http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Representative_collocate_enchiridion/201010/697325_30003_0.htm
关键词:HTTPS、SSL、PKI、CA、RA
摘 要:HTTPS是支持SSL的HTTP协议。用户可以通过HTTPS协议安全地登录设备,通过Web页面实现对设备的控制。本文介绍了HTTPS的配置过程。
缩略语:
|
缩略语 |
英文全名 |
中文解释 |
|
CA |
Certificate Authority |
证书机构 |
|
HTTPS |
Hypertext Transfer Protocol Secure |
安全超文本传输协议 |
|
IIS |
Internet Information Service |
Internet信息服务 |
|
MAC |
Message Authentication Code |
消息验证码 |
|
PKI |
Public Key Infrastructure |
公钥基础设施 |
|
RA |
Registration Authority |
注册机构 |
|
SCEP |
Simple Certificate Enrollment Protocol |
简单证书注册协议 |
|
SSL |
Secure Sockets Layer |
安全套接层 |
目 录
1 特性简介
2 应用场合
3 配置举例
3.1 组网需求
3.2 配置思路
3.2.1 CA服务器配置思路
3.2.2 HTTPS服务器配置思路
3.3 配置步骤
3.3.1 配置CA服务器
3.3.2 配置HTTPS服务器
3.4 验证结果
1 特性简介
对于支持Web管理功能的设备,开启HTTP服务后,设备可以作为Web服务器,允许用户通过HTTP协议登录,并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证,也不能保证数据传输的私密性,无法提供安全性保证。为此,设备提供了HTTPS功能,将HTTP和SSL结合,通过SSL对服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。
HTTPS通过SSL协议,从以下几方面提高了安全性:
l 客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器。
l 客户端与服务器之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对服务器(即设备)的安全管理。
2 应用场合
HTTPS主要用于网络管理员远程配置设备。如图1所示,某公司在A、B两地分别设立分公司,位于A地的网络管理员无法直接配置位于B地的Device B。为了实现对Device B的安全管理,网络管理员通过HTTPS登录Device B,利用Web页面配置远程设备Device B。
图1 HTTPS典型应用场景
3 配置举例
3.1 组网需求
公司A的网络管理员与该公司的研发部位于不同的城市,网络管理员希望安全地远程登录到研发部的网关设备,实现对其的控制。
如图2所示,HTTPS可以满足这个需求:
l 网络管理员通过主机Admin与网关设备Gateway建立HTTPS连接,通过Web页面实现对Gateway的控制。
l 利用SSL的安全机制对HTTPS服务器Gateway进行身份验证,提高了远程登录的安全性。
l 为了实现基于证书的身份验证,公司A还需要配置CA服务器,为Gateway颁发证书。本配置举例以Windows Server 2003为例,说明CA服务器的配置方法。
图2 HTTPS典型配置举例组网图
3.2 配置思路
为了实现上述组网需求,需要完成表1中的操作。
表1 配置步骤简介
|
操作 |
配置思路 |
详细配置 |
|
配置CA服务器 |
3.2.1 |
3.3.1 |
|
配置HTTPS服务器 |
3.2.2 |
3.3.2 |
3.2.1 CA服务器配置思路
Windows Server 2003作为CA服务器时,需要在CA服务器上安装并启用IIS。
Windows Server 2003作为CA服务器时,配置过程为:
(1) 安装证书服务组件,并设置CA服务器的类型、名称等参数。
(2) 安装SCEP插件。SCEP是证书申请者与认证机构通信时使用的协议。Windows Server 2003作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使CA服务器具备自动处理证书注册和颁发等功能。
