- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
11-SSL配置
本章節下載: 11-SSL配置 (217.96 KB)
目 錄
SSL(Secure Sockets Layer,安全套接層)是一個安全協議,為基於TCP的應用層協議提供安全連接,如SSL可以為HTTP協議提供安全連接。SSL協議廣泛應用於電子商務、網上銀行等領域,為網絡上數據的傳輸提供安全性保證。
SSL提供的安全連接可以實現:
· 連接的私密性:利用對稱加密算法對傳輸數據進行加密,並利用密鑰交換算法——RSA(Rivest Shamir and Adleman,非對稱密鑰算法的一種)加密傳輸對稱密鑰算法中使用的密鑰。
· 身份驗證:基於證書利用數字簽名方法對服務器和客戶端進行身份驗證。SSL服務器和客戶端通過PKI(Public Key Infrastructure,公鑰基礎設施)提供的機製從CA(Certificate Authority,認證機構)獲取證書。
· 連接的可靠性:消息傳輸過程中使用基於密鑰的MAC(Message Authentication Code,消息驗證碼)來檢驗消息的完整性。MAC是將密鑰和任意長度的數據轉換為固定長度數據的一種算法。利用MAC算法驗證消息完整性的過程如圖1-1所示。發送者在密鑰的參與下,利用MAC算法計算出消息的MAC值,並將其加在消息之後發送給接收者。接收者利用同樣的密鑰和MAC算法計算出消息的MAC值,並與接收到的MAC值比較。如果二者相同,則報文沒有改變;否則,報文在傳輸過程中被修改,接收者將丟棄該報文。
圖1-1 MAC算法示意圖
· 對稱密鑰算法、非對稱密鑰算法RSA及數字簽名的詳細介紹請參見“安全配置指導”中的“公鑰管理配置”;
· PKI及證書、CA的詳細介紹請參見“安全配置指導”中的“PKI配置”。
如圖1-2所示,SSL協議本身可以分為兩層:底層為SSL記錄協議(SSL record protocol);上層為SSL握手協議(SSL handshake protocol)、SSL密碼變化協議(SSL change cipher spec protocol)和SSL警告協議(SSL alert protocol)。
圖1-2 SSL協議棧
· SSL記錄協議:主要負責對上層的數據進行分塊、計算並添加MAC、加密,最後把記錄塊傳輸給對方。
· SSL握手協議:是SSL協議非常重要的組成部分,用來協商通信過程中使用的加密套件(對稱加密算法、密鑰交換算法和MAC算法等)、在服務器和客戶端之間安全地交換密鑰,實現服務器和客戶端的身份驗證。客戶端和服務器通過握手協議建立一個會話。會話包含一組參數,主要有會話ID、對方的證書、加密套件(包括密鑰交換算法、數據加密算法和MAC算法)及主密鑰。
· SSL密碼變化協議:客戶端和服務器端通過密碼變化協議通知對端,隨後的報文都將使用新協商的加密套件和密鑰進行保護和傳輸。
· SSL警告協議:用來允許一方向另一方報告告警信息。消息中包含告警的嚴重級別和描述。
SSL服務器和客戶端需要配置的參數不同,下麵將分別介紹SSL服務器端策略和SSL客戶端策略的配置方法。
表1-1 SSL配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置SSL服務器端策略 |
必選 |
|
|
配置SSL客戶端策略 |
可選 |
SSL服務器端策略是服務器啟動時使用的SSL參數。隻有與應用層協議(如HTTP協議)關聯後,SSL服務器端策略才能生效。
配置SSL服務器端策略時,需要指定其使用的PKI域,以便通過該PKI域獲取服務器端的證書。因此,在進行SSL服務器端策略配置之前,需要先配置PKI域。PKI域配置方法的詳細介紹,請參見“安全配置指導”中的“PKI配置”。
表1-2 配置SSL服務器端策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建SSL服務器端策略,並進入SSL服務器端策略視圖 |
ssl server-policy policy-name |
必選 |
|
配置SSL服務器端策略所使用的PKI域 |
pki-domain domain-name |
必選 缺省情況下,沒有配置SSL服務器端策略所使用的PKI域 |
|
配置SSL服務器端策略支持的加密套件 |
ciphersuite [ rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha ] * |
可選 缺省情況下,SSL服務器端策略支持所有的加密套件 |
|
配置服務器端SSL握手連接保持時間 |
handshake timeout time |
可選 缺省情況下,服務器端SSL握手連接保持時間是3600秒 |
|
配置SSL連接關閉模式 |
close-mode wait |
可選 缺省情況下,關閉模式為非wait模式 |
|
配置緩存的最大會話數目和會話緩存的超時時間 |
session { cachesize size | timeout time } * |
可選 缺省情況下,緩存的最大會話數目為500個,會話緩存的超時時間為3600秒 |
|
配置SSL服務器端要求對SSL客戶端進行基於證書的身份驗證 |
client-verify enable |
可選 缺省情況下,SSL服務器端不要求對SSL客戶端進行基於證書的身份驗證 |
|
使能SSL客戶端弱認證功能 |
client-verify weaken |
可選 缺省情況下,未使能SSL客戶端弱認證功能 隻有通過client-verify enable命令配置SSL服務器端要求對SSL客戶端進行基於證書的身份驗證後,本命令才會生效 |
· 如果服務器端需要對客戶端進行基於證書的身份驗證,即配置了client-verify enable命令,則必須先為SSL客戶端申請本地證書。
· 目前,SSL協議版本主要有SSL2.0、SSL3.0和TLS1.0(對應SSL協議的版本號為3.1)。設備作為SSL服務器時,可以與SSL3.0和TLS1.0版本的SSL客戶端通信,還可以識別同時兼容SSL2.0和SSL3.0/TLS1.0版本的SSL客戶端發送的報文,並通知該客戶端采用SSL3.0/TLS1.0版本與SSL服務器通信。
· 無線控製器AC作為HTTPS服務器;
· Client作為HTTPS客戶端,通過基於SSL的HTTP協議訪問HTTPS服務器;
· CA為AC頒發證書。
