HTTPS Web配置举例
http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Representative_collocate_enchiridion/201010/697325_30003_0.htm
HTTPS Web配置举例
关键词:HTTPS、SSL、PKI、CA、RA
摘 要:HTTPS是支持SSL的HTTP协议。用户可以通过HTTPS协议安全地登录设备,通过Web页面实现对设备的控制。本文介绍了HTTPS的配置过程。
缩略语:
缩略语 |
英文全名 |
中文解释 |
CA |
Certificate Authority |
证书机构 |
HTTPS |
Hypertext Transfer Protocol Secure |
安全超文本传输协议 |
IIS |
Internet Information Service |
Internet信息服务 |
MAC |
Message Authentication Code |
消息验证码 |
PKI |
Public Key Infrastructure |
公钥基础设施 |
RA |
Registration Authority |
注册机构 |
SCEP |
Simple Certificate Enrollment Protocol |
简单证书注册协议 |
SSL |
Secure Sockets Layer |
安全套接层 |
目 录
1 特性简介
2 应用场合
3 配置举例
3.1 组网需求
3.2 配置思路
3.2.1 CA服务器配置思路
3.2.2 HTTPS服务器配置思路
3.3 配置步骤
3.3.1 配置CA服务器
3.3.2 配置HTTPS服务器
3.4 验证结果
1 特性简介
对于支持Web管理功能的设备,开启HTTP服务后,设备可以作为Web服务器,允许用户通过HTTP协议登录,并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证,也不能保证数据传输的私密性,无法提供安全性保证。为此,设备提供了HTTPS功能,将HTTP和SSL结合,通过SSL对服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。
HTTPS通过SSL协议,从以下几方面提高了安全性:
l 客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器。
l 客户端与服务器之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对服务器(即设备)的安全管理。
2 应用场合
HTTPS主要用于网络管理员远程配置设备。如图1所示,某公司在A、B两地分别设立分公司,位于A地的网络管理员无法直接配置位于B地的Device B。为了实现对Device B的安全管理,网络管理员通过HTTPS登录Device B,利用Web页面配置远程设备Device B。
图1 HTTPS典型应用场景
3 配置举例
3.1 组网需求
公司A的网络管理员与该公司的研发部位于不同的城市,网络管理员希望安全地远程登录到研发部的网关设备,实现对其的控制。
如图2所示,HTTPS可以满足这个需求:
l 网络管理员通过主机Admin与网关设备Gateway建立HTTPS连接,通过Web页面实现对Gateway的控制。
l 利用SSL的安全机制对HTTPS服务器Gateway进行身份验证,提高了远程登录的安全性。
l 为了实现基于证书的身份验证,公司A还需要配置CA服务器,为Gateway颁发证书。本配置举例以Windows Server 2003为例,说明CA服务器的配置方法。
图2 HTTPS典型配置举例组网图
3.2 配置思路
为了实现上述组网需求,需要完成表1中的操作。
表1 配置步骤简介
操作 |
配置思路 |
详细配置 |
配置CA服务器 |
3.2.1 |
3.3.1 |
配置HTTPS服务器 |
3.2.2 |
3.3.2 |
3.2.1 CA服务器配置思路
Windows Server 2003作为CA服务器时,需要在CA服务器上安装并启用IIS。
Windows Server 2003作为CA服务器时,配置过程为:
(1) 安装证书服务组件,并设置CA服务器的类型、名称等参数。
(2) 安装SCEP插件。SCEP是证书申请者与认证机构通信时使用的协议。Windows Server 2003作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使CA服务器具备自动处理证书注册和颁发等功能。
(3) 将证书服务的颁发策略修改为自动颁发证书。否则,收到证书申请后,管理员需要确认申请,并手工颁发证书。
(4) 修改IIS服务的属性。将默认网站的路径修改为证书服务保存的路径;为了避免与已有的服务冲突,建议修改默认网站的TCP端口号。
