- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
HTTPS Web配置舉例
關鍵詞:HTTPS、SSL、PKI、CA、RA
摘 要:HTTPS是支持SSL的HTTP協議。用戶可以通過HTTPS協議安全地登錄設備,通過Web頁麵實現對設備的控製。本文介紹了HTTPS的配置過程。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
CA | Certificate Authority | 證書機構 |
HTTPS | Hypertext Transfer Protocol Secure | 安全超文本傳輸協議 |
IIS | Internet Information Service | Internet信息服務 |
MAC | Message Authentication Code | 消息驗證碼 |
PKI | Public Key Infrastructure | 公鑰基礎設施 |
RA | Registration Authority | 注冊機構 |
SCEP | Simple Certificate Enrollment Protocol | 簡單證書注冊協議 |
SSL | Secure Sockets Layer | 安全套接層 |
目 錄
對於支持Web管理功能的設備,開啟HTTP服務後,設備可以作為Web服務器,允許用戶通過HTTP協議登錄,並利用Web頁麵實現對設備的訪問和控製。但是HTTP協議本身不能對Web服務器的身份進行驗證,也不能保證數據傳輸的私密性,無法提供安全性保證。為此,設備提供了HTTPS功能,將HTTP和SSL結合,通過SSL對服務器進行驗證,對傳輸的數據進行加密,從而實現了對設備的安全管理。
HTTPS通過SSL協議,從以下幾方麵提高了安全性:
l 客戶端通過數字證書對服務器進行身份驗證,保證客戶端訪問正確的服務器。
l 客戶端與服務器之間交互的數據需要經過加密,保證了數據傳輸的安全性和完整性,從而實現了對服務器(即設備)的安全管理。
HTTPS主要用於網絡管理員遠程配置設備。如圖1所示,某公司在A、B兩地分別設立分公司,位於A地的網絡管理員無法直接配置位於B地的Device B。為了實現對Device B的安全管理,網絡管理員通過HTTPS登錄Device B,利用Web頁麵配置遠程設備Device B。
圖1 HTTPS典型應用場景
公司A的網絡管理員與該公司的研發部位於不同的城市,網絡管理員希望安全地遠程登錄到研發部的網關設備,實現對其的控製。
如圖2所示,HTTPS可以滿足這個需求:
l 網絡管理員通過主機Admin與網關設備Gateway建立HTTPS連接,通過Web頁麵實現對Gateway的控製。
l 利用SSL的安全機製對HTTPS服務器Gateway進行身份驗證,提高了遠程登錄的安全性。
l 為了實現基於證書的身份驗證,公司A還需要配置CA服務器,為Gateway頒發證書。本配置舉例以Windows Server 2003為例,說明CA服務器的配置方法。
圖2 HTTPS典型配置舉例組網圖
為了實現上述組網需求,需要完成表1中的操作。
操作 | 配置思路 | 詳細配置 |
配置CA服務器 | 3.2.1 | 3.3.1 |
配置HTTPS服務器 | 3.2.2 | 3.3.2 |
Windows Server 2003作為CA服務器時,需要在CA服務器上安裝並啟用IIS。
Windows Server 2003作為CA服務器時,配置過程為:
(1) 安裝證書服務組件,並設置CA服務器的類型、名稱等參數。
(2) 安裝SCEP插件。SCEP是證書申請者與認證機構通信時使用的協議。Windows Server 2003作為CA服務器時,缺省情況下不支持SCEP,所以需要安裝SCEP插件,才能使CA服務器具備自動處理證書注冊和頒發等功能。
(3) 將證書服務的頒發策略修改為自動頒發證書。否則,收到證書申請後,管理員需要確認申請,並手工頒發證書。
(4) 修改IIS服務的屬性。將默認網站的路徑修改為證書服務保存的路徑;為了避免與已有的服務衝突,建議修改默認網站的TCP端口號。
