HTTPS Web配置举例

http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Representative_collocate_enchiridion/201010/697325_30003_0.htm

关键词:HTTPS、SSL、PKI、CA、RA

摘   要:HTTPS是支持SSL的HTTP协议。用户可以通过HTTPS协议安全地登录设备,通过Web页面实现对设备的控制。本文介绍了HTTPS的配置过程。

缩略语:


缩略语


英文全名


中文解释


CA


Certificate Authority


证书机构


HTTPS


Hypertext Transfer Protocol Secure


安全超文本传输协议


IIS


Internet Information Service


Internet信息服务


MAC


Message Authentication Code


消息验证码


PKI


Public Key Infrastructure


公钥基础设施


RA


Registration Authority


注册机构


SCEP


Simple Certificate Enrollment Protocol


简单证书注册协议


SSL


Secure Sockets Layer


安全套接层

目  录

1 特性简介

2 应用场合

3 配置举例

3.1 组网需求

3.2 配置思路

3.2.1 CA服务器配置思路

3.2.2 HTTPS服务器配置思路

3.3 配置步骤

3.3.1 配置CA服务器

3.3.2 配置HTTPS服务器

3.4 验证结果

1  特性简介

对于支持Web管理功能的设备,开启HTTP服务后,设备可以作为Web服务器,允许用户通过HTTP协议登录,并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证,也不能保证数据传输的私密性,无法提供安全性保证。为此,设备提供了HTTPS功能,将HTTP和SSL结合,通过SSL对服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。

HTTPS通过SSL协议,从以下几方面提高了安全性:

l              客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器。

l              客户端与服务器之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对服务器(即设备)的安全管理。

2  应用场合

HTTPS主要用于网络管理员远程配置设备。如图1所示,某公司在A、B两地分别设立分公司,位于A地的网络管理员无法直接配置位于B地的Device B。为了实现对Device B的安全管理,网络管理员通过HTTPS登录Device B,利用Web页面配置远程设备Device B。

图1 HTTPS典型应用场景

3  配置举例

3.1  组网需求

公司A的网络管理员与该公司的研发部位于不同的城市,网络管理员希望安全地远程登录到研发部的网关设备,实现对其的控制。

如图2所示,HTTPS可以满足这个需求:

l              网络管理员通过主机Admin与网关设备Gateway建立HTTPS连接,通过Web页面实现对Gateway的控制。

l              利用SSL的安全机制对HTTPS服务器Gateway进行身份验证,提高了远程登录的安全性。

l              为了实现基于证书的身份验证,公司A还需要配置CA服务器,为Gateway颁发证书。本配置举例以Windows Server 2003为例,说明CA服务器的配置方法。

图2 HTTPS典型配置举例组网图

3.2  配置思路

为了实现上述组网需求,需要完成表1中的操作。

表1 配置步骤简介


操作


配置思路


详细配置


配置CA服务器


3.2.1


3.3.1


配置HTTPS服务器


3.2.2


3.3.2

3.2.1  CA服务器配置思路

Windows Server 2003作为CA服务器时,需要在CA服务器上安装并启用IIS。

Windows Server 2003作为CA服务器时,配置过程为:

(1)        安装证书服务组件,并设置CA服务器的类型、名称等参数。

(2)        安装SCEP插件。SCEP是证书申请者与认证机构通信时使用的协议。Windows Server 2003作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使CA服务器具备自动处理证书注册和颁发等功能。

(3)        将证书服务的颁发策略修改为自动颁发证书。否则,收到证书申请后,管理员需要确认申请,并手工颁发证书。

(4)        修改IIS服务的属性。将默认网站的路径修改为证书服务保存的路径;为了避免与已有的服务冲突,建议修改默认网站的TCP端口号。

3.2.2  HTTPS服务器配置思路

HTTPS服务器的配置过程为:

(1)        配置PKI。PKI是通过公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。SSL通过PKI实现对服务器和客户端的身份验证。配置HTTPS服务器之前,首先要完成PKI的配置,其中包括:

l              配置PKI实体。实体的身份信息用来唯一标识证书申请者。

l              配置PKI域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的PKI域。创建PKI域的目的是便于其它应用引用PKI的配置。

l              生成RSA本地密钥对。密钥对的生成是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书。

l              获取CA证书,并下载至本地,以便验证申请到证书的真实性和合法性。

l              申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。

(2)        使能HTTPS服务,并配置HTTPS使用的PKI域。

(3)        创建本地用户,通过用户名和密码实现对用户身份的验证。

3.3  配置步骤

l    进行下面的配置之前,需要确保HTTPS服务器Gateway、HTTPS客户端Admin和CA服务器之间的路由可达。

l    以下对配置HTTPS服务器的描述以SecPath F1000-E产品为示例,其他产品的页面可能有所不同。

l    下面配置步骤中的各页面或窗口的配置项,如果没有特殊说明,均采用其默认设置。

3.3.1  配置CA服务器

1. 安装证书服务组件

(1)        打开[控制面板]/[添加或删除程序],选择[添加/删除Windows组件]。在[Windows组件向导]中,选中“证书服务”,并单击<下一步>按钮。

图3 安装证书服务组件1

(2)        选择CA类型为独立根CA,并单击<下一步>按钮。

图4 安装证书服务组件2

(3)        输入CA的名称为CA server,并单击<下一步>按钮。

图5 安装证书服务组件3

(4)        选择CA证书数据库、数据库日志和共享文件夹的存储位置,并单击<下一步>按钮。

图6 安装证书服务组件4

安装证书服务组件时,界面上会出现CA证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径,其中共享文件夹存放路径中的“ca”为CA服务器的主机名。

(5)        证书服务组件安装成功后,单击<完成>按钮,退出[Windows组件向导]窗口。

2. 安装SCEP插件

(1)        双击运行SCEP的安装文件,在弹出的窗口中,单击<下一步>按钮。

SCEP的安装文件可以从Microsoft网站免费下载。

图7 安装SCEP插件1

(2)        选择使用本地系统帐户作为标识,并单击<下一步>按钮。

图8 安装SCEP插件2

(3)        去掉“Require SCEP Challenge Phrase to Enroll”选项,单击<下一步>按钮。

图9 安装SCEP插件3

(4)        输入RA向CA服务器登记时使用的RA标识信息,单击<下一步>按钮。RA的功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。RA是CA的延伸,可以作为CA的一部分。

图10 安装SCEP插件4

(5)        完成上述配置后,单击<完成>按钮,弹出如图11所示的提示框。记录该URL地址,并单击<确定>按钮。

图11 安装SCEP插件5

配置HTTPS服务器Gateway时,需要将注册服务器地址配置为提示框中的URL地址,其中的主机名ca可以替换为CA服务器的IP地址。

3. 修改证书服务的属性

完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。

(1)        右键单击[CA server],选择[属性]。

图12 修改证书服务的属性

(2)        在[CA server 属性]窗口选择“策略模块”页签,单击<属性>按钮。

图13 证书服务属性窗口

(3)        选择策略模块的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书(F)。”,单击<确定>按钮。

图14 策略模块的属性

(4)        单击图15中的停止服务和图16中的启动服务按钮,重启证书服务。

图15 停止证书服务

图16 启动证书服务

4. 修改IIS服务的属性

(1)        打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],右键单击[默认网站],选择[属性]。

图17 IIS管理器

(2)        选择[默认网站 属性]窗口中的“主目录”页签,将本地路径修改为证书服务保存的路径。

图18 修改默认网站的主目录

(3)        选择[默认网站 属性]窗口中的“网站”页签,将TCP端口改为8080。

为了避免与已有的服务冲突,默认网站的TCP端口号不能与已有服务的端口号相同,且建议不要使用默认端口号80。

图19 修改默认网站的TCP端口号

3.3.2  配置HTTPS服务器

1. 配置Gateway向CA服务器申请证书

l    证书中包含有效时间,建议为Gateway申请证书之前,将Gateway与CA服务器的时间同步,以避免获取证书失败。

l    缺省情况下,设备上存在默认的PKI域及证书,在配置HTTPS服务时可以直接引用,因此本步骤可选。默认PKI域及证书的具体情况与设备的型号有关,请以设备的实际情况为准。