(3) 将证书服务的颁发策略修改为自动颁发证书。否则,收到证书申请后,管理员需要确认申请,并手工颁发证书。
(4) 修改IIS服务的属性。将默认网站的路径修改为证书服务保存的路径;为了避免与已有的服务冲突,建议修改默认网站的TCP端口号。
3.2.2 HTTPS服务器配置思路
HTTPS服务器的配置过程为:
(1) 配置PKI。PKI是通过公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。SSL通过PKI实现对服务器和客户端的身份验证。配置HTTPS服务器之前,首先要完成PKI的配置,其中包括:
l 配置PKI实体。实体的身份信息用来唯一标识证书申请者。
l 配置PKI域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的PKI域。创建PKI域的目的是便于其它应用引用PKI的配置。
l 生成RSA本地密钥对。密钥对的生成是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书。
l 获取CA证书,并下载至本地,以便验证申请到证书的真实性和合法性。
l 申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。
(2) 使能HTTPS服务,并配置HTTPS使用的PKI域。
(3) 创建本地用户,通过用户名和密码实现对用户身份的验证。
3.3 配置步骤
l 进行下面的配置之前,需要确保HTTPS服务器Gateway、HTTPS客户端Admin和CA服务器之间的路由可达。
l 以下对配置HTTPS服务器的描述以SecPath F1000-E产品为示例,其他产品的页面可能有所不同。
l 下面配置步骤中的各页面或窗口的配置项,如果没有特殊说明,均采用其默认设置。
3.3.1 配置CA服务器
1. 安装证书服务组件
(1) 打开[控制面板]/[添加或删除程序],选择[添加/删除Windows组件]。在[Windows组件向导]中,选中“证书服务”,并单击<下一步>按钮。
图3 安装证书服务组件1
(2) 选择CA类型为独立根CA,并单击<下一步>按钮。
图4 安装证书服务组件2
(3) 输入CA的名称为CA server,并单击<下一步>按钮。
图5 安装证书服务组件3
(4) 选择CA证书数据库、数据库日志和共享文件夹的存储位置,并单击<下一步>按钮。
图6 安装证书服务组件4
安装证书服务组件时,界面上会出现CA证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径,其中共享文件夹存放路径中的“ca”为CA服务器的主机名。
(5) 证书服务组件安装成功后,单击<完成>按钮,退出[Windows组件向导]窗口。
2. 安装SCEP插件
(1) 双击运行SCEP的安装文件,在弹出的窗口中,单击<下一步>按钮。
SCEP的安装文件可以从Microsoft网站免费下载。
图7 安装SCEP插件1
(2) 选择使用本地系统帐户作为标识,并单击<下一步>按钮。
图8 安装SCEP插件2
(3) 去掉“Require SCEP Challenge Phrase to Enroll”选项,单击<下一步>按钮。
图9 安装SCEP插件3
(4) 输入RA向CA服务器登记时使用的RA标识信息,单击<下一步>按钮。RA的功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。RA是CA的延伸,可以作为CA的一部分。
图10 安装SCEP插件4
(5) 完成上述配置后,单击<完成>按钮,弹出如图11所示的提示框。记录该URL地址,并单击<确定>按钮。
图11 安装SCEP插件5
配置HTTPS服务器Gateway时,需要将注册服务器地址配置为提示框中的URL地址,其中的主机名ca可以替换为CA服务器的IP地址。
3. 修改证书服务的属性
完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。
(1) 右键单击[CA server],选择[属性]。
图12 修改证书服务的属性
(2) 在[CA server 属性]窗口选择“策略模块”页签,单击<属性>按钮。
图13 证书服务属性窗口
(3) 选择策略模块的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书(F)。”,单击<确定>按钮。
图14 策略模块的属性