HTTPS服務器的配置過程為:
(1) 配置PKI。PKI是通過公開密鑰技術和數字證書來確保係統信息安全,並負責驗證數字證書持有者身份的一種體係。SSL通過PKI實現對服務器和客戶端的身份驗證。配置HTTPS服務器之前,首先要完成PKI的配置,其中包括:
l 配置PKI實體。實體的身份信息用來唯一標識證書申請者。
l 配置PKI域。實體在進行證書申請操作之前需要配置一些注冊信息來配合完成申請的過程。這些信息的集合就是一個實體的PKI域。創建PKI域的目的是便於其它應用引用PKI的配置。
l 生成RSA本地密鑰對。密鑰對的生成是證書申請過程中重要的一步。申請過程使用了一對主機密鑰:私鑰和公鑰。私鑰由用戶保留,公鑰和其他信息則交由CA中心進行簽名,從而產生證書。
l 獲取CA證書,並下載至本地,以便驗證申請到證書的真實性和合法性。
l 申請本地證書。可以采用手工和自動兩種方式申請本地證書。本配置中以手工方式為例。
(2) 使能HTTPS服務,並配置HTTPS使用的PKI域。
(3) 創建本地用戶,通過用戶名和密碼實現對用戶身份的驗證。
l 進行下麵的配置之前,需要確保HTTPS服務器Gateway、HTTPS客戶端Admin和CA服務器之間的路由可達。
l 以下對配置HTTPS服務器的描述以SecPath F1000-E產品為示例,其他產品的頁麵可能有所不同。
l 下麵配置步驟中的各頁麵或窗口的配置項,如果沒有特殊說明,均采用其默認設置。
(1) 打開[控製麵板]/[添加或刪除程序],選擇[添加/刪除Windows組件]。在[Windows組件向導]中,選中“證書服務”,並單擊<下一步>按鈕。
(2) 選擇CA類型為獨立根CA,並單擊<下一步>按鈕。
(3) 輸入CA的名稱為CA server,並單擊<下一步>按鈕。
(4) 選擇CA證書數據庫、數據庫日誌和共享文件夾的存儲位置,並單擊<下一步>按鈕。
安裝證書服務組件時,界麵上會出現CA證書數據庫、數據庫日誌和共享文件夾的缺省存放路徑。本配置舉例中使用了缺省存放路徑,其中共享文件夾存放路徑中的“ca”為CA服務器的主機名。
(5) 證書服務組件安裝成功後,單擊<完成>按鈕,退出[Windows組件向導]窗口。
(1) 雙擊運行SCEP的安裝文件,在彈出的窗口中,單擊<下一步>按鈕。
SCEP的安裝文件可以從Microsoft網站免費下載。
圖7 安裝SCEP插件1
(2) 選擇使用本地係統帳戶作為標識,並單擊<下一步>按鈕。
圖8 安裝SCEP插件2
(3) 去掉“Require SCEP Challenge Phrase to Enroll”選項,單擊<下一步>按鈕。
圖9 安裝SCEP插件3
(4) 輸入RA向CA服務器登記時使用的RA標識信息,單擊<下一步>按鈕。RA的功能包括個人身份審核、CRL管理、密鑰對產生和密鑰對備份等。RA是CA的延伸,可以作為CA的一部分。
圖10 安裝SCEP插件4
(5) 完成上述配置後,單擊<完成>按鈕,彈出如圖11所示的提示框。記錄該URL地址,並單擊<確定>按鈕。
圖11 安裝SCEP插件5
配置HTTPS服務器Gateway時,需要將注冊服務器地址配置為提示框中的URL地址,其中的主機名ca可以替換為CA服務器的IP地址。
完成上述配置後,打開[控製麵板/管理工具]中的[證書頒發機構],如果安裝成功,在[頒發的證書]中將存在兩個CA服務器頒發給RA的證書。
(1) 右鍵單擊[CA server],選擇[屬性]。
圖12 修改證書服務的屬性
(2) 在[CA server 屬性]窗口選擇“策略模塊”頁簽,單擊<屬性>按鈕。
圖13 證書服務屬性窗口
(3) 選擇策略模塊的屬性為“如果可以的話,按照證書模板中的設置。否則,將自動頒發證書(F)。”,單擊<確定>按鈕。
圖14 策略模塊的屬性
(4) 單擊圖15中的停止服務和圖16中的啟動服務按鈕,重啟證書服務。
(1) 打開[控製麵板/管理工具]中的[Internet 信息服務(IIS)管理器],右鍵單擊[默認網站],選擇[屬性]。
圖17 IIS管理器