3.2.2 HTTPS服务器配置思路
HTTPS服务器的配置过程为:
(1) 配置PKI。PKI是通过公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。SSL通过PKI实现对服务器和客户端的身份验证。配置HTTPS服务器之前,首先要完成PKI的配置,其中包括:
l 配置PKI实体。实体的身份信息用来唯一标识证书申请者。
l 配置PKI域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的PKI域。创建PKI域的目的是便于其它应用引用PKI的配置。
l 生成RSA本地密钥对。密钥对的生成是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书。
l 获取CA证书,并下载至本地,以便验证申请到证书的真实性和合法性。
l 申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。
(2) 使能HTTPS服务,并配置HTTPS使用的PKI域。
(3) 创建本地用户,通过用户名和密码实现对用户身份的验证。
3.3 配置步骤
l 进行下面的配置之前,需要确保HTTPS服务器Gateway、HTTPS客户端Admin和CA服务器之间的路由可达。
l 以下对配置HTTPS服务器的描述以SecPath F1000-E产品为示例,其他产品的页面可能有所不同。
l 下面配置步骤中的各页面或窗口的配置项,如果没有特殊说明,均采用其默认设置。
3.3.1 配置CA服务器
1. 安装证书服务组件
(1) 打开[控制面板]/[添加或删除程序],选择[添加/删除Windows组件]。在[Windows组件向导]中,选中“证书服务”,并单击<下一步>按钮。
图3 安装证书服务组件1
(2) 选择CA类型为独立根CA,并单击<下一步>按钮。
图4 安装证书服务组件2
(3) 输入CA的名称为CA server,并单击<下一步>按钮。
图5 安装证书服务组件3
(4) 选择CA证书数据库、数据库日志和共享文件夹的存储位置,并单击<下一步>按钮。
图6 安装证书服务组件4
安装证书服务组件时,界面上会出现CA证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径,其中共享文件夹存放路径中的“ca”为CA服务器的主机名。
(5) 证书服务组件安装成功后,单击<完成>按钮,退出[Windows组件向导]窗口。
2. 安装SCEP插件
(1) 双击运行SCEP的安装文件,在弹出的窗口中,单击<下一步>按钮。
SCEP的安装文件可以从Microsoft网站免费下载。
图7 安装SCEP插件1
(2) 选择使用本地系统帐户作为标识,并单击<下一步>按钮。
图8 安装SCEP插件2
(3) 去掉“Require SCEP Challenge Phrase to Enroll”选项,单击<下一步>按钮。
图9 安装SCEP插件3
(4) 输入RA向CA服务器登记时使用的RA标识信息,单击<下一步>按钮。RA的功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。RA是CA的延伸,可以作为CA的一部分。
图10 安装SCEP插件4
(5) 完成上述配置后,单击<完成>按钮,弹出如图11所示的提示框。记录该URL地址,并单击<确定>按钮。
图11 安装SCEP插件5
配置HTTPS服务器Gateway时,需要将注册服务器地址配置为提示框中的URL地址,其中的主机名ca可以替换为CA服务器的IP地址。
3. 修改证书服务的属性
完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。
(1) 右键单击[CA server],选择[属性]。
图12 修改证书服务的属性
(2) 在[CA server 属性]窗口选择“策略模块”页签,单击<属性>按钮。
图13 证书服务属性窗口
(3) 选择策略模块的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书(F)。”,单击<确定>按钮。
图14 策略模块的属性
(4) 单击图15中的停止服务和图16中的启动服务按钮,重启证书服务。
图15 停止证书服务
图16 启动证书服务
4. 修改IIS服务的属性
(1) 打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],右键单击[默认网站],选择[属性]。
图17 IIS管理器
(2) 选择[默认网站 属性]窗口中的“主目录”页签,将本地路径修改为证书服务保存的路径。
图18 修改默认网站的主目录
(3) 选择[默认网站 属性]窗口中的“网站”页签,将TCP端口改为8080。
为了避免与已有的服务冲突,默认网站的TCP端口号不能与已有服务的端口号相同,且建议不要使用默认端口号80。
