HTTPS Web配置举例
http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Representative_collocate_enchiridion/201010/697325_30003_0.htm
HTTPS Web配置举例
关键词:HTTPS、SSL、PKI、CA、RA
摘 要:HTTPS是支持SSL的HTTP协议。用户可以通过HTTPS协议安全地登录设备,通过Web页面实现对设备的控制。本文介绍了HTTPS的配置过程。
缩略语:
缩略语 |
英文全名 |
中文解释 |
CA |
Certificate Authority |
证书机构 |
HTTPS |
Hypertext Transfer Protocol Secure |
安全超文本传输协议 |
IIS |
Internet Information Service |
Internet信息服务 |
MAC |
Message Authentication Code |
消息验证码 |
PKI |
Public Key Infrastructure |
公钥基础设施 |
RA |
Registration Authority |
注册机构 |
SCEP |
Simple Certificate Enrollment Protocol |
简单证书注册协议 |
SSL |
Secure Sockets Layer |
安全套接层 |
目 录
1 特性简介
2 应用场合
3 配置举例
3.1 组网需求
3.2 配置思路
3.2.1 CA服务器配置思路
3.2.2 HTTPS服务器配置思路
3.3 配置步骤
3.3.1 配置CA服务器
3.3.2 配置HTTPS服务器
3.4 验证结果
1 特性简介
对于支持Web管理功能的设备,开启HTTP服务后,设备可以作为Web服务器,允许用户通过HTTP协议登录,并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证,也不能保证数据传输的私密性,无法提供安全性保证。为此,设备提供了HTTPS功能,将HTTP和SSL结合,通过SSL对服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。
HTTPS通过SSL协议,从以下几方面提高了安全性:
l 客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器。
l 客户端与服务器之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对服务器(即设备)的安全管理。
2 应用场合
HTTPS主要用于网络管理员远程配置设备。如图1所示,某公司在A、B两地分别设立分公司,位于A地的网络管理员无法直接配置位于B地的Device B。为了实现对Device B的安全管理,网络管理员通过HTTPS登录Device B,利用Web页面配置远程设备Device B。
图1 HTTPS典型应用场景
3 配置举例
3.1 组网需求
公司A的网络管理员与该公司的研发部位于不同的城市,网络管理员希望安全地远程登录到研发部的网关设备,实现对其的控制。
如图2所示,HTTPS可以满足这个需求:
l 网络管理员通过主机Admin与网关设备Gateway建立HTTPS连接,通过Web页面实现对Gateway的控制。
l 利用SSL的安全机制对HTTPS服务器Gateway进行身份验证,提高了远程登录的安全性。
l 为了实现基于证书的身份验证,公司A还需要配置CA服务器,为Gateway颁发证书。本配置举例以Windows Server 2003为例,说明CA服务器的配置方法。
图2 HTTPS典型配置举例组网图
3.2 配置思路
为了实现上述组网需求,需要完成表1中的操作。
表1 配置步骤简介
操作 |
配置思路 |
详细配置 |
配置CA服务器 |
3.2.1 |
3.3.1 |
配置HTTPS服务器 |
3.2.2 |
3.3.2 |
3.2.1 CA服务器配置思路
Windows Server 2003作为CA服务器时,需要在CA服务器上安装并启用IIS。
Windows Server 2003作为CA服务器时,配置过程为:
(1) 安装证书服务组件,并设置CA服务器的类型、名称等参数。
(2) 安装SCEP插件。SCEP是证书申请者与认证机构通信时使用的协议。Windows Server 2003作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使CA服务器具备自动处理证书注册和颁发等功能。
(3) 将证书服务的颁发策略修改为自动颁发证书。否则,收到证书申请后,管理员需要确认申请,并手工颁发证书。
