安全與VPN-HTTPS配置舉例-D

1、，安全與VPN-HTTPS配置舉例HTTPS配置舉例杭州華三通信技術有限公司第 PAGE 2頁, 共25頁HTTPS配置舉例關鍵詞：HTTPS、SSL、PKI、CA、RA摘要：HTTPS是支持SSL的HTTP協(xié)議。用戶可以通過HTTPS協(xié)議安全地登錄設備，通過Web頁面實現(xiàn)對設備的控制。本文介紹了HTTPS的配置過程?？s略語：縮略語英文全名中文解釋CACertificate Authority證書機構HTTPSHypertext Transfer Protocol Secure安全超文本傳輸協(xié)議IISInternet Information ServiceInternet信息服務MACMess

2、age Authentication Code消息驗證碼PKIPublic Key Infrastructure公鑰基礎設施RARegistration Authority注冊機構SCEPSimple Certificate Enrollment Protocