http://www.h3c.com.cn/Products___Technology/Technology/Security_Encrypt/Other_technology/Representative_collocate_enchiridion/201010/697325_30003_0.htm

?

HTTPS Web配置舉例

關鍵詞：HTTPS、SSL、PKI、CA、RA

摘? ?要：HTTPS是支持SSL的HTTP協議。用戶可以通過HTTPS協議安全地登錄設備，通過Web頁面實現對設備的控制。本文介紹了HTTPS的配置過程。

縮略語：

縮略語	英文全名	中文解釋
CA	Certificate Authority	證書機構
HTTPS	Hypertext Transfer Protocol Secure	安全超文本傳輸協議
IIS	Internet Information Service	Internet信息服務
MAC	Message Authentication Code	消息驗證碼
PKI	Public Key Infrastructure	公鑰基礎設施
RA	Registration Authority	注冊機構
SCEP	Simple Certificate Enrollment Protocol	簡單證書注冊協議
SSL	Secure Sockets Layer	安全套接層

?

?

目? 錄

1 特性簡介

2 應用場合

3 配置舉例

3.1 組網需求

3.2 配置思路

3.2.1 CA服務器配置思路

3.2.2 HTTPS服務器配置思路

3.3 配置步驟

3.3.1 配置CA服務器

3.3.2 配置HTTPS服務器

3.4 驗證結果

?

?

1? 特性簡介

對于支持Web管理功能的設備，開啟HTTP服務后，設備可以作為Web服務器，允許用戶通過HTTP協議登錄，并利用Web頁面實現對設備的訪問和控制。但是HTTP協議本身不能對Web服務器的身份進行驗證，也不能保證數據傳輸的私密性，無法提供安全性保證。為此，設備提供了HTTPS功能，將HTTP和SSL結合，通過SSL對服務器進行驗證，對傳輸的數據進行加密，從而實現了對設備的安全管理。

HTTPS通過SSL協議，從以下幾方面提高了安全性：

l????????????? 客戶端通過數字證書對服務器進行身份驗證，保證客戶端訪問正確的服務器。

l????????????? 客戶端與服務器之間交互的數據需要經過加密，保證了數據傳輸的安全性和完整性，從而實現了對服務器（即設備）的安全管理。

2? 應用場合

HTTPS主要用于網絡管理員遠程配置設備。如圖1所示，某公司在A、B兩地分別設立分公司，位于A地的網絡管理員無法直接配置位于B地的Device B。為了實現對Device B的安全管理，網絡管理員通過HTTPS登錄Device B，利用Web頁面配置遠程設備Device B。

圖1 HTTPS典型應用場景

?

?

3? 配置舉例

3.1? 組網需求

公司A的網絡管理員與該公司的研發部位于不同的城市，網絡管理員希望安全地遠程登錄到研發部的網關設備，實現對其的控制。

如圖2所示，HTTPS可以滿足這個需求：

l????????????? 網絡管理員通過主機Admin與網關設備Gateway建立HTTPS連接，通過Web頁面實現對Gateway的控制。

l????????????? 利用SSL的安全機制對HTTPS服務器Gateway進行身份驗證，提高了遠程登錄的安全性。

l????????????? 為了實現基于證書的身份驗證，公司A還需要配置CA服務器，為Gateway頒發證書。本配置舉例以Windows Server 2003為例，說明CA服務器的配置方法。

圖2 HTTPS典型配置舉例組網圖

?

?

3.2? 配置思路

為了實現上述組網需求，需要完成表1中的操作。

表1 配置步驟簡介

操作	配置思路	詳細配置
配置CA服務器	3.2.1?	3.3.1?
配置HTTPS服務器	3.2.2?	3.3.2?

?

3.2.1? CA服務器配置思路

Windows Server 2003作為CA服務器時，需要在CA服務器上安裝并啟用IIS。

?

Windows Server 2003作為CA服務器時，配置過程為：

(1)??????? 安裝證書服務組件，并設置CA服務器的類型、名稱等參數。

(2)??????? 安裝SCEP插件。SCEP是證書申請者與認證機構通信時使用的協議。Windows Server 2003作為CA服務器時，缺省情況下不支持SCEP，所以需要安裝SCEP插件，才能使CA服務器具備自動處理證書注冊和頒發等功能。

(3)??????? 將證書服務的頒發策略修改為自動頒發證書。否則，收到證書申請后，管理員需要確認申請，并手工頒發證書。

(4)??????? 修改IIS服務的屬性。將默認網站的路徑修改為證書服務保存的路徑；為了避免與已有的服務沖突，建議修改默認網站的TCP端口號。

3.2.2? HTTPS服務器配置思路

HTTPS服務器的配置過程為：

(1)??????? 配置PKI。PKI是通過公開密鑰技術和數字證書來確保系統信息安全，并負責驗證數字證書持有者身份的一種體系。SSL通過PKI實現對服務器和客戶端的身份驗證。配置HTTPS服務器之前，首先要完成PKI的配置，其中包括：