(4) 修改IIS服务的属性。将默认网站的路径修改为证书服务保存的路径;为了避免与已有的服务冲突,建议修改默认网站的TCP端口号。
3.2.2 HTTPS服务器配置思路
HTTPS服务器的配置过程为:
(1) 配置PKI。PKI是通过公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。SSL通过PKI实现对服务器和客户端的身份验证。配置HTTPS服务器之前,首先要完成PKI的配置,其中包括:
l 配置PKI实体。实体的身份信息用来唯一标识证书申请者。
l 配置PKI域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的PKI域。创建PKI域的目的是便于其它应用引用PKI的配置。
l 生成RSA本地密钥对。密钥对的生成是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书。
l 获取CA证书,并下载至本地,以便验证申请到证书的真实性和合法性。
l 申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。
(2) 使能HTTPS服务,并配置HTTPS使用的PKI域。
(3) 创建本地用户,通过用户名和密码实现对用户身份的验证。
3.3 配置步骤
l 进行下面的配置之前,需要确保HTTPS服务器Gateway、HTTPS客户端Admin和CA服务器之间的路由可达。
l 以下对配置HTTPS服务器的描述以SecPath F1000-E产品为示例,其他产品的页面可能有所不同。
l 下面配置步骤中的各页面或窗口的配置项,如果没有特殊说明,均采用其默认设置。
3.3.1 配置CA服务器
1. 安装证书服务组件
(1) 打开[控制面板]/[添加或删除程序],选择[添加/删除Windows组件]。在[Windows组件向导]中,选中“证书服务”,并单击<下一步>按钮。
图3 安装证书服务组件1
(2) 选择CA类型为独立根CA,并单击<下一步>按钮。
图4 安装证书服务组件2
(3) 输入CA的名称为CA server,并单击<下一步>按钮。
图5 安装证书服务组件3
(4) 选择CA证书数据库、数据库日志和共享文件夹的存储位置,并单击<下一步>按钮。
图6 安装证书服务组件4
安装证书服务组件时,界面上会出现CA证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径,其中共享文件夹存放路径中的“ca”为CA服务器的主机名。
(5) 证书服务组件安装成功后,单击<完成>按钮,退出[Windows组件向导]窗口。
2. 安装SCEP插件
(1) 双击运行SCEP的安装文件,在弹出的窗口中,单击<下一步>按钮。
SCEP的安装文件可以从Microsoft网站免费下载。
图7 安装SCEP插件1
(2) 选择使用本地系统帐户作为标识,并单击<下一步>按钮。
图8 安装SCEP插件2
(3) 去掉“Require SCEP Challenge Phrase to Enroll”选项,单击<下一步>按钮。
图9 安装SCEP插件3
(4) 输入RA向CA服务器登记时使用的RA标识信息,单击<下一步>按钮。RA的功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。RA是CA的延伸,可以作为CA的一部分。
图10 安装SCEP插件4
(5) 完成上述配置后,单击<完成>按钮,弹出如图11所示的提示框。记录该URL地址,并单击<确定>按钮。
图11 安装SCEP插件5
配置HTTPS服务器Gateway时,需要将注册服务器地址配置为提示框中的URL地址,其中的主机名ca可以替换为CA服务器的IP地址。
3. 修改证书服务的属性
完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。
(1) 右键单击[CA server],选择[属性]。
图12 修改证书服务的属性
(2) 在[CA server 属性]窗口选择“策略模块”页签,单击<属性>按钮。
图13 证书服务属性窗口
(3) 选择策略模块的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书(F)。”,单击<确定>按钮。
图14 策略模块的属性
(4) 单击图15中的停止服务和图16中的启动服务按钮,重启证书服务。
图15 停止证书服务
图16 启动证书服务
4. 修改IIS服务的属性
(1) 打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],右键单击[默认网站],选择[属性]。
图17 IIS管理器
(2) 选择[默认网站 属性]窗口中的“主目录”页签,将本地路径修改为证书服务保存的路径。
图18 修改默认网站的主目录