图19 修改默认网站的TCP端口号
3.3.2 配置HTTPS服务器
1. 配置Gateway向CA服务器申请证书
l 证书中包含有效时间,建议为Gateway申请证书之前,将Gateway与CA服务器的时间同步,以避免获取证书失败。
l 缺省情况下,设备上存在默认的PKI域及证书,在配置HTTPS服务时可以直接引用,因此本步骤可选。默认PKI域及证书的具体情况与设备的型号有关,请以设备的实际情况为准。
(1) 配置PKI实体aaa。
l 在导航栏中选择“VPN > 证书管理 > PKI实体”,单击<新建>按钮。
l 输入PKI实体名称为“aaa”。
l 输入通用名为“gateway”。
l 单击<确定>按钮完成操作。
图20 配置PKI实体aaa
(2) 配置PKI域ssl。
l 在导航栏中选择“VPN > 证书管理 > PKI域”,单击<新建>按钮。
l 输入PKI域名称为“ssl”。
l 输入CA标识符为“CA server”。
l 选择本端实体为“aaa”。
l 选择注册机构为“RA”。
l 输入证书申请URL为“http://5.5.5.1:8080/certsrv/mscep/mscep.dll”(为安装SCEP插件时弹出的URL地址,格式为“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”和“port”分别为CA服务器的主机地址和端口号)。
l 单击<确定>按钮,弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”,再次单击<确定>按钮完成操作。
图21 配置PKI域ssl
(3) 生成RSA本地密钥对。
l 在导航栏中选择“VPN > 证书管理 > 证书”,单击<创建密钥>按钮。
l 输入密钥长度为“1024”。
l 单击<确定>按钮完成操作。
图22 生成RSA本地密钥对
(4) 手动在线获取CA证书。
l 在证书显示页面单击<获取证书>按钮。
l 选择PKI域名称为“ssl”。
l 选择证书类型为“CA”。
l 单击<确定>按钮完成操作。页面跳转回证书显示页面,可以看到已获取到的CA证书。
图23 获取CA证书
(5) 手动在线申请本地证书。
l 在证书显示页面单击<申请证书>按钮。
l 选择PKI域名称为“ssl”。
l 单击<确定>按钮提交证书申请。
图24 申请本地证书
l 弹出提示框“证书申请已提交。”,再次单击<确定>按钮。页面跳转回证书显示页面,可以看到已申请到的本地证书。
图25 完成证书申请后的证书显示页面
2. 配置HTTPS服务
使能HTTPS服务,并配置HTTPS使用PKI域ssl的本地证书。
l 在导航栏中选择“设备管理 > 服务管理”。
l 选中“启用HTTPS服务”前的复选框。
l 选择证书为“CN=gateway”。
l 单击<确定>按钮完成操作。
图26 配置HTTPS服务
3. 配置本地用户
配置本地用户abc,密码为123,服务类型为Web,访问等级为Management。
l 在导航栏中选择“用户管理 > 本地用户”,单击<新建>按钮。
l 输入用户名为“abc”。
l 选择访问等级为“Management”。
l 选择服务类型为“Web”。
l 输入密码为“123”,输入确认密码为“123”。
l 单击<确定>按钮完成操作。
图27 新建本地用户abc
3.4 验证结果
(1) 在Admin上打开IE,输入网址https://1.1.1.1。弹出[安全警报]的对话框提示用户是否继续访问服务器。
图28 确认HTTPS服务器的证书
(2) 单击<是>按钮,进入Gateway的Web网管用户登录界面。
(3) 输入用户名abc、密码123和验证码,选择Web页面的语言种类,单击<登录>按钮,即可进入Gateway的Web界面对其进行控制。
图29 Web网管用户登录界面
HTTPS Web配置举例的更多相关文章
- web服务器Nginx环境下如何实现安全证书https的配置
https跟http的关系 https没出现之前,我们网站大多数都是http开头,http全名超文本传输协议,客户端据此获取服务器上的超文本内容.超文本内容则以HTML为主,客户端拿到HTML内容后可 ...
- Fiddler——抓取https接口配置(web,安卓,ios)
作为一名合格的测试怎么能不会抓包呢. 抓包适用场景: 测试某个功能时,出现了bug,这时我们便需要抓包看一下这个bug到底是前端的还是服务端的: bug的精准指向,能加速bug得以解决. ...
- Apache之Rewrite和RewriteRule规则梳理以及http强转https的配置总结
一. 简单实例介绍一般来说,apache配置好http和https后,如果想要做http强转到https,需要设置url重定向规则,大致需要下面几个步骤即可完成配置: 1)在httpd.conf文件里 ...
