SecPath F100-C-G3防火牆如何配置證書登錄

4.6  配置通過HTTPS方式登錄設備

1. 功能簡介

HTTPS登錄方式分為以下兩種：

·     簡便登錄方式：采用這種方式時，設備上隻需開啟HTTPS服務，用戶即可通過HTTPS登錄設備。此時，使用的是設備簽發的自簽名證書，此方式配置簡單，但安全性較低。用戶無需配置HTTPS服務關聯的SSL服務器端策略，使用的SSL參數均為缺省值。但由於自簽名證書不是由可信CA簽發而不受瀏覽器信任，當用戶使用HTTPS協議訪問設備時，用戶的瀏覽器上將會彈出安全風險提示，若用戶能夠接受使用自簽名證書帶來的安全風險，可選擇忽略此提示，繼續瀏覽網頁。

·     安全登錄方式：采用這種方式時，設備上不僅要開啟HTTPS服務，還需要配置SSL服務器端策略、PKI域等。此時，采用的是CA簽發的本地證書，此方式配置相對複雜但安全性較強。用戶需要獲取CA證書並向CA申請本地證書，同時配置SSL服務器端策略，並將其與HTTPS服務進行關聯，來增強HTTPS服務的安全性。

SSL的相關描述和配置請參見“安全配置指導”中的“SSL”。自簽名證書、本地證書及PKI的相關描述和配置請參見“安全配置指導”中的“PKI”。

2. 配置限製和指導

·     HTTPS服務和SSL VPN服務使用相同的端口號時，二者引用的SSL服務器端策略必須相同，否則無法同時開啟HTTPS服務和SSL VPN服務。若要修改引用的SSL服務器端策略，則需要先關閉HTTPS服務和SSL VPN服務，修改SSL服務器端策略後，再開啟HTTPS服務和SSL VPN服務，修改後的SSL服務器端策略才能生效。

·     更改HTTPS服務與SSL服務器端的關聯策略，需要先關閉HTTP和HTTPS服務，再重新配置HTTPS服務與SSL服務器端策略關聯，最後重新開啟HTTP服務和HTTPS服務，新的策略即可生效。

·     如需恢複HTTPS使用自簽名證書的情況，必須先關閉HTTP和HTTPS服務，再執行undo ip https ssl-server-policy，最後重新開啟HTTP服務和HTTPS服務即可。

·     開啟HTTPS服務，會觸發SSL的握手協商過程。在SSL握手協商過程中，如果設備的本地證書不存在，則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間，會導致SSL協商不成功，從而無法正常啟動HTTPS服務。此時，需要多次執行ip https enable命令，HTTPS服務才能正常啟動。

·     如果配置HTTPS服務與證書屬性訪問控製策略關聯，則必須同時在與HTTPS服務關聯的SSL服務器端策略中配置client-verify enable命令，且證書屬性訪問控製策略中必須至少包括一條permit規則，否則任何HTTPS客戶端都無法登錄設備。

3. 配置通過HTTPS方式登錄設備

(1)     （可選）請在用戶視圖下執行本命令，配置用戶訪問Web的固定校驗碼。

web captcha verification-code

缺省情況下，用戶隻能使用Web頁麵顯示的校驗碼訪問Web。

(2)     進入係統視圖。

system-view

(3)     （可選）配置HTTPS服務與其他策略的關聯。

¡     配置HTTPS服務與SSL服務器端策略關聯。

ip https ssl-server-policy policy-name

缺省情況下，HTTPS服務未與SSL服務器端策略關聯，HTTPS使用自簽名證書。

¡     配置HTTPS服務與證書屬性訪問控製策略關聯。

ip https certificate access-control-policy policy-name

缺省情況下，HTTPS服務未與證書屬性訪問控製策略關聯。

通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯，可以實現對客戶端的訪問權限進行控製。證書屬性訪問控製策略的詳細介紹請參見“安全配置指導”中的“PKI”。

(4)     開啟HTTPS服務。

ip https enable

缺省情況下，HTTPS服務處於開啟狀態。

(5)     （可選）配置HTTPS服務的端口。

ip https port port-number

缺省情況下，HTTPS服務的端口號為443。

(6)     （可選）配置使用HTTPS登錄設備時的方式。

web https-authorization mode { auto | certificate | certificate-manual | manual }

缺省情況下，用戶使用HTTPS登錄設備時的方式為manual。

(7)     （可選）配置通過數字證書登錄設備時使用的用戶名。

web https-authorization username { cn | email-prefix | oid oid-value }

缺省情況下，使用數字證書中的CN（Common Name，公用名稱）字段，作為通過數字證書登錄設備時使用的用戶名。