- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-HTTP重定向配置
本章節下載: 14-HTTP重定向配置 (142.34 KB)
目 錄
HTTP重定向是一種將用戶的HTTP/HTTPS請求轉到某個指定URL的方法。目前,HTTP重定向主要用於802.1X/MAC地址認證/端口安全的URL重定向功能、802.1X的EAD快速部署以及Portal等需要對用戶的HTTP/HTTPS請求進行重定向的業務。
對於HTTP請求報文無需進行任何配置,對於需要對用戶HTTPS請求進行重定向的業務需進行以下配置:
(2) (可選)配置HTTPS重定向服務關聯的SSL服務器端策略
隻有配置了對HTTPS報文進行重定向的內部偵聽端口號,設備才會對HTTPS報文進行重定向。
為了避免端口號衝突導致服務不可用,需確保內部偵聽端口號不是知名協議使用的端口號,且不能被其它基於TCP協議的服務占用。已被其他服務占用的TCP端口號可以通過display tcp命令查看,該命令的詳細介紹請參見“三層技術-IP業務命令參考”中的“IP性能優化”。
多次執行本命令,最後一次執行的命令生效。
(1) 進入係統視圖。
system-view
(2) 配置對HTTPS報文進行重定向的內部偵聽端口號。
http-redirect https-port port-number
缺省情況下,對HTTPS報文進行重定向的內部偵聽端口號為6654。
SSL服務器端策略是設備作為服務器時使用的SSL參數,例如支持的加密套件、是否基於數字證書對SSL客戶端進行驗證等。
HTTPS重定向服務支持兩種本地證書:設備簽發的自簽名證書和CA簽發的本地證書。用戶可根據安全性要求和配置複雜度在如下兩種方案中進行選擇:
· 采用設備簽發的自簽名證書,此方式配置簡單但存在安全隱患。在該方式下,無需配置HTTPS重定向服務關聯的SSL服務器端策略,使用的SSL參數均為缺省值。但由於自簽名證書不是由可信的CA機構簽發而不受瀏覽器信任,當設備將HTTPS報文重定向到指定的網頁時,用戶瀏覽器上將會彈出安全風險提示,若用戶能夠接受使用自簽名證書帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
· 采用CA簽發的本地證書,此方式配置相對複雜但安全性較強。在該方式下,用戶需要獲取CA證書並向CA申請本地證書,同時配置SSL服務器端策略,並將其與HTTPS重定向服務進行關聯,來增強HTTPS重定向服務的安全性。
有關數字證書和SSL服務器端策略的詳細介紹,請分別參見“安全配置指導”中的“PKI”和“SSL”。
如果關聯的SSL服務器端策略不存在,則無法完成HTTPS報文的重定向。允許用戶先關聯一個不存在的SSL服務器端策略,再對該策略進行相關配置。
修改SSL服務器端策略會立即生效。
多次執行本命令,最後一次執行的命令生效。
(1) 進入係統視圖。
system-view
(2) 指定HTTPS重定向服務關聯的SSL服務器端策略。
http-redirect ssl-server-policy policy-name
缺省情況下,HTTPS重定向服務未與SSL服務器端策略關聯,HTTPS重定向服務使用自簽名證書。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