(4) 单击图15中的停止服务和图16中的启动服务按钮,重启证书服务。
图15 停止证书服务
图16 启动证书服务
4. 修改IIS服务的属性
(1) 打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],右键单击[默认网站],选择[属性]。
图17 IIS管理器
(2) 选择[默认网站 属性]窗口中的“主目录”页签,将本地路径修改为证书服务保存的路径。
图18 修改默认网站的主目录
(3) 选择[默认网站 属性]窗口中的“网站”页签,将TCP端口改为8080。
为了避免与已有的服务冲突,默认网站的TCP端口号不能与已有服务的端口号相同,且建议不要使用默认端口号80。
图19 修改默认网站的TCP端口号
3.3.2 配置HTTPS服务器
1. 配置Gateway向CA服务器申请证书
l 证书中包含有效时间,建议为Gateway申请证书之前,将Gateway与CA服务器的时间同步,以避免获取证书失败。
l 缺省情况下,设备上存在默认的PKI域及证书,在配置HTTPS服务时可以直接引用,因此本步骤可选。默认PKI域及证书的具体情况与设备的型号有关,请以设备的实际情况为准。
(1) 配置PKI实体aaa。
l 在导航栏中选择“VPN > 证书管理 > PKI实体”,单击<新建>按钮。
l 输入PKI实体名称为“aaa”。
l 输入通用名为“gateway”。
l 单击<确定>按钮完成操作。
图20 配置PKI实体aaa
(2) 配置PKI域ssl。
l 在导航栏中选择“VPN > 证书管理 > PKI域”,单击<新建>按钮。
l 输入PKI域名称为“ssl”。
l 输入CA标识符为“CA server”。
l 选择本端实体为“aaa”。
l 选择注册机构为“RA”。
l 输入证书申请URL为“http://5.5.5.1:8080/certsrv/mscep/mscep.dll”(为安装SCEP插件时弹出的URL地址,格式为“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”和“port”分别为CA服务器的主机地址和端口号)。
l 单击<确定>按钮,弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”,再次单击<确定>按钮完成操作。
图21 配置PKI域ssl
(3) 生成RSA本地密钥对。
l 在导航栏中选择“VPN > 证书管理 > 证书”,单击<创建密钥>按钮。
l 输入密钥长度为“1024”。
l 单击<确定>按钮完成操作。
图22 生成RSA本地密钥对
(4) 手动在线获取CA证书。
l 在证书显示页面单击<获取证书>按钮。
l 选择PKI域名称为“ssl”。
l 选择证书类型为“CA”。
l 单击<确定>按钮完成操作。页面跳转回证书显示页面,可以看到已获取到的CA证书。
图23 获取CA证书
(5) 手动在线申请本地证书。
l 在证书显示页面单击<申请证书>按钮。
l 选择PKI域名称为“ssl”。
l 单击<确定>按钮提交证书申请。
图24 申请本地证书
l 弹出提示框“证书申请已提交。”,再次单击<确定>按钮。页面跳转回证书显示页面,可以看到已申请到的本地证书。
图25 完成证书申请后的证书显示页面
2. 配置HTTPS服务
使能HTTPS服务,并配置HTTPS使用PKI域ssl的本地证书。
l 在导航栏中选择“设备管理 > 服务管理”。
l 选中“启用HTTPS服务”前的复选框。
l 选择证书为“CN=gateway”。
l 单击<确定>按钮完成操作。
图26 配置HTTPS服务
3. 配置本地用户
配置本地用户abc,密码为123,服务类型为Web,访问等级为Management。
l 在导航栏中选择“用户管理 > 本地用户”,单击<新建>按钮。
l 输入用户名为“abc”。
l 选择访问等级为“Management”。
l 选择服务类型为“Web”。
l 输入密码为“123”,输入确认密码为“123”。
l 单击<确定>按钮完成操作。
图27 新建本地用户abc
3.4 验证结果
(1) 在Admin上打开IE,输入网址https://1.1.1.1。弹出[安全警报]的对话框提示用户是否继续访问服务器。
图28 确认HTTPS服务器的证书
(2) 单击<是>按钮,进入Gateway的Web网管用户登录界面。
(3) 输入用户名abc、密码123和验证码,选择Web页面的语言种类,单击<登录>按钮,即可进入Gateway的Web界面对其进行控制。
图29 Web网管用户登录界面
HTTPS Web配置举例