(3) 选择[默认网站 属性]窗口中的“网站”页签,将TCP端口改为8080。
为了避免与已有的服务冲突,默认网站的TCP端口号不能与已有服务的端口号相同,且建议不要使用默认端口号80。
图19 修改默认网站的TCP端口号
3.3.2 配置HTTPS服务器
1. 配置Gateway向CA服务器申请证书
l 证书中包含有效时间,建议为Gateway申请证书之前,将Gateway与CA服务器的时间同步,以避免获取证书失败。
l 缺省情况下,设备上存在默认的PKI域及证书,在配置HTTPS服务时可以直接引用,因此本步骤可选。默认PKI域及证书的具体情况与设备的型号有关,请以设备的实际情况为准。
(1) 配置PKI实体aaa。
l 在导航栏中选择“VPN > 证书管理 > PKI实体”,单击<新建>按钮。
l 输入PKI实体名称为“aaa”。
l 输入通用名为“gateway”。
l 单击<确定>按钮完成操作。
图20 配置PKI实体aaa
(2) 配置PKI域ssl。
l 在导航栏中选择“VPN > 证书管理 > PKI域”,单击<新建>按钮。
l 输入PKI域名称为“ssl”。
l 输入CA标识符为“CA server”。
l 选择本端实体为“aaa”。
l 选择注册机构为“RA”。
l 输入证书申请URL为“http://5.5.5.1:8080/certsrv/mscep/mscep.dll”(为安装SCEP插件时弹出的URL地址,格式为“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”和“port”分别为CA服务器的主机地址和端口号)。
l 单击<确定>按钮,弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”,再次单击<确定>按钮完成操作。
图21 配置PKI域ssl
(3) 生成RSA本地密钥对。
l 在导航栏中选择“VPN > 证书管理 > 证书”,单击<创建密钥>按钮。
l 输入密钥长度为“1024”。
l 单击<确定>按钮完成操作。
图22 生成RSA本地密钥对
(4) 手动在线获取CA证书。
l 在证书显示页面单击<获取证书>按钮。
l 选择PKI域名称为“ssl”。
l 选择证书类型为“CA”。
l 单击<确定>按钮完成操作。页面跳转回证书显示页面,可以看到已获取到的CA证书。
图23 获取CA证书
(5) 手动在线申请本地证书。
l 在证书显示页面单击<申请证书>按钮。
l 选择PKI域名称为“ssl”。
l 单击<确定>按钮提交证书申请。
图24 申请本地证书
l 弹出提示框“证书申请已提交。”,再次单击<确定>按钮。页面跳转回证书显示页面,可以看到已申请到的本地证书。
图25 完成证书申请后的证书显示页面
2. 配置HTTPS服务
使能HTTPS服务,并配置HTTPS使用PKI域ssl的本地证书。
l 在导航栏中选择“设备管理 > 服务管理”。
l 选中“启用HTTPS服务”前的复选框。
l 选择证书为“CN=gateway”。
l 单击<确定>按钮完成操作。
图26 配置HTTPS服务
3. 配置本地用户
配置本地用户abc,密码为123,服务类型为Web,访问等级为Management。
l 在导航栏中选择“用户管理 > 本地用户”,单击<新建>按钮。
l 输入用户名为“abc”。
l 选择访问等级为“Management”。
l 选择服务类型为“Web”。
l 输入密码为“123”,输入确认密码为“123”。
l 单击<确定>按钮完成操作。
图27 新建本地用户abc
3.4 验证结果
(1) 在Admin上打开IE,输入网址https://1.1.1.1。弹出[安全警报]的对话框提示用户是否继续访问服务器。
图28 确认HTTPS服务器的证书
(2) 单击<是>按钮,进入Gateway的Web网管用户登录界面。
(3) 输入用户名abc、密码123和验证码,选择Web页面的语言种类,单击<登录>按钮,即可进入Gateway的Web界面对其进行控制。
图29 Web网管用户登录界面
转载于:https://www.cnblogs.com/alexyuyu/p/3805283.html
HTTPS Web配置举例相关推荐
- Rewrite和RewriteRule规则,http强转https的配置总结
在网站根目录下面添加该文件".htaccess"目录访问控制文件,并添加如下内容: RewriteEngine on RewriteBase / RewriteCond %{SER ...
- Apache之Rewrite和RewriteRule规则梳理以及http强转https的配置总结
一. 简单实例介绍 一般来说,apache配置好http和https后,如果想要做http强转到https,需要设置url重定向规则,大致需要下面几个步骤即可完成配置: 1)在httpd.conf文件 ...
