HTTPS Web配置举例
http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Representative_collocate_enchiridion/201010/697325_30003_0.htm
?
HTTPS Web配置舉例
關(guān)鍵詞:HTTPS、SSL、PKI、CA、RA
摘? ?要:HTTPS是支持SSL的HTTP協(xié)議。用戶(hù)可以通過(guò)HTTPS協(xié)議安全地登錄設(shè)備,通過(guò)Web頁(yè)面實(shí)現(xiàn)對(duì)設(shè)備的控制。本文介紹了HTTPS的配置過(guò)程。
縮略語(yǔ):
| 縮略語(yǔ) | 英文全名 | 中文解釋 |
| CA | Certificate Authority | 證書(shū)機(jī)構(gòu) |
| HTTPS | Hypertext Transfer Protocol Secure | 安全超文本傳輸協(xié)議 |
| IIS | Internet Information Service | Internet信息服務(wù) |
| MAC | Message Authentication Code | 消息驗(yàn)證碼 |
| PKI | Public Key Infrastructure | 公鑰基礎(chǔ)設(shè)施 |
| RA | Registration Authority | 注冊(cè)機(jī)構(gòu) |
| SCEP | Simple Certificate Enrollment Protocol | 簡(jiǎn)單證書(shū)注冊(cè)協(xié)議 |
| SSL | Secure Sockets Layer | 安全套接層 |
?
?
目? 錄
1 特性簡(jiǎn)介
2 應(yīng)用場(chǎng)合
3 配置舉例
3.1 組網(wǎng)需求
3.2 配置思路
3.2.1 CA服務(wù)器配置思路
3.2.2 HTTPS服務(wù)器配置思路
3.3 配置步驟
3.3.1 配置CA服務(wù)器
3.3.2 配置HTTPS服務(wù)器
3.4 驗(yàn)證結(jié)果
?
?
1? 特性簡(jiǎn)介
對(duì)于支持Web管理功能的設(shè)備,開(kāi)啟HTTP服務(wù)后,設(shè)備可以作為Web服務(wù)器,允許用戶(hù)通過(guò)HTTP協(xié)議登錄,并利用Web頁(yè)面實(shí)現(xiàn)對(duì)設(shè)備的訪問(wèn)和控制。但是HTTP協(xié)議本身不能對(duì)Web服務(wù)器的身份進(jìn)行驗(yàn)證,也不能保證數(shù)據(jù)傳輸?shù)乃矫苄?#xff0c;無(wú)法提供安全性保證。為此,設(shè)備提供了HTTPS功能,將HTTP和SSL結(jié)合,通過(guò)SSL對(duì)服務(wù)器進(jìn)行驗(yàn)證,對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密,從而實(shí)現(xiàn)了對(duì)設(shè)備的安全管理。
HTTPS通過(guò)SSL協(xié)議,從以下幾方面提高了安全性:
l????????????? 客戶(hù)端通過(guò)數(shù)字證書(shū)對(duì)服務(wù)器進(jìn)行身份驗(yàn)證,保證客戶(hù)端訪問(wèn)正確的服務(wù)器。
l????????????? 客戶(hù)端與服務(wù)器之間交互的數(shù)據(jù)需要經(jīng)過(guò)加密,保證了數(shù)據(jù)傳輸?shù)陌踩院屯暾?#xff0c;從而實(shí)現(xiàn)了對(duì)服務(wù)器(即設(shè)備)的安全管理。
2? 應(yīng)用場(chǎng)合
HTTPS主要用于網(wǎng)絡(luò)管理員遠(yuǎn)程配置設(shè)備。如圖1所示,某公司在A、B兩地分別設(shè)立分公司,位于A地的網(wǎng)絡(luò)管理員無(wú)法直接配置位于B地的Device B。為了實(shí)現(xiàn)對(duì)Device B的安全管理,網(wǎng)絡(luò)管理員通過(guò)HTTPS登錄Device B,利用Web頁(yè)面配置遠(yuǎn)程設(shè)備Device B。
圖1 HTTPS典型應(yīng)用場(chǎng)景
?
?
