擇申請到的證書Admin

圖24  選擇HTTPS客戶端的證書

(2)        判斷服務器證書的有效性。如果服務器的證書有效,則直接進入GatewayWeb網管用戶登錄界麵,如26 所示。如果服務器的證書存在問題,則通過安全警報提示用戶是否繼續訪問服務器,從而避免用戶信息被竊取。如果用戶選擇繼續訪問服務器,則單擊<>按鈕,進入GatewayWeb網管用戶登錄界麵。

圖25  確認HTTPS服務器的證書

(3)        進入GatewayWeb網管用戶登錄界麵後,輸入用戶名abc、密碼123,單擊<登錄>按鈕,如26 所示,進入Gateway的管理界麵。

圖26  Web網管用戶登錄界麵

 

 

 

 

 

 

 

 

Copyright ©2008-2009 杭州華三通信技術有限公司 版權所有,保留一切權利。

非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。

本文檔中的信息可能變動,恕不另行通知。

附件下載

聯係我們