- (ASA) Cisco Web ××× 配置详解 [三部曲之一]
(ASA) Cisco Web ××× 配置详解 [三部曲之一] 注意:本文仅对Web×××特性和配置作介绍,不包含SSL ×××配置,SSL ×××配置将在本版的后续文章中进行介绍. 首先,先来 ...
- Java框架JSON-RPC项目demo代码实战 + JAVA WEB配置虚拟目录(转自21天java web开发)
Java框架JSON-RPC项目demo代码实战 备注 JAVA WEB配置虚拟目录(转自21天java web开发) https://blog.csdn.net/wjxbj/article/det ...
- 华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道
华为IPSEC-×××-典型配置举例1-采用手工方式建立IPsec 安全隧道 一:企业组网需求: 1, 某公司(总部在北京)有两个子公司分别在上海和广州,要求通过×××实现公司之间相互通 ...
- HTTPS 证书配置
HTTPS 证书配置 现在阿里云和腾讯云都支持申请 HTTPS 证书,这里不再提,有需要的可自行google解决方案. 本文主要介绍的是通过 letsencrypt 申请免费的HTTPS证书,并将其配 ...
- springboot情操陶冶-web配置(四)
承接前文springboot情操陶冶-web配置(三),本文将在DispatcherServlet应用的基础上谈下websocket的使用 websocket websocket的简单了解可见维基百科 ...
- 规则引擎选型及应用 邴越 2017-04-27 16:31:17 浏览614 评论0 HTTPS 模块 配置 string exception void input 规则引擎 摘要: 规则引擎具体执
规则引擎选型及应用 邴越 2017-04-27 16:31:17 浏览614 评论0 HTTPS 模块 配置 string exception void input 规则引擎 摘要: 规则引擎具体执行 ...
- jsp到java xml配置,JSP中web配置:web.xml
# re: JSP中web配置:web.xml 2007-07-02 12:24 和田雨 - http://java.sun.com/xml/ns/j2ee" xmlns:j2ee=&quo ...
最新文章
- 深度学习debug沉思录
- django 框架中应用 redis 集群
- js-forEach 不能使用break continue return true false
- C#之switch多分支语句
- 诗与远方:无题(十四)
- java 拷贝属性值_Java 反射拷贝相同的属性值到指定对象中(两种实现方式)
- Github新功能 个人展示项目--首页展示个人介绍 图片and so on(2020.08.05)
- HALCON 21.11:深度学习笔记---异常检测(9)
- java table 内容居中_JTable内容居中显示 | 学步园
- Java面试题分享,这份资料包你值得拥有!
- 无传感FOC控制中的转子位置和速度确定方法一
- debug [LTS]
- 一大推DISCUZ系列插件模板来了,需要的免费抢!!!
- cr2格式是什么意思?cr2格式用什么软件打开?cr2格式怎么转换成jpg
- 使用RaiDrive将NAS中的磁盘映射为本地磁盘
- densefusion代码
- 计算机桌面图标出现蓝框,win10桌面快捷图标蓝框怎么去除 附黑色方块去除/白色方块修复的方法步骤...
- LINUX:拷贝文件src/指定目录下,文件夹图标上有个叉.更改文件权限可解决该问题。
- php 截取取最后一个字符
- python读取游戏数据_用Python抓取并分析了1982场英雄联盟数据,教你开局前预测游戏对局胜负!...
热门文章
- 收缩Mysql的ibdata1文件大小方法
- 基于visual Studio2013解决面试题之1002公共子串
- 智能指针auto_ptr介绍
- Windows下删除.svn文件夹的最简易方法
- 【PyCharm编辑器】之引用selenium包提示错误:Unresolved reference 'selenium' less... (Ctrl+F1)...
- c#中页面之间传值传参的六种方法
- QT中树控件QTreeView开发实例
- C# delegate and event
- hdu4067 费用流(混合欧拉的宽展和延伸)
- hdu3786 Floyd或搜索 水题