- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
019-H3C無線控製器采用HTTPS方式進行本地Portal認證典型配置舉例
本章節下載: 019-H3C無線控製器采用HTTPS方式進行本地Portal認證典型配置舉例 (286.63 KB)
H3C無線控製器采用HTTPS進行本地Portal認證典型配置舉例
Copyright © 2023 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹采用HTTPS方式進行本地Portal認證的典型配置舉例。
本文檔適用於使用Comware軟件版本的無線控製器和接入點產品,不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解SSL、Portal、PKI特性。
如圖1所示,為提高設備管理的安全性,需要通過HTTPS的方式進行本地Portal認證,綁定第三方證書,並且要求在打開Portal認證頁麵時不會彈出風險提示。
圖1 采用HTTPS方式進行本地Portal認證組網圖
· 在進行配置之前,請確保各設備間路由可達。
· 配置AP的序列號時請確保該序列號與AP唯一對應。
· 請確保AC上已經存在有效的CA證書以及本地證書。
# 創建PKI域domain1,並進入PKI域視圖。
<AC> system-view
[AC] pki domain domain1
# 關閉CRL檢查。
[AC-pki-domain-domain1] undo crl check enable
[AC-pki-domain-domain1] quit
# 向PKI域domain1中導入CA證書,證書文件格式為DER編碼,證書文件名稱為certnew.cer,證書文件中包含根證書。
[AC] pki import domain domain1 der ca filename certnew.cer
The trusted CA's finger print is:
MD5 fingerprint:98D8 2B98 6D35 1DE7 A13A C362 DA33 2F38
SHA1 fingerprint:5817 1C1E D81F 1B5F 525D 5183 C196 37B8 73C7 46E5
Is the finger print correct?(Y/N):y
# 向PKI域domain1中導入本地證書,證書文件格式為PKCS#12編碼,證書文件名稱為QQ.pfx,證書文件中包含了密鑰對。
[AC] pki import domain domain1 p12 local filename QQ.pfx
Please input the password:
# 創建SSL服務器端策略myssl,並進入SSL服務器端策略視圖。
[AC] ssl server-policy myssl
# 配置SSL服務器端策略使用的PKI域為domain1。
[AC-ssl-server-policy-myssl] pki-domain domain1
# 配置SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。
[AC-ssl-server-policy-myssl] client-verify enable
[AC-ssl-server-policy-myssl] quit
# 添加名稱為user1的網絡接入類本地用戶。
[AC] local-user user1 class network
[AC-luser-network-user1] password simple user1
[AC-luser-network-user1] service-type portal
[AC-luser-network-user1] quit
# 創建名稱為dm1的ISP域,為Portal用戶配置認證方法、授權方法和計費方法均為本地認證。
[AC] domain dm1
[AC-isp-dm1] authentication portal local
[AC-isp-dm1] authorization portal local
[AC-isp-dm1] accounting portal local
[AC-isp-dm1] quit
# 配置係統缺省的ISP域為dm1。
[AC] domain default enable dm1
# 創建名稱為newpt的Portal Web服務器,並進入Portal Web服務器視圖。
[AC] portal web-server newpt
# 配置Portal web服務器的URL為https://84.7.0.3/portal。
[AC-portal-websvr-newpt] url https://84.7.0.3/portal
[AC-portal-websvr-newpt] quit
# 開啟無線Portal客戶端合法性檢查功能。
[AC] portal host-check enable
# 配置兩條基於目的的Portal免認證規則,放行訪問DNS服務器的流量。
[AC] portal free-rule 1 destination ip any udp 53
[AC] portal free-rule 2 destination ip any tcp 53
# 創建無線服務模板service1,並進入無線服務模板視圖。
[AC] wlan service-template service1
# 配置SSID為service1。
[AC-wlan-st-service1] ssid service1
# 配置身份認證與密鑰管理模式為PSK模式,配置PSK密鑰為明文字符串12345678。
[AC-wlan-st-service1] akm mode psk
[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置加密套件為CCMP,安全信息元素為RSN。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie rsn
# 配置客戶端數據報文轉發位置為AC。(如果客戶端數據報文的缺省轉發位置與本配置相同,請跳過此步驟)
[AC-wlan-st-service1] client forwarding-location ac
# 在無線服務模板上開啟Portal認證,配置為直接認證方式。
[AC-wlan-st-service1] portal enable method direct
# 在無線服務模板service1上引用Portal Web服務器newpt。
[AC-wlan-st-service1] portal apply web-server newpt
# 開啟無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
# 配置HTTPS服務的端口號為8080,避免和本地Portal服務使用的端口號衝突。
[AC] ip https port 8080