(1)        配置PKI实体aaa。

l              在导航栏中选择“VPN > 证书管理 > PKI实体”,单击<新建>按钮。

l              输入PKI实体名称为“aaa”。

l              输入通用名为“gateway”。

l              单击<确定>按钮完成操作。

图20 配置PKI实体aaa

(2)        配置PKI域ssl。

l              在导航栏中选择“VPN > 证书管理 > PKI域”,单击<新建>按钮。

l              输入PKI域名称为“ssl”。

l              输入CA标识符为“CA server”。

l              选择本端实体为“aaa”。

l              选择注册机构为“RA”。

l              输入证书申请URL为“http://5.5.5.1:8080/certsrv/mscep/mscep.dll”(为安装SCEP插件时弹出的URL地址,格式为“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”和“port”分别为CA服务器的主机地址和端口号)。

l              单击<确定>按钮,弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”,再次单击<确定>按钮完成操作。

图21 配置PKI域ssl

(3)        生成RSA本地密钥对。

l              在导航栏中选择“VPN > 证书管理 > 证书”,单击<创建密钥>按钮。

l              输入密钥长度为“1024”。

l              单击<确定>按钮完成操作。

图22 生成RSA本地密钥对

(4)        手动在线获取CA证书。

l              在证书显示页面单击<获取证书>按钮。

l              选择PKI域名称为“ssl”。

l              选择证书类型为“CA”。

l              单击<确定>按钮完成操作。页面跳转回证书显示页面,可以看到已获取到的CA证书。

图23 获取CA证书

(5)        手动在线申请本地证书。

l              在证书显示页面单击<申请证书>按钮。

l              选择PKI域名称为“ssl”。

l              单击<确定>按钮提交证书申请。

图24 申请本地证书

l              弹出提示框“证书申请已提交。”,再次单击<确定>按钮。页面跳转回证书显示页面,可以看到已申请到的本地证书。

图25 完成证书申请后的证书显示页面

2. 配置HTTPS服务

使能HTTPS服务,并配置HTTPS使用PKI域ssl的本地证书。

l              在导航栏中选择“设备管理 > 服务管理”。

l              选中“启用HTTPS服务”前的复选框。

l              选择证书为“CN=gateway”。

l              单击<确定>按钮完成操作。

图26 配置HTTPS服务

3. 配置本地用户

配置本地用户abc,密码为123,服务类型为Web,访问等级为Management。

l              在导航栏中选择“用户管理 > 本地用户”,单击<新建>按钮。

l              输入用户名为“abc”。

l              选择访问等级为“Management”。

l              选择服务类型为“Web”。

l              输入密码为“123”,输入确认密码为“123”。

l              单击<确定>按钮完成操作。

图27 新建本地用户abc

3.4  验证结果

(1)        在Admin上打开IE,输入网址https://1.1.1.1。弹出[安全警报]的对话框提示用户是否继续访问服务器。

图28 确认HTTPS服务器的证书

(2)        单击<是>按钮,进入Gateway的Web网管用户登录界面。

(3)        输入用户名abc、密码123和验证码,选择Web页面的语言种类,单击<登录>按钮,即可进入Gateway的Web界面对其进行控制。

图29 Web网管用户登录界面

HTTPS Web配置举例

时间: 2024-10-12 02:51:20

HTTPS Web配置举例的相关文章

集群配置工具之conga:web配置简易RHCS

RHCS,红帽的集群套件,至于原理性能什么的我这里也不多说了,很复杂也很无趣,而且网上一百遍介绍RHCS的文章,通常也是只是在用同一种方式同一种语言同一种思路说同一件事,有的甚至拼音的错误也是一样的,很无聊,大家有兴趣可以自己搜.好了,吐槽完毕,开始今天的实验! 准备: 一台控制台(node1.xue.com),需要安装luci和ansible; 三台做集群,及被控制机(node2.xue.com.node3.xue.com.node4.xue.com),需要安装ricci: 配置好yum源:

cocos2d-js-v3.0-rc0 下 pomelo-cocos2d-jsb native web 配置

一.基本步骤 注意:pomelo-cocos2d-jsb 没有用 https://github.com/NetEase/pomelo-cocos2d-jsb,原因这个不是最新版,另外,component根文件没有 pomelo-cocos2d-jsb 用的是 https://github.com/NetEase/chatofpomelo-websocket/tree/master/web-server/public/js/lib 这个是最新版,另外可以更新 具体步骤: 1.1下载zip文件 wg