本配置舉例中,采用Windows Server作為CA,在CA上需要安裝SCEP(Simple Certificate Enrollment Protocol,簡單證書注冊協議)插件。
圖1-3 SSL服務器端策略組網圖
(1) 為AC申請證書
# 配置PKI實體。
<AC> system-view
[AC] pki entity en
[AC-pki-entity-en] common-name http-server1
[AC-pki-entity-en] fqdn ssl.security.com
[AC-pki-entity-en] quit
# 配置PKI域。
[AC] pki domain 1
[AC-pki-domain-1] ca identifier ca1
[AC-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/ mscep.dll
[AC-pki-domain-1] certificate request from ra
[AC-pki-domain-1] certificate request entity en
[AC-pki-domain-1] quit
# 生成本地RSA的密鑰對。
[AC] public-key local create rsa
# 獲取CA的證書。
[AC] pki retrieval-certificate ca domain 1
# 本地證書申請。
[AC] pki request-certificate domain 1
(2) 配置SSL服務器端策略
# 創建一個名為myssl的SSL服務器端策略。
[AC] ssl server-policy myssl
# 配置SSL服務器端策略使用的PKI域名為1。
[AC-ssl-server-policy-myssl] pki-domain 1
# 配置服務器端需要驗證客戶端。
[AC-ssl-server-policy-myssl] client-verify enable
[AC-ssl-server-policy-myssl] quit
(3) 配置HTTPS服務與SSL服務器端策略關聯,並使能HTTPS服務
# 配置HTTPS服務使用的SSL策略為myssl。
[AC] ip https ssl-server-policy myssl
# 使能HTTPS服務。
[AC] ip https enable
(4) 驗證配置結果
在Host上打開IE瀏覽器,輸入網址https://10.1.1.1,可以登錄AC,並實現對AC的控製。
· PKI配置命令的詳細介紹請參見“安全命令參考”中的“PKI配置命令”;
· public-key local create rsa命令的詳細介紹請參見“安全命令參考”中的“公鑰管理配置命令”。
SSL客戶端策略是客戶端連接SSL服務器時使用的參數。隻有與應用層協議關聯後,SSL客戶端策略才能生效。
如果SSL服務器要求驗證SSL客戶端的身份,則配置SSL客戶端策略時,需要指定其使用的PKI域,以便通過該PKI域獲取客戶端的證書。因此,在進行SSL客戶端策略配置之前,需要先配置PKI域。PKI域配置方法的詳細介紹,請參見“安全配置指導”中的“PKI配置”。
表1-3 配置SSL客戶端策略
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
創建SSL客戶端策略,並進入SSL客戶端策略視圖 |
ssl client-policy policy-name |
必選 |
|
配置SSL客戶端策略所使用的PKI域 |
pki-domain domain-name |
可選 缺省情況下,沒有配置SSL客戶端策略所使用的PKI域 |
|
配置SSL客戶端策略的首選加密套件 |
prefer-cipher { rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } |
可選 缺省情況下,SSL客戶端策略的首選加密套件為rsa_rc4_128_md5 |
|
配置SSL客戶端策略使用的SSL協議版本 |
version { ssl3.0 | tls1.0 } |
可選 缺省情況下,SSL客戶端策略使用的SSL協議版本號為TLS 1.0 |
|
使能基於證書的SSL服務器身份驗證 |
server-verify enable |
可選 缺省情況下,需要進行基於證書的SSL服務器身份驗證 |
如果服務器端需要對客戶端進行基於證書的身份驗證,則必須先在SSL客戶端所屬的PKI域內為SSL客戶端申請本地證書。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後SSL的運行情況,通過查看顯示信息驗證配置的效果。
表1-4 SSL顯示和維護
|
操作 |
命令 |
|
顯示SSL服務器端策略的信息 |
display ssl server-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ] |
|
顯示SSL客戶端策略的信息 |
display ssl client-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ] |
設備作為SSL服務器時,與SSL客戶端握手失敗。
SSL握手失敗,可能有以下原因:
· 客戶端配置了必須對服務器端進行身份驗證,但SSL服務器端證書不存在,或者證書不能被信任;
· 服務器端配置了必須對客戶端進行身份驗證,但SSL客戶端的證書不存在或不能被信任;
· SSL服務器端和客戶端沒有匹配的加密套件。
(1) 使用debugging ssl命令查看調試信息:
· 如果客戶端配置了必須對服務器端進行身份驗證,而SSL服務器端的證書不存在,請為SSL服務器申請證書;如果服務器端證書不能被信任,請在SSL客戶端安裝為SSL服務器頒發證書的CA服務器根證書,或服務器向SSL客戶端信任的CA服務器重新申請證書;
· 如果服務器端配置了必須對客戶端進行身份驗證,而SSL客戶端的證書不存在或不能被信任,請為客戶端申請並安裝證書。
(2) 使用display ssl server-policy命令查看SSL服務器端策略支持的加密套件。如果SSL服務器端和客戶端沒有匹配的加密套件,請用ciphersuite命令修改SSL服務器支持的加密套件。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
售前谘詢
售後谘詢
人工在線谘詢
