HTTPS配置举例
关键词:HTTPS、SSL、PKI、CA、RA
摘要:HTTPS是支持SSL的HTTP协议。用户可以通过HTTPS协议安全地登录设备,通过Web页面实现对设备的控制。本文介绍了HTTPS的配置过程。
缩略语:
缩略语英文全名中文解释
Authority 证书机构
CA Certificate
HTTPS Hypertext Transfer Protocol Secure 安全超文本传输协议
IIS Internet Information Service Internet信息服务
MAC Message Authentication Code 消息验证码
PKI Public Key Infrastructure 公钥基础设施
RA Registration
Authority 注册机构
SCEP Simple Certificate Enrollment Protocol 简单证书注册协议
SSL Secure Sockets Layer 安全套接层
目录
1 特性简介 (3)
2 应用场合 (3)
3 配置举例 (4)
3.1 组网需求 (4)
3.2 配置思路 (4)
3.2.1 CA服务器配置思路 (5)
3.2.2 HTTPS服务器配置思路 (5)
3.2.3 HTTPS客户端配置思路 (6)
3.3 配置步骤 (6)
3.3.1 配置CA服务器 (6)
3.3.2 配置HTTPS服务器 (17)
3.3.3 配置HTTPS客户端 (21)
3.3.4 验证结果 (24)
1 特性简介
对于支持Web网管功能的设备,开启HTTP服务后,设备可以作为Web服务器,允
许用户通过HTTP协议登录,并利用Web页面实现对设备的访问和控制。但是
HTTP协议本身不能对Web服务器的身份进行验证,也不能保证数据传输的私密
性,无法提供安全性保证。为此,设备提供了HTTPS功能,将HTTP和SSL结合,
通过SSL对客户端身份和服务器进行验证,对传输的数据进行加密,从而实现了对
设备的安全管理。
HTTPS通过SSL协议,从以下几方面提高了安全性:
z客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器;
z服务器通过数字证书对客户端进行身份验证,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
z客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
z制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了客户端对设备进行攻击。
2 应用场合
HTTPS主要用于网络管理员远程配置设备。如图1 所示,某公司在A、B两地分别
设立分公司,位于A地的网络管理员无法直接配置位于B地的Device B。为了实现
对Device B的安全管理,网络管理员通过HTTPS登录Device B,利用Web页面配
置远程设备Device B。
图1 HTTPS典型应用场景
3 配置举例
3.1 组网需求
公司A的网络管理员与该公司的研发部位于不同的城市,网络管理员希望安全地远
程登录到研发部的网关设备,实现对其的控制。
如图2 所示,HTTPS可以满足这个需求:
z网络管理员通过主机Admin与网关设备Gateway建立HTTPS连接,通过Web页面实现对Gateway的控制。
z利用SSL的安全机制对HTTPS服务器Gateway和HTTPS客户端Admin进行身份验证,提高了远程登录的安全性。
z为了实现基于证书的身份验证,公司A还需要配置CA服务器,为Gateway 和Admin颁发证书。本配置举例以Windows Server 2003为例,说明CA服
务器的配置方法。
图2 HTTPS典型配置举例组网图
3.2 配置思路
为了实现上述组网需求,需要完成表1 中的操作。
表1 配置步骤简介
操作配置思路详细配置
配置CA服务器 3.2.1 3.3.1
配置HTTPS服务器 3.2.2 3.3.2
配置HTTPS客户端 3.2.3 3.3.3
3.2.1 CA服务器配置思路
Windows Server 2003作为CA服务器时,配置过程为:
(1) 安装证书服务组件,并设置CA服务器的类型、名称等参数。
(2) 安装SCEP插件。SCEP是证书申请者与认证机构通信时使用的协议。
Windows Server作为CA服务器时,缺省情况下不支持SCEP,所以需要安装
SCEP插件,才能使CA服务器具备自动处理证书注册和颁发等功能。
(3) 将证书服务的颁发策略修改为自动颁发证书。否则,收到证书申请后,管理
员需要确认申请,并手工颁发证书。
(4) 修改IIS服务的属性。将默认网站的路径修改为证书服务保存的路径;为了避
免与已有的服务冲突,建议修改默认网站的TCP端口号。
注意:
Windows Server作为CA服务器时,需要在CA服务器上安装并启用IIS。
3.2.2 HTTPS服务器配置思路
HTTPS服务器的配置过程为:
(1) 配置PKI。PKI是通过公开密钥技术和数字证书来确保系统信息安全,并负责
验证数字证书持有者身份的一种体系。SSL通过PKI实现对服务器和客户端的
身份验证。配置HTTPS服务器之前,首先要完成PKI的配置,其中包括:z配置PKI实体。实体的身份信息用来唯一标识证书申请者。
z配置PKI域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的PKI域。创建PKI域的目的
是便于其它应用引用PKI的配置。
z获取CA证书,并下载至本地,以便验证申请到证书的真实性和合法性。
z申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。