# 開啟本地Portal服務,並進入基於HTTPS協議的本地Portal Web服務視圖,引用的SSL服務器端策略為myssl。
[AC] portal local-web-server https ssl-server-policy myssl
# 配置本地Portal Web服務器提供的缺省認證頁麵文件為defaultfile.zip。
[AC-portal-local-websvr-https] default-logon-page defaultfile.zip
[AC-portal-local-websvr-https] quit
在大規模組網時,推薦在AP組內進行配置。
# 創建VLAN 200。Client將使用該VLAN接入無線網絡。
[AC] vlan 200
[AC-vlan200] quit
# 創建AP,配置AP名稱為ap1,型號名稱選擇WA6320,並配置序列號219801A28N819CE0002T。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-ap1] quit
# 創建AP組group1,並配置AP名稱入組規則。
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap ap1
# 將無線服務模板service1綁定到AP組group1下的Radio 2上。
[AC-wlan-ap-group-group1] ap-model WA6320
[AC-wlan-ap-group-group1-ap-model-WA6320] radio 2
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template service1 vlan 200
# 開啟Radio 2的射頻功能。
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit
[AC-wlan-ap-group-group1-ap-model-WA6320] quit
[AC-wlan-ap-group-group1] quit
# 查看PKI域domain1的CA證書,可以看到CA證書已經導入PKI域。
[AC] display pki cer domain domain1 ca
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
27:ef:22:2e:cc:63:9e:9c:4c:f7:2b:ba:81:d2:8e:a9
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf2
[email protected]/description=kf2576, CN=wlan
Validity
Not Before: Jul 12 05:16:08 2017 GMT
Not After : Jul 12 05:24:51 2517 GMT
Subject: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf
[email protected]/description=kf2576, CN=wlan
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (512 bit)
Modulus:
00:cb:7e:d0:dd:38:f7:e8:20:00:2d:ba:f0:b7:37:
33:f6:cb:7a:1b:6b:74:56:63:5f:34:94:e3:06:4b:
06:36:e5:3e:22:ab:96:c5:52:d3:57:98:b0:b4:72:
6e:1f:0b:ed:40:50:0c:db:7d:c6:5e:15:34:a1:89:
e7:de:ec:84:07
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
96:BB:A7:8D:70:C7:E9:46:C3:B7:EE:F4:E8:1A:D8:6F:16:B8:15:73
X509v3 CRL Distribution Points:
Full Name:
URI:http://ca1/CertEnroll/wlan.crl
URI:file://\\ca1\CertEnroll\wlan.crl
1.3.6.1.4.1.311.21.1:
...
Signature Algorithm: sha1WithRSAEncryption
60:76:1a:52:bf:f0:79:45:22:04:7c:91:13:8a:9c:be:d9:18:
20:14:5d:55:5c:31:22:49:ba:40:bc:ec:c2:ba:08:ac:11:0e:
d5:d8:23:18:f4:5c:6a:c9:10:5e:d4:92:4c:d7:b8:cf:dc:92:
41:24:db:93:3e:7a:14:3b:ad:b0
# 查看PKI域domain1的本地證書,可以看到本地證書已經導入PKI域。
[AC] display pki certificate domain domain1 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
3b:1a:30:5e:00:00:00:00:00:1d
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf2
[email protected]/description=kf2576, CN=wlan
Validity
Not Before: Dec 27 12:01:47 2017 GMT
Not After : Dec 27 12:11:47 2273 GMT
Subject: C=CN, CN=QQ
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c4:bf:a1:86:3b:ba:53:8b:aa:c7:43:1a:1a:be:
18:4e:fa:d1:5e:9a:49:b3:bb:b9:92:be:64:6b:97:
06:f6:bd:c0:d9:36:20:50:c6:eb:5c:4f:89:1c:6d:
c6:62:65:1f:a0:06:50:9e:ee:23:b7:ad:73:58:dc:
e9:62:1a:5f:87:8b:fd:da:2f:43:58:0f:45:06:b8:
7f:d5:43:52:e6:ed:fe:ce:7e:fa:20:6d:bc:67:c6:
e5:dd:06:35:bd:fb:a2:04:85:34:b9:dd:ff:3c:f8:
78:9e:92:ad:4c:86:7d:33:04:09:90:ce:ab:a8:30:
f3:87:f5:4b:c7:9c:a5:4d:8b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encip
herment
S/MIME Capabilities:
......0...+....0050...*.H..
..*.H..