HTTPS 证书配置

HTTPS 证书配置 现在阿里云和腾讯云都支持申请 HTTPS 证书,这里不再提,有需要的可自行google解决方案. 本文主要介绍的是通过 letsencrypt 申请免费的HTTPS证书,并将其配置在IIS WEB服务器上. 0. 申请 HTTPS 证书 在 https://www.sslforfree.com/ 申请证书,这里我以 http://sparktodo.weihanli.xyz/ 为例申请设置 输入要使用HTTPS的证书地址,生成证书及验证文件 验证域名 验证域名支持三种方式,

IDEA Java Web配置

目录 IDEA Java Web配置 tomcat配置 项目创建 项目导包 Servlet项目的创建 IDEA重启服务器的四个层级 IDEA Java Web配置 这篇文章适合使用IDEA创建过普通java类的coder tomcat配置 tomcat版本对应表: Servlet Spec JSP Spec EL Spec WebSocket Spec JASPIC Spec Apache Tomcat version Actual release revision Supported Java

华为--PPP典型配置举例

  PAP验证举例 1. 配置需求 路由器HangZhou和NingBo之间用接口S0/0/0互联,要求路由器HangZhou(验证方)以PAP方式验证路由器NingBo. [HangZhou] [HangZhou]int s0/0/0 [HangZhou-Serial0/0/0]ip add 192.168.12.1 24 [NingBo]int s0/0/0 [NingBo-Serial0/0/0]ip add 192.168.12.2 24 配置步骤: 1. 配置路由器HangZhou(验

GitLab ce 社区版本的https方式配置(yum)

上次安装了gitlab 但是不是https现在需要全民https了今天就给大家配置https.(默认的不是https的访问登陆和git也不https的) 先备份一下咱们的配置和文件,以防咱们修改错误回退 备份配置直接执行,先进入自己的备份目录. tar -zPcf$(date  "+etc-gitlab_%Y%m%d_%H%M%S.tar.gz") /etc/gitlab 备份文件,默认在 /var/opt/gitlab/backup目录不知道可以看配置文件 gitlab_rails[

SpringMVC DispatcherServlet 说明与web配置

使用Spring MVC,配置DispatcherServlet是第一步. DispatcherServlet是一个Servlet,所以可以配置多个DispatcherServlet. DispatcherServlet是前置控制器,配置在web.xml文件中的.拦截匹配的请求,Servlet拦截匹配规则要自已定义,把拦截下来的请求,依据某某规则分发到目标Controller(我们写的Action)来处理. HandlerMapping接口的实现类的不同而不同. 第一个例子 <?xml vers

Tomcat服务器配置https协议(Tomcat HTTPS/SSL 配置)

通常商用服务器使用https协议需要申请SSL证书,证书都是收费的,价格有贵的有便宜的.它们的区别是发行证书的机构不同,贵的证书机构更权威,证书被浏览器否决的几率更小. 非商业版本可以通过keytool来生成. 用keytool工具生成证书与配置 1.相关工具说明 此处使用1.7.0_79版本,如图所示: 切换到jdk bin目录下面,如图: 证书密钥生成 1.创建证书 keytool -genkey -alias [your_alias_name] -keyalg RSA -keystore

web配置nagios工具

Nagios是一款开源的免费网络监视工具,能有效监控Windows.Linux和Unix的主机状态,交换机路由器等网络设置,打印机等.在系统或服务状态异常时发出邮件或短信报警第一时间通知网站运维人员,在状态恢复后发出正常的邮件或短信通知. Nagiosql 安装的配置方法(一个web配置nagios的工具) NagiosQL 本人已经在使用中,它本身的导入功能非常强大,不用自己去处理以前的nagios配置文件,它会自己就处理出来,每台主机hosts是一个配 置,services都在一个配置文件里