(2) 配置SSL服务器端策略。通过该策略可以指定引用的PKI域,SSL服务器端策
略支持的加密套件,以及是否需要对客户端进行身份验证等。本配置中,需
要对客户端进行身份验证。
(3) 配置HTTPS使用的SSL服务器端策略,并使能HTTPS服务。
(4) 创建本地用户,通过用户名和密码实现对用户身份的验证。
3.2.3 HTTPS客户端配置思路
HTTPS客户端上需要执行如下操作:
(1) 申请证书。由于HTTPS服务器上配置需要对客户端进行认证,因此,HTTPS
客户端需要从CA服务器获取证书。
(2) 通过HTTPS协议登录Gateway,并输入用户名和密码,进入Gateway的Web
配置页面。
3.3 配置步骤
说明:
进行下面的配置之前,需要确保HTTPS服务器Gateway、HTTPS客户端Admin
和CA服务器之间的路由可达。
3.3.1 配置CA服务器
1. 安装证书服务组件
(1) 打开[控制面板]/[添加或删除程序],选择[添加/删除Windows组件]。在
[Windows组件向导]中,选中“证书服务”,并单击<下一步>按钮。
图3 安装证书组件1
(2) 选择CA类型为独立根CA,并单击<下一步>按钮。
图4 安装证书组件2
(3) 输入CA的名称为CA server,并单击<下一步>按钮。
图5 安装证书组件3
(4) 选择CA证书数据库、数据库日志和共享文件夹的存储位置,并单击<下一步>
按钮。
图6 安装证书组件4
说明:
安装证书时,界面上会出现CA证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径,其中共享文件夹存放路径中的“ca”为CA服务器的主机名。
(5) 证书组件安装成功后,单击<完成>按钮,退出[Windows组件向导]窗口。
2. 安装SCEP插件
(1) 双击运行SCEP的安装文件,在弹出的窗口中,单击<下一步>按钮。
说明:
SCEP的安装文件可以从Microsoft网站免费下载。
图7 安装SCEP插件1
(2) 选择使用本地系统帐户作为标识,并单击<下一步>按钮。
图8 安装SCEP插件2
(3) 去掉“Require SCEP Challenge Phrase to Enroll”选项,单击<下一步>按
钮。
图9 安装SCEP插件3
(4) 输入RA向CA服务器登记时使用的RA标识信息,单击<下一步>按钮。RA的
功能包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。RA是CA 的延伸,可以作为CA的一部分。
图10 安装SCEP插件4
(5) 完成上述配置后,单击<完成>按钮,弹出如图11 所示的提示框。记录该URL
地址,并单击<确定>按钮。
图11 安装SCEP插件5
注意:
配置HTTPS服务器Gateway时,需要将注册服务器地址配置为提示框中的URL 地址,其中的主机名ca可以替换为CA服务器的IP地址。
3. 修改证书服务的属性
完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,
在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。
(1) 右键单击[CA server],选择[属性]。
图12 修改证书服务的属性
(2) 在[CA server 属性]窗口选择“策略模块”页签,单击<属性>按钮。
图13 证书服务属性窗口
(3) 选择策略模块的属性为“如果可以的话,按照证书模板中的设置。否则,将
自动颁发证书(F)。”。单击<确定>按钮。
图14 策略模块的属性
(4) 单击图15 中的停止服务和图16 中的启动服务按钮,重启证书服务。
图15 停止证书服务
图16 启动证书服务
4. 修改IIS服务的属性
(1) 打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],右键单击[默认
网站],选择[属性]。
图17 IIS管理器
(2) 选择[默认网站属性]窗口中的“主目录”页签,将本地路径修改为证书服务
保存的路径。
图18 修改默认网站的主目录
(3) 选择[默认网站属性]窗口中的“网站”页签,将TCP端口改为8080。
为了避免与已有的服务冲突,默认网站的TCP端口号不能与已有服务的端口号相
同,且建议不要使用默认端口号80。
图19 修改默认网站的TCP端口号3.3.2 配置HTTPS服务器
1. 配置步骤
(1) 配置Gateway向CA服务器申请证书
z配置实体命名空间
# 配置PKI实体,实体名称为aaa,通用名为gateway。
[Gateway] pki entity aaa
[Gateway-pki-entity-aaa] common-name gateway
[Gateway-pki-entity-aaa] quit
z配置PKI域
# 创建并进入PKI域ssl。
[Gateway] pki domain ssl
# 配置可信任的CA服务器名称为myca。
[Gateway-pki-domain-ssl] ca identifier ca server
# 配置注册服务器的URL地址为安装SCEP插件时弹出的URL地址,如图11 所示。
由于CA服务器上默认网站的TCP端口号修改为8080,配置注册服务器的URL地址
时,需要指定端口号为8080。
[Gateway-pki-domain-ssl] certificate request url http://5.5.5.1:8080/certsrv/mscep/mscep.dll
# 配置证书申请的注册受理机构为RA。
[Gateway-pki-domain-ssl] certificate request from ra
# 指定实体名称为aaa。
[Gateway-pki-domain-ssl] certificate request entity aaa
[Gateway-pki-domain-ssl] quit
z生成RSA本地密钥对
[Gateway] public-key local create rsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
..++++++++.++++++++++
...++..++...++....++...++...++..++...++...++..++...++...++..++...++...++..
.++..+
+...++...++..++....++..++...++...++..++...++...++...++..++..++...++...++..
++..++
...++...++...++++++++.+++++++++.+
...++..++....++...++..++..++..++...++...++..++...++...++..++...++.++++++++
++++++
+.+++++++
..++...++..++...++++++++++++++.++++++++++
z申请证书
注意:
证书中包含有效时间,建议为Gateway申请证书之前,将Gateway与CA服务器
的时间同步,以避免获取证书失败。
# 获取CA证书并下载至本地。
[Gateway] pki retrieval-certificate ca domain ssl
Retrieving CA/RA certificates. Please wait a while......
The trusted CA's finger print is:
MD5 fingerprint:9C7A 2FBA 9230 2BF5 F27D 5391 DCF7 9912
SHA1 fingerprint:189A CC85 F030 F866 51B1 9DD7 6DA9 65BA 5B05 2596
Is the finger print correct?(Y/N):y
Saving CA/RA certificates chain, please wait a moment.........
CA certificates retrieval success.
# 手工申请本地证书。
[Gateway] pki request-certificate domain ssl
Certificate is being requested, please wait......
[Gateway]
Enrolling the local certificate,please wait a while......
Certificate request Successfully!
Saving the local certificate to device......
Done!
(2) 配置SSL服务器端策略
# 创建一个名为myssl的SSL服务器端策略。
[Gateway] ssl server-policy myssl
# 配置SSL服务器端策略使用的PKI域名为ssl。
[Gateway-ssl-server-policy-myssl] pki-domain ssl
# 配置需要对客户端进行认证。为客户端申请本地证书的方法请参见“3.3.3 配置HTTPS客户端”。
[Gateway-ssl-server-policy-myssl] client-verify enable
[Gateway-ssl-server-policy-myssl] quit
(3) 配置HTTPS服务
# 配置HTTPS服务使用的SSL策略为myssl。
[Gateway] ip https ssl-server-policy myssl
# 使能HTTPS服务。
[Gateway] ip https enable
(4) 创建本地用户
# 创建本地用户abc,密码为123,服务类型为Telnet,能访问的命令级别为3。[Gateway] local-user abc
[Gateway-luser-abc] password simple 123
[Gateway-luser-abc] service-type telnet level 3
2. 配置文件
[Gateway] display current-configuration
#
version 5.20, Test 5310
#
sysname Gateway
#
domain default enable system
#
telnet server enable
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
pki entity aaa
common-name gateway
#
pki domain ssl
ca identifier ca server
certificate request url http://5.5.5.1:8080/certsrv/mscep/mscep.dll certificate request from ra
certificate request entity aaa
#
local-user abc
password simple 123
service-type telnet
level 3
#
ssl server-policy myssl
pki-domain ssl
client-verify enable
#
interface Ethernet1/1
port link-mode route
ip address 5.5.5.2 255.255.255.0
#
interface Ethernet1/2
port link-mode route
ip address 1.1.1.1 255.255.255.0