X509v3 Subject Key Identifier:
73:9E:F6:85:15:4F:FE:1B:CC:C3:1C:48:99:41:E7:DA:8E:89:B8:74
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Authority Key Identifier:
keyid:96:BB:A7:8D:70:C7:E9:46:C3:B7:EE:F4:E8:1A:D8:6F:16:B8:15:7
3
X509v3 CRL Distribution Points:
Full Name:
URI:ldap:///CN=wlan,CN=ca1,CN=CDP,CN=Public%20Key%20Services,C
N=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRL
DistributionPoint
URI:http://ca1/CertEnroll/wlan.crl
URI:file://\\ca1\CertEnroll\wlan.crl
Authority Information Access:
CA Issuers - URI:http://ca1/CertEnroll/ca1_wlan.crt
CA Issuers - URI:file://\\ca1\CertEnroll\ca1_wlan.crt
Signature Algorithm: sha1WithRSAEncryption
0b:f8:f8:53:ef:b2:f9:01:07:4e:89:cf:b7:5b:e2:72:a6:38:
fa:af:99:30:0c:57:3f:36:25:f9:ed:02:7b:df:4b:a8:bd:92:
63:b8:d8:ae:ae:72:9a:4d:1f:ea:fa:8a:1f:dc:5a:ad:ec:31:
2a:15:65:ea:74:bc:95:c1:21:a9
# 查看SSL服務器端策略信息。
[AC] display ssl server-policy myssl
SSL server policy: myssl
Version-info:
SSL3.0: Enabled
TLS1.0: Enabled
TLS1.1: Enabled
TLS1.2: Enabled
PKI domain: user2
Ciphersuites:
RSA_AES_128_CBC_SHA
RSA_DES_CBC_SHA
RSA_RC4_128_MD5
RSA_RC4_128_SHA
RSA_3DES_CBC_SHA
RSA_AES_256_CBC_SHA
EXP_RSA_RC4_MD5
RSA_RC2_CBC_MD5
EXP_RSA_DES_CBC_SHA
DHE_RSA_AES_128_CBC_SHA
DHE_RSA_AES_256_CBC_SHA
RSA_AES_128_CBC_SHA256
RSA_AES_256_CBC_SHA256
DHE_RSA_AES_128_CBC_SHA256
DHE_RSA_AES_256_CBC_SHA256
ECDHE_RSA_AES_128_CBC_SHA256
ECDHE_RSA_AES_256_CBC_SHA384
ECDHE_RSA_AES_128_GCM_SHA256
ECDHE_RSA_AES_256_GCM_SHA384
ECDHE_ECDSA_AES_128_CBC_SHA256
ECDHE_ECDSA_AES_256_CBC_SHA384
ECDHE_ECDSA_AES_128_GCM_SHA256
ECDHE_ECDSA_AES_256_GCM_SHA384
Session cache size: 500
Caching timeout: 3600 seconds
Client-verify: Enabled
# 查看Portal Web服務器信息。
[AC] display portal web-server newpt
Portal Web server: newpt
Type: IMC
URL: https://84.7.0.3/portal
URL parameters: Not configured
VPN instance: Not configured
Server detection: Not configured
IPv4 status: Up
IPv6 status: N/A
Captive-bypass: Disabled
If-match: Not configured
# 打開無線手機終端,在瀏覽器頁麵輸入Portal web服務器的URL:https://84.7.0.3/portal,會顯示Portal認證頁麵。
圖2 手機Portal認證頁麵。
# 輸入用戶名user1和密碼user1進行Portal認證,認證成功後查看Portal用戶。
[AC] display portal user all
Total portal users: 1
Username: user1
AP name: ap1
Radio ID: 2
SSID: service1
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
145f-94aa-d323 84.7.0.12 200 WLAN-BSS1/0/5
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
#
vlan 200
#
wlan service-template service1
ssid service1
client forwarding-location ac
akm mode psk
preshared-key pass-phrase cipher $c$3$9tIUHSkAUVqCH9/EPrL26ldkcEQnngexUEFj
cipher-suite ccmp
security-ie rsn
portal enable method direct
portal apply web-server newpt
service-template enable
#
domain dm1
authentication portal local
authorization portal local
accounting portal local
#
domain default enable dm1
#
local-user user1 class network
password cipher $c$3$iN3qo9XCWBRXSHa5q0sq1hkblSu/MCul
service-type portal
authorization-attribute user-role network-operator
#
pki domain domain1
undo crl check enable
#
ssl server-policy myssl
pki-domain domain1
client-verify enable
#
portal host-check enable
portal free-rule 1 destination ip any udp 53
portal free-rule 2 destination ip any tcp 53
#
portal web-server newpt
url https://84.7.0.3/portal
#
portal local-web-server https ssl-server-policy myssl
default-logon-page defaultfile.zip
#
ip https port 8080
ip http enable
ip https enable
#
wlan ap-group group1
ap ap1
ap-model WA6320
radio 1
radio 2
radio enable
service-template service1 vlan 200
#
wlan ap ap1 model WA6320
serial-id 219801A28N819CE0002T
#
· 《H3C 無線控製器產品 配置指導》中的“安全配置指導”。
· 《H3C 無線控製器產品 命令參考》中的“安全命令參考。
· 《H3C 無線控製器產品 配置指導》中的“WLAN接入配置指導”。
· 《H3C 無線控製器產品 命令參考》中的“WLAN接入命令參考”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