3? 配置舉例
3.1? 組網(wǎng)需求
公司A的網(wǎng)絡(luò)管理員與該公司的研發(fā)部位于不同的城市,網(wǎng)絡(luò)管理員希望安全地遠(yuǎn)程登錄到研發(fā)部的網(wǎng)關(guān)設(shè)備,實(shí)現(xiàn)對(duì)其的控制。
如圖2所示,HTTPS可以滿足這個(gè)需求:
l????????????? 網(wǎng)絡(luò)管理員通過(guò)主機(jī)Admin與網(wǎng)關(guān)設(shè)備Gateway建立HTTPS連接,通過(guò)Web頁(yè)面實(shí)現(xiàn)對(duì)Gateway的控制。
l????????????? 利用SSL的安全機(jī)制對(duì)HTTPS服務(wù)器Gateway進(jìn)行身份驗(yàn)證,提高了遠(yuǎn)程登錄的安全性。
l????????????? 為了實(shí)現(xiàn)基于證書(shū)的身份驗(yàn)證,公司A還需要配置CA服務(wù)器,為Gateway頒發(fā)證書(shū)。本配置舉例以Windows Server 2003為例,說(shuō)明CA服務(wù)器的配置方法。
圖2 HTTPS典型配置舉例組網(wǎng)圖
?
?
3.2? 配置思路
為了實(shí)現(xiàn)上述組網(wǎng)需求,需要完成表1中的操作。
表1 配置步驟簡(jiǎn)介
| 操作 | 配置思路 | 詳細(xì)配置 |
| 配置CA服務(wù)器 | 3.2.1? | 3.3.1? |
| 配置HTTPS服務(wù)器 | 3.2.2? | 3.3.2? |
?
3.2.1? CA服務(wù)器配置思路
Windows Server 2003作為CA服務(wù)器時(shí),需要在CA服務(wù)器上安裝并啟用IIS。
?
Windows Server 2003作為CA服務(wù)器時(shí),配置過(guò)程為:
(1)??????? 安裝證書(shū)服務(wù)組件,并設(shè)置CA服務(wù)器的類(lèi)型、名稱(chēng)等參數(shù)。
(2)??????? 安裝SCEP插件。SCEP是證書(shū)申請(qǐng)者與認(rèn)證機(jī)構(gòu)通信時(shí)使用的協(xié)議。Windows Server 2003作為CA服務(wù)器時(shí),缺省情況下不支持SCEP,所以需要安裝SCEP插件,才能使CA服務(wù)器具備自動(dòng)處理證書(shū)注冊(cè)和頒發(fā)等功能。
(3)??????? 將證書(shū)服務(wù)的頒發(fā)策略修改為自動(dòng)頒發(fā)證書(shū)。否則,收到證書(shū)申請(qǐng)后,管理員需要確認(rèn)申請(qǐng),并手工頒發(fā)證書(shū)。
(4)??????? 修改IIS服務(wù)的屬性。將默認(rèn)網(wǎng)站的路徑修改為證書(shū)服務(wù)保存的路徑;為了避免與已有的服務(wù)沖突,建議修改默認(rèn)網(wǎng)站的TCP端口號(hào)。
3.2.2? HTTPS服務(wù)器配置思路
HTTPS服務(wù)器的配置過(guò)程為:
(1)??????? 配置PKI。PKI是通過(guò)公開(kāi)密鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全,并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持有者身份的一種體系。SSL通過(guò)PKI實(shí)現(xiàn)對(duì)服務(wù)器和客戶(hù)端的身份驗(yàn)證。配置HTTPS服務(wù)器之前,首先要完成PKI的配置,其中包括:
l????????????? 配置PKI實(shí)體。實(shí)體的身份信息用來(lái)唯一標(biāo)識(shí)證書(shū)申請(qǐng)者。
l????????????? 配置PKI域。實(shí)體在進(jìn)行證書(shū)申請(qǐng)操作之前需要配置一些注冊(cè)信息來(lái)配合完成申請(qǐng)的過(guò)程。這些信息的集合就是一個(gè)實(shí)體的PKI域。創(chuàng)建PKI域的目的是便于其它應(yīng)用引用PKI的配置。
l????????????? 生成RSA本地密鑰對(duì)。密鑰對(duì)的生成是證書(shū)申請(qǐng)過(guò)程中重要的一步。申請(qǐng)過(guò)程使用了一對(duì)主機(jī)密鑰:私鑰和公鑰。私鑰由用戶(hù)保留,公鑰和其他信息則交由CA中心進(jìn)行簽名,從而產(chǎn)生證書(shū)。
l????????????? 獲取CA證書(shū),并下載至本地,以便驗(yàn)證申請(qǐng)到證書(shū)的真實(shí)性和合法性。
l????????????? 申請(qǐng)本地證書(shū)。可以采用手工和自動(dòng)兩種方式申請(qǐng)本地證書(shū)。本配置中以手工方式為例。
(2)??????? 使能HTTPS服務(wù),并配置HTTPS使用的PKI域。
(3)??????? 創(chuàng)建本地用戶(hù),通過(guò)用戶(hù)名和密碼實(shí)現(xiàn)對(duì)用戶(hù)身份的驗(yàn)證。
3.3? 配置步驟
l??? 進(jìn)行下面的配置之前,需要確保HTTPS服務(wù)器Gateway、HTTPS客戶(hù)端Admin和CA服務(wù)器之間的路由可達(dá)。
l??? 以下對(duì)配置HTTPS服務(wù)器的描述以SecPath F1000-E產(chǎn)品為示例,其他產(chǎn)品的頁(yè)面可能有所不同。
l??? 下面配置步驟中的各頁(yè)面或窗口的配置項(xiàng),如果沒(méi)有特殊說(shuō)明,均采用其默認(rèn)設(shè)置。
?
