- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-HTTP配置
本章節下載: 05-HTTP配置 (177.20 KB)
HTTP(Hypertext Transfer Protocol,超文本傳輸協議)用來在Internet上傳遞Web頁麵信息。HTTP位於TCP/IP協議棧的應用層,傳輸層采用麵向連接的TCP。設備同時支持HTTP協議1.0和1.1版本。
HTTPS(Hypertext Transfer Protocol Secure,超文本傳輸協議的安全版本)是支持SSL(Secure Sockets Layer,安全套接字層)協議的HTTP協議。HTTPS通過SSL協議,能對客戶端與設備之間交互的數據進行加密,能為設備製定基於證書屬性的訪問控製策略,提高了數據傳輸的安全性和完整性,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備,從而實現了對設備的安全管理。
如果設備隻開啟了HTTP服務,為了增強設備的安全性,HTTPS服務的端口號也會被自動打開,且在HTTP服務開啟的狀態下無法通過undo ip https enable命令關閉。
(1) 進入係統視圖。
system-view
(2) 開啟HTTP服務。
ip http enable
缺省情況下,HTTP服務處於關閉狀態。
(3) (可選)配置HTTP服務的端口號。
ip http port port-number
缺省情況下,HTTP服務的端口號為80。
(4) (可選)配置HTTP服務與ACL關聯。
ip http acl { acl-number | name acl-name }
缺省情況下,HTTP服務沒有與ACL關聯。
HTTPS服務有以下兩種類型:
· 簡便登錄方式:采用這種方式時,設備上隻需開啟HTTPS服務,用戶即可通過HTTPS登錄設備。此時,使用的是設備簽發的自簽名證書,此方式配置簡單,但安全性較低。用戶無需配置HTTPS服務關聯的SSL服務器端策略,使用的SSL參數均為缺省值。但由於自簽名證書不是由可信CA簽發而不受瀏覽器信任,當用戶使用HTTPS協議訪問設備時,用戶的瀏覽器上將會彈出安全風險提示,若用戶能夠接受使用自簽名證書帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
· 安全HTTPS服務:采用這種方式時,設備上不僅要開啟HTTPS服務,還需要配置SSL服務器端策略、PKI域等。此時,采用的是CA簽發的本地證書,此方式配置相對複雜但安全性較強。用戶需要獲取CA證書並向CA申請本地證書,同時配置SSL服務器端策略,並將其與HTTPS服務進行關聯,來增強HTTPS服務的安全性。
采用安全登錄方式時,請您首先從正規官方的第三方CA機構為設備購買SSL用途的本地證書,我司不為設備提供權威機構簽發的CA證書。
SSL的相關描述和配置請參見“安全配置指導”中的“SSL”。自簽名證書、本地證書及PKI的相關描述和配置請參見“安全配置指導”中的“PKI”。
· 更改HTTPS服務與SSL服務器端的關聯策略,需要先關閉HTTP和HTTPS服務,再重新配置HTTPS服務與SSL服務器端策略關聯,最後重新開啟HTTP服務和HTTPS服務,新的策略即可生效。
· 如需恢複HTTPS使用自簽名證書的情況,必須先關閉HTTP和HTTPS服務,再執行undo ip https ssl-server-policy,最後重新開啟HTTP服務和HTTPS服務即可。
· 開啟HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。此時,需要多次執行ip https enable命令,HTTPS服務才能正常啟動。
· 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則必須同時在與HTTPS服務關聯的SSL服務器端策略中配置client-verify enable命令,且證書屬性訪問控製策略中必須至少包括一條permit規則,否則任何HTTPS客戶端都無法登錄設備。
(1) 進入係統視圖。
system-view
(2) (可選)配置HTTPS服務與其他策略的關聯。
¡ 配置HTTPS服務與SSL服務器端策略關聯。
ip https ssl-server-policy policy-name
缺省情況下,HTTPS服務未與SSL服務器端策略關聯,HTTPS使用自簽名證書。
¡ 配置HTTPS服務與證書屬性訪問控製策略關聯。
ip https certificate access-control-policy policy-name
缺省情況下,HTTPS服務未與證書屬性訪問控製策略關聯。
通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製。證書屬性訪問控製策略的詳細介紹請參見“安全配置指導”中的“PKI”。
(3) 開啟HTTPS服務。
ip https enable
缺省情況下,HTTPS服務處於關閉狀態。
(4) (可選)配置HTTPS服務的端口。
ip https port port-number
缺省情況下,HTTPS服務的端口號為443。
(5) (可選)配置HTTPS服務與ACL關聯。
ip https acl {acl-number | name acl-name }
缺省情況下,HTTPS服務沒有ACL關聯。
可在任意視圖下執行以下命令:
· 顯示HTTP的狀態信息。
display ip http
· 顯示HTTPS的狀態信息。
display ip https
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