(2) 選擇[默認網站 屬性]窗口中的“主目錄”頁簽,將本地路徑修改為證書服務保存的路徑。
圖18 修改默認網站的主目錄
(3) 選擇[默認網站 屬性]窗口中的“網站”頁簽,將TCP端口改為8080。
為了避免與已有的服務衝突,默認網站的TCP端口號不能與已有服務的端口號相同,且建議不要使用默認端口號80。
圖19 修改默認網站的TCP端口號
l 證書中包含有效時間,建議為Gateway申請證書之前,將Gateway與CA服務器的時間同步,以避免獲取證書失敗。
l 缺省情況下,設備上存在默認的PKI域及證書,在配置HTTPS服務時可以直接引用,因此本步驟可選。默認PKI域及證書的具體情況與設備的型號有關,請以設備的實際情況為準。
(1) 配置PKI實體aaa。
l 在導航欄中選擇“VPN > 證書管理 > PKI實體”,單擊<新建>按鈕。
l 輸入PKI實體名稱為“aaa”。
l 輸入通用名為“gateway”。
l 單擊<確定>按鈕完成操作。
圖20 配置PKI實體aaa
(2) 配置PKI域ssl。
l 在導航欄中選擇“VPN > 證書管理 > PKI域”,單擊<新建>按鈕。
l 輸入PKI域名稱為“ssl”。
l 輸入CA標識符為“CA server”。
l 選擇本端實體為“aaa”。
l 選擇注冊機構為“RA”。
l 輸入證書申請URL為“http://5.5.5.1:8080/certsrv/mscep/mscep.dll”(為安裝SCEP插件時彈出的URL地址,格式為“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”和“port”分別為CA服務器的主機地址和端口號)。
l 單擊<確定>按鈕,彈出對話框提示“未指定根證書指紋,在獲取CA證書時將不對根證書指紋進行驗證,確認要繼續嗎?”,再次單擊<確定>按鈕完成操作。
圖21 配置PKI域ssl
(3) 生成RSA本地密鑰對。
l 在導航欄中選擇“VPN > 證書管理 > 證書”,單擊<創建密鑰>按鈕。
l 輸入密鑰長度為“1024”。
l 單擊<確定>按鈕完成操作。
圖22 生成RSA本地密鑰對
(4) 手動在線獲取CA證書。
l 在證書顯示頁麵單擊<獲取證書>按鈕。
l 選擇PKI域名稱為“ssl”。
l 選擇證書類型為“CA”。
l 單擊<確定>按鈕完成操作。頁麵跳轉回證書顯示頁麵,可以看到已獲取到的CA證書。
圖23 獲取CA證書
(5) 手動在線申請本地證書。
l 在證書顯示頁麵單擊<申請證書>按鈕。
l 選擇PKI域名稱為“ssl”。
l 單擊<確定>按鈕提交證書申請。
圖24 申請本地證書
l 彈出提示框“證書申請已提交。”,再次單擊<確定>按鈕。頁麵跳轉回證書顯示頁麵,可以看到已申請到的本地證書。
圖25 完成證書申請後的證書顯示頁麵
使能HTTPS服務,並配置HTTPS使用PKI域ssl的本地證書。
l 在導航欄中選擇“設備管理 > 服務管理”。
l 選中“啟用HTTPS服務”前的複選框。
l 選擇證書為“CN=gateway”。
l 單擊<確定>按鈕完成操作。
圖26 配置HTTPS服務
配置本地用戶abc,密碼為123,服務類型為Web,訪問等級為Management。
l 在導航欄中選擇“用戶管理 > 本地用戶”,單擊<新建>按鈕。
l 選擇訪問等級為“Management”。
l 選擇服務類型為“Web”。
l 輸入密碼為“123”,輸入確認密碼為“123”。
l 單擊<確定>按鈕完成操作。
圖27 新建本地用戶abc
(1) 在Admin上打開IE,輸入網址https://1.1.1.1。彈出[安全警報]的對話框提示用戶是否繼續訪問服務器。
圖28 確認HTTPS服務器的證書
(2) 單擊<是>按鈕,進入Gateway的Web網管用戶登錄界麵。
(3) 輸入用戶名abc、密碼123和驗證碼,選擇Web頁麵的語言種類,單擊<登錄>按鈕,即可進入Gateway的Web界麵對其進行控製。
圖29 Web網管用戶登錄界麵
Copyright ©2010 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