3.3.1? 配置CA服務(wù)器
1. 安裝證書(shū)服務(wù)組件
(1)??????? 打開(kāi)[控制面板]/[添加或刪除程序],選擇[添加/刪除Windows組件]。在[Windows組件向?qū)中,選中“證書(shū)服務(wù)”,并單擊<下一步>按鈕。
圖3 安裝證書(shū)服務(wù)組件1
?
?
(2)??????? 選擇CA類(lèi)型為獨(dú)立根CA,并單擊<下一步>按鈕。
圖4 安裝證書(shū)服務(wù)組件2
?
?
(3)??????? 輸入CA的名稱(chēng)為CA server,并單擊<下一步>按鈕。
圖5 安裝證書(shū)服務(wù)組件3
?
?
(4)??????? 選擇CA證書(shū)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)日志和共享文件夾的存儲(chǔ)位置,并單擊<下一步>按鈕。
圖6 安裝證書(shū)服務(wù)組件4
?
?
安裝證書(shū)服務(wù)組件時(shí),界面上會(huì)出現(xiàn)CA證書(shū)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)日志和共享文件夾的缺省存放路徑。本配置舉例中使用了缺省存放路徑,其中共享文件夾存放路徑中的“ca”為CA服務(wù)器的主機(jī)名。
?
(5)??????? 證書(shū)服務(wù)組件安裝成功后,單擊<完成>按鈕,退出[Windows組件向?qū)窗口。
2. 安裝SCEP插件
(1)??????? 雙擊運(yùn)行SCEP的安裝文件,在彈出的窗口中,單擊<下一步>按鈕。
SCEP的安裝文件可以從Microsoft網(wǎng)站免費(fèi)下載。
?
圖7 安裝SCEP插件1
?
?
(2)??????? 選擇使用本地系統(tǒng)帳戶(hù)作為標(biāo)識(shí),并單擊<下一步>按鈕。
圖8 安裝SCEP插件2
?
?
(3)??????? 去掉“Require SCEP Challenge Phrase to Enroll”選項(xiàng),單擊<下一步>按鈕。
圖9 安裝SCEP插件3
?
?
(4)??????? 輸入RA向CA服務(wù)器登記時(shí)使用的RA標(biāo)識(shí)信息,單擊<下一步>按鈕。RA的功能包括個(gè)人身份審核、CRL管理、密鑰對(duì)產(chǎn)生和密鑰對(duì)備份等。RA是CA的延伸,可以作為CA的一部分。
圖10 安裝SCEP插件4
?
?
(5)??????? 完成上述配置后,單擊<完成>按鈕,彈出如圖11所示的提示框。記錄該URL地址,并單擊<確定>按鈕。
圖11 安裝SCEP插件5
?
?
配置HTTPS服務(wù)器Gateway時(shí),需要將注冊(cè)服務(wù)器地址配置為提示框中的URL地址,其中的主機(jī)名ca可以替換為CA服務(wù)器的IP地址。
?