l????????????? 配置PKI實體。實體的身份信息用來唯一標識證書申請者。

l????????????? 配置PKI域。實體在進行證書申請操作之前需要配置一些注冊信息來配合完成申請的過程。這些信息的集合就是一個實體的PKI域。創建PKI域的目的是便于其它應用引用PKI的配置。

l????????????? 生成RSA本地密鑰對。密鑰對的生成是證書申請過程中重要的一步。申請過程使用了一對主機密鑰：私鑰和公鑰。私鑰由用戶保留，公鑰和其他信息則交由CA中心進行簽名，從而產生證書。

l????????????? 獲取CA證書，并下載至本地，以便驗證申請到證書的真實性和合法性。

l????????????? 申請本地證書。可以采用手工和自動兩種方式申請本地證書。本配置中以手工方式為例。

(2)??????? 使能HTTPS服務，并配置HTTPS使用的PKI域。

(3)??????? 創建本地用戶，通過用戶名和密碼實現對用戶身份的驗證。

3.3? 配置步驟

l??? 進行下面的配置之前，需要確保HTTPS服務器Gateway、HTTPS客戶端Admin和CA服務器之間的路由可達。

l??? 以下對配置HTTPS服務器的描述以SecPath F1000-E產品為示例，其他產品的頁面可能有所不同。

l??? 下面配置步驟中的各頁面或窗口的配置項，如果沒有特殊說明，均采用其默認設置。

?

3.3.1? 配置CA服務器

1. 安裝證書服務組件

(1)??????? 打開[控制面板]/[添加或刪除程序]，選擇[添加/刪除Windows組件]。在[Windows組件向導]中，選中“證書服務”，并單擊<下一步>按鈕。

圖3 安裝證書服務組件1

?

?

(2)??????? 選擇CA類型為獨立根CA，并單擊<下一步>按鈕。

圖4 安裝證書服務組件2

?

?

(3)??????? 輸入CA的名稱為CA server，并單擊<下一步>按鈕。

圖5 安裝證書服務組件3

?

?

(4)??????? 選擇CA證書數據庫、數據庫日志和共享文件夾的存儲位置，并單擊<下一步>按鈕。

圖6 安裝證書服務組件4

?

?

安裝證書服務組件時，界面上會出現CA證書數據庫、數據庫日志和共享文件夾的缺省存放路徑。本配置舉例中使用了缺省存放路徑，其中共享文件夾存放路徑中的“ca”為CA服務器的主機名。

?

(5)??????? 證書服務組件安裝成功后，單擊<完成>按鈕，退出[Windows組件向導]窗口。

2. 安裝SCEP插件

(1)??????? 雙擊運行SCEP的安裝文件，在彈出的窗口中，單擊<下一步>按鈕。

SCEP的安裝文件可以從Microsoft網站免費下載。

?

圖7 安裝SCEP插件1

?

?

(2)??????? 選擇使用本地系統帳戶作為標識，并單擊<下一步>按鈕。

圖8 安裝SCEP插件2

?

?

(3)??????? 去掉“Require SCEP Challenge Phrase to Enroll”選項，單擊<下一步>按鈕。

圖9 安裝SCEP插件3

?

?

(4)??????? 輸入RA向CA服務器登記時使用的RA標識信息，單擊<下一步>按鈕。RA的功能包括個人身份審核、CRL管理、密鑰對產生和密鑰對備份等。RA是CA的延伸，可以作為CA的一部分。

圖10 安裝SCEP插件4

?

?

(5)??????? 完成上述配置后，單擊<完成>按鈕，彈出如圖11所示的提示框。記錄該URL地址，并單擊<確定>按鈕。

圖11 安裝SCEP插件5

?

?

配置HTTPS服務器Gateway時，需要將注冊服務器地址配置為提示框中的URL地址，其中的主機名ca可以替換為CA服務器的IP地址。

?

3. 修改證書服務的屬性

完成上述配置后，打開[控制面板/管理工具]中的[證書頒發機構]，如果安裝成功，在[頒發的證書]中將存在兩個CA服務器頒發給RA的證書。

(1)??????? 右鍵單擊[CA server]，選擇[屬性]。

圖12 修改證書服務的屬性

?

?

(2)??????? 在[CA server 屬性]窗口選擇“策略模塊”頁簽，單擊<屬性>按鈕。

圖13 證書服務屬性窗口

?

?

(3)??????? 選擇策略模塊的屬性為“如果可以的話，按照證書模板中的設置。否則，將自動頒發證書(F)。”，單擊<確定>按鈕。

圖14 策略模塊的屬性

?

?

(4)??????? 單擊圖15中的停止服務和圖16中的啟動服務按鈕，重啟證書服務。

圖15 停止證書服務

?

?

圖16 啟動證書服務

?

?

4. 修改IIS服務的屬性

(1)??????? 打開[控制面板/管理工具]中的[Internet 信息服務(IIS)管理器]，右鍵單擊[默認網站]，選擇[屬性]。

圖17 IIS管理器

?

?

(2)??????? 選擇[默認網站 屬性]窗口中的“主目錄”頁簽，將本地路徑修改為證書服務保存的路徑。

圖18 修改默認網站的主目錄

?

?