- AFNetworking2.0和AFNetworking3.0 的HTTPS的配置
前言: 由于苹果声明在前说是2017.01.01之后提交审核的APP,必须使用HTTPS请求,要不就直接驳回审核,吓得我们年前赶紧提交了一个版本,想着年后在弄这个https,结果又有消息说是苹果推迟了 ...
- HTTPS 证书配置
HTTPS 证书配置 现在阿里云和腾讯云都支持申请 HTTPS 证书,这里不再提,有需要的可自行google解决方案. 本文主要介绍的是通过 letsencrypt 申请免费的HTTPS证书,并将其配 ...
- springboot情操陶冶-web配置(四)
承接前文springboot情操陶冶-web配置(三),本文将在DispatcherServlet应用的基础上谈下websocket的使用 websocket websocket的简单了解可见维基百科 ...
- 配置Tomcat使用https协议(配置SSL协议)
配置Tomcat使用https协议(配置SSL协议) 2014-01-20 16:38 58915人阅读 评论(3) 收藏 举报 转载地址:http://ln-ydc.iteye.com/blog/1 ...
- 网站 HTTP 升级 HTTPS 完全配置手册
网站 HTTP 升级 HTTPS 完全配置手册 今天,所有使用Google Chrome稳定版的用户迎来了v68正式版首个版本的发布,详细版本号为v68.0.3440.75,上一个正式版v67.0.3 ...
- 转自《https安全链接的配置教程:startSSl免费证书申请与nginx的https支持配置》
一.什么是 SSL 证书,什么是 HTTPS 网站? SSL证书是数字证书的一种,类似于驾驶证.护照和营业执照的电子副本.SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secu ...
随机推荐
- jenkins 入门教程(中)
接上回继续,本文以我托管在bitbucket上的一个开源项目spring-boot-rest-framework做为演示,讲解如何创建自动化部署. 一.创建item 点击ok继续,item的详情页面很 ...
- JS获取屏幕高度(转)
IE中: document.body.clientWidth ==> BODY对象宽度 document.body.clientHeight ==> BODY对象高度 document.d ...
- 安卓开发:一种快速提取安卓app的UI图标资源的方法
在做安卓设计时,找美工设计界面的漂亮图标是必不可少的,但是对于一个初创团队来说,请一个UI的成本其实也挺高的,此时对于一个偏技术的产品经理来说,从其他成熟的产品的apk中提取图标就是一个很便捷的方法, ...
- Java 8新特性终极指南
目录结构 介绍 Java语言的新特性 2.1 Lambdas表达式与Functional接口 2.2 接口的默认与静态方法 2.3 方法引用 2.4 重复注解 2.5 更好的类型推测机制 2.6 扩展 ...
- SQL 常用操作
今天网龙笔试遇到了几个SQL题,现在顺便就总结一下常用的SQL操作. 内连接:只将符合条件的行显示出来 SELECT s.name,m.mark FROM student s,mark m WHERE ...
- Log4j 简单应用
#输出日志的包路径log4j.logger.com=DEBUG,FILE log4j.rootLogger=WARN,stdout #控制台日志 log4j.appender.stdout=org.a ...
- ReactNative 适合初学的第一个教程demo,找租房
1.下载工程 我看来看去,最让人容易入门的是这个demo: https://github.com/rayshen/PropertyFinder 是英国某开发者做的搜租房的小demo,包含的知识有:图片 ...
- iOS 分析一个支持GIF的UIImage扩展:SwiftGIF
Github:https://github.com/bahlo/SwiftGif 这个extension代码不多,主要通过Apple的ImageIO框架进行解析GIF. 整个扩展最核心还是下面的函数, ...
- java.lang.NoClassDefFoundError:org/apache/commons/lang/exception/NestableRuntimeException错误的解决
java.lang.NoClassDefFoundError 是运行时jvm找不到对应类.这种情况是少包的导致的.根据提示语添加对应的jar包就可以. 感叹一下:maven真是一个伟大的东西,在包的依 ...
- Startup配置类 居然又是约定
Microsoft.Owin.Host.SystemWeb 这个dll可以让OWin接管IIS的请求,虽然同样是托管在IIS,但是所有的请求都会被OWin来处理.在OWin的4层结构中(Applica ...