3. 修改證書(shū)服務(wù)的屬性
完成上述配置后,打開(kāi)[控制面板/管理工具]中的[證書(shū)頒發(fā)機(jī)構(gòu)],如果安裝成功,在[頒發(fā)的證書(shū)]中將存在兩個(gè)CA服務(wù)器頒發(fā)給RA的證書(shū)。
(1)??????? 右鍵單擊[CA server],選擇[屬性]。
圖12 修改證書(shū)服務(wù)的屬性
?
?
(2)??????? 在[CA server 屬性]窗口選擇“策略模塊”頁(yè)簽,單擊<屬性>按鈕。
圖13 證書(shū)服務(wù)屬性窗口
?
?
(3)??????? 選擇策略模塊的屬性為“如果可以的話,按照證書(shū)模板中的設(shè)置。否則,將自動(dòng)頒發(fā)證書(shū)(F)。”,單擊<確定>按鈕。
圖14 策略模塊的屬性
?
?
(4)??????? 單擊圖15中的停止服務(wù)和圖16中的啟動(dòng)服務(wù)按鈕,重啟證書(shū)服務(wù)。
圖15 停止證書(shū)服務(wù)
?
?
圖16 啟動(dòng)證書(shū)服務(wù)
?
?
4. 修改IIS服務(wù)的屬性
(1)??????? 打開(kāi)[控制面板/管理工具]中的[Internet 信息服務(wù)(IIS)管理器],右鍵單擊[默認(rèn)網(wǎng)站],選擇[屬性]。
圖17 IIS管理器
?
?
(2)??????? 選擇[默認(rèn)網(wǎng)站 屬性]窗口中的“主目錄”頁(yè)簽,將本地路徑修改為證書(shū)服務(wù)保存的路徑。
圖18 修改默認(rèn)網(wǎng)站的主目錄
?
?
(3)??????? 選擇[默認(rèn)網(wǎng)站 屬性]窗口中的“網(wǎng)站”頁(yè)簽,將TCP端口改為8080。
為了避免與已有的服務(wù)沖突,默認(rèn)網(wǎng)站的TCP端口號(hào)不能與已有服務(wù)的端口號(hào)相同,且建議不要使用默認(rèn)端口號(hào)80。
?
圖19 修改默認(rèn)網(wǎng)站的TCP端口號(hào)
?
?
3.3.2? 配置HTTPS服務(wù)器
1. 配置Gateway向CA服務(wù)器申請(qǐng)證書(shū)
l??? 證書(shū)中包含有效時(shí)間,建議為Gateway申請(qǐng)證書(shū)之前,將Gateway與CA服務(wù)器的時(shí)間同步,以避免獲取證書(shū)失敗。
l??? 缺省情況下,設(shè)備上存在默認(rèn)的PKI域及證書(shū),在配置HTTPS服務(wù)時(shí)可以直接引用,因此本步驟可選。默認(rèn)PKI域及證書(shū)的具體情況與設(shè)備的型號(hào)有關(guān),請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)。
?
(1)??????? 配置PKI實(shí)體aaa。
l????????????? 在導(dǎo)航欄中選擇“VPN > 證書(shū)管理 > PKI實(shí)體”,單擊<新建>按鈕。
l????????????? 輸入PKI實(shí)體名稱(chēng)為“aaa”。
l????????????? 輸入通用名為“gateway”。
l????????????? 單擊<確定>按鈕完成操作。
圖20 配置PKI實(shí)體aaa
?
?
(2)??????? 配置PKI域ssl。
l????????????? 在導(dǎo)航欄中選擇“VPN > 證書(shū)管理 > PKI域”,單擊<新建>按鈕。
l????????????? 輸入PKI域名稱(chēng)為“ssl”。
l????????????? 輸入CA標(biāo)識(shí)符為“CA server”。
l????????????? 選擇本端實(shí)體為“aaa”。
l????????????? 選擇注冊(cè)機(jī)構(gòu)為“RA”。
l????????????? 輸入證書(shū)申請(qǐng)URL為“http://5.5.5.1:8080/certsrv/mscep/mscep.dll”(為安裝SCEP插件時(shí)彈出的URL地址,格式為“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”和“port”分別為CA服務(wù)器的主機(jī)地址和端口號(hào))。
l????????????? 單擊<確定>按鈕,彈出對(duì)話框提示“未指定根證書(shū)指紋,在獲取CA證書(shū)時(shí)將不對(duì)根證書(shū)指紋進(jìn)行驗(yàn)證,確認(rèn)要繼續(xù)嗎?”,再次單擊<確定>按鈕完成操作。
圖21 配置PKI域ssl
?
?
(3)??????? 生成RSA本地密鑰對(duì)。
l????????????? 在導(dǎo)航欄中選擇“VPN > 證書(shū)管理 > 證書(shū)”,單擊<創(chuàng)建密鑰>按鈕。
l????????????? 輸入密鑰長(zhǎng)度為“1024”。
l????????????? 單擊<確定>按鈕完成操作。
圖22 生成RSA本地密鑰對(duì)
?
?
(4)??????? 手動(dòng)在線獲取CA證書(shū)。
l????????????? 在證書(shū)顯示頁(yè)面單擊<獲取證書(shū)>按鈕。
l????????????? 選擇PKI域名稱(chēng)為“ssl”。
l????????????? 選擇證書(shū)類(lèi)型為“CA”。
l????????????? 單擊<確定>按鈕完成操作。頁(yè)面跳轉(zhuǎn)回證書(shū)顯示頁(yè)面,可以看到已獲取到的CA證書(shū)。
圖23 獲取CA證書(shū)
?
?
(5)??????? 手動(dòng)在線申請(qǐng)本地證書(shū)。
l????????????? 在證書(shū)顯示頁(yè)面單擊<申請(qǐng)證書(shū)>按鈕。
l????????????? 選擇PKI域名稱(chēng)為“ssl”。
l????????????? 單擊<確定>按鈕提交證書(shū)申請(qǐng)。
圖24 申請(qǐng)本地證書(shū)
?
?
l????????????? 彈出提示框“證書(shū)申請(qǐng)已提交。”,再次單擊<確定>按鈕。頁(yè)面跳轉(zhuǎn)回證書(shū)顯示頁(yè)面,可以看到已申請(qǐng)到的本地證書(shū)。
圖25 完成證書(shū)申請(qǐng)后的證書(shū)顯示頁(yè)面
?
?
2. 配置HTTPS服務(wù)
使能HTTPS服務(wù),并配置HTTPS使用PKI域ssl的本地證書(shū)。
l????????????? 在導(dǎo)航欄中選擇“設(shè)備管理 > 服務(wù)管理”。
l????????????? 選中“啟用HTTPS服務(wù)”前的復(fù)選框。
l????????????? 選擇證書(shū)為“CN=gateway”。
l????????????? 單擊<確定>按鈕完成操作。
圖26 配置HTTPS服務(wù)
?
?
3. 配置本地用戶(hù)
配置本地用戶(hù)abc,密碼為123,服務(wù)類(lèi)型為Web,訪問(wèn)等級(jí)為Management。
l????????????? 在導(dǎo)航欄中選擇“用戶(hù)管理 > 本地用戶(hù)”,單擊<新建>按鈕。
l????????????? 輸入用戶(hù)名為“abc”。
l????????????? 選擇訪問(wèn)等級(jí)為“Management”。
l????????????? 選擇服務(wù)類(lèi)型為“Web”。
l????????????? 輸入密碼為“123”,輸入確認(rèn)密碼為“123”。
l????????????? 單擊<確定>按鈕完成操作。
圖27 新建本地用戶(hù)abc
?
?
3.4? 驗(yàn)證結(jié)果
(1)??????? 在Admin上打開(kāi)IE,輸入網(wǎng)址https://1.1.1.1。彈出[安全警報(bào)]的對(duì)話框提示用戶(hù)是否繼續(xù)訪問(wèn)服務(wù)器。
圖28 確認(rèn)HTTPS服務(wù)器的證書(shū)
?
?
(2)??????? 單擊<是>按鈕,進(jìn)入Gateway的Web網(wǎng)管用戶(hù)登錄界面。
(3)??????? 輸入用戶(hù)名abc、密碼123和驗(yàn)證碼,選擇Web頁(yè)面的語(yǔ)言種類(lèi),單擊<登錄>按鈕,即可進(jìn)入Gateway的Web界面對(duì)其進(jìn)行控制。
圖29 Web網(wǎng)管用戶(hù)登錄界面
?
轉(zhuǎn)載于:https://www.cnblogs.com/alexyuyu/p/3805283.html
總結(jié)
以上是生活随笔為你收集整理的HTTPS Web配置举例的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: .net中用Action等委托向外传递参
- 下一篇: gridview里找到控件