(3)??????? 選擇[默認網站 屬性]窗口中的“網站”頁簽，將TCP端口改為8080。

為了避免與已有的服務沖突，默認網站的TCP端口號不能與已有服務的端口號相同，且建議不要使用默認端口號80。

?

圖19 修改默認網站的TCP端口號

?

?

3.3.2? 配置HTTPS服務器

1. 配置Gateway向CA服務器申請證書

l??? 證書中包含有效時間，建議為Gateway申請證書之前，將Gateway與CA服務器的時間同步，以避免獲取證書失敗。

l??? 缺省情況下，設備上存在默認的PKI域及證書，在配置HTTPS服務時可以直接引用，因此本步驟可選。默認PKI域及證書的具體情況與設備的型號有關，請以設備的實際情況為準。

?

(1)??????? 配置PKI實體aaa。

l????????????? 在導航欄中選擇“VPN > 證書管理 > PKI實體”，單擊<新建>按鈕。

l????????????? 輸入PKI實體名稱為“aaa”。

l????????????? 輸入通用名為“gateway”。

l????????????? 單擊<確定>按鈕完成操作。

圖20 配置PKI實體aaa

?

?

(2)??????? 配置PKI域ssl。

l????????????? 在導航欄中選擇“VPN > 證書管理 > PKI域”，單擊<新建>按鈕。

l????????????? 輸入PKI域名稱為“ssl”。

l????????????? 輸入CA標識符為“CA server”。

l????????????? 選擇本端實體為“aaa”。

l????????????? 選擇注冊機構為“RA”。

l????????????? 輸入證書申請URL為“http://5.5.5.1:8080/certsrv/mscep/mscep.dll”（為安裝SCEP插件時彈出的URL地址，格式為“http://host:port/certsrv/mscep/mscep.dll”，其中的“host”和“port”分別為CA服務器的主機地址和端口號）。

l????????????? 單擊<確定>按鈕，彈出對話框提示“未指定根證書指紋，在獲取CA證書時將不對根證書指紋進行驗證，確認要繼續嗎？”，再次單擊<確定>按鈕完成操作。

圖21 配置PKI域ssl

?

?

(3)??????? 生成RSA本地密鑰對。

l????????????? 在導航欄中選擇“VPN > 證書管理 ＞ 證書”，單擊<創建密鑰>按鈕。

l????????????? 輸入密鑰長度為“1024”。

l????????????? 單擊<確定>按鈕完成操作。

圖22 生成RSA本地密鑰對

?

?

(4)??????? 手動在線獲取CA證書。

l????????????? 在證書顯示頁面單擊<獲取證書>按鈕。

l????????????? 選擇PKI域名稱為“ssl”。

l????????????? 選擇證書類型為“CA”。

l????????????? 單擊<確定>按鈕完成操作。頁面跳轉回證書顯示頁面，可以看到已獲取到的CA證書。

圖23 獲取CA證書

?

?

(5)??????? 手動在線申請本地證書。

l????????????? 在證書顯示頁面單擊<申請證書>按鈕。

l????????????? 選擇PKI域名稱為“ssl”。

l????????????? 單擊<確定>按鈕提交證書申請。

圖24 申請本地證書

?

?

l????????????? 彈出提示框“證書申請已提交。”，再次單擊<確定>按鈕。頁面跳轉回證書顯示頁面，可以看到已申請到的本地證書。

圖25 完成證書申請后的證書顯示頁面

?

?

2. 配置HTTPS服務

使能HTTPS服務，并配置HTTPS使用PKI域ssl的本地證書。

l????????????? 在導航欄中選擇“設備管理 > 服務管理”。

l????????????? 選中“啟用HTTPS服務”前的復選框。

l????????????? 選擇證書為“CN=gateway”。

l????????????? 單擊<確定>按鈕完成操作。

圖26 配置HTTPS服務

?

?

3. 配置本地用戶

配置本地用戶abc，密碼為123，服務類型為Web，訪問等級為Management。

l????????????? 在導航欄中選擇“用戶管理 > 本地用戶”，單擊<新建>按鈕。

l????????????? 輸入用戶名為“abc”。

l????????????? 選擇訪問等級為“Management”。

l????????????? 選擇服務類型為“Web”。

l????????????? 輸入密碼為“123”，輸入確認密碼為“123”。

l????????????? 單擊<確定>按鈕完成操作。

圖27 新建本地用戶abc

?

?

3.4? 驗證結果

(1)??????? 在Admin上打開IE，輸入網址https://1.1.1.1。彈出[安全警報]的對話框提示用戶是否繼續訪問服務器。

圖28 確認HTTPS服務器的證書

?

?

(2)??????? 單擊<是>按鈕，進入Gateway的Web網管用戶登錄界面。

(3)??????? 輸入用戶名abc、密碼123和驗證碼，選擇Web頁面的語言種類，單擊<登錄>按鈕，即可進入Gateway的Web界面對其進行控制。

圖29 Web網管用戶登錄界面

?

轉載于:https://www.cnblogs.com/alexyuyu/p/3805283.html

總結

以上是生活随笔為你收集整理的HTTPS Web配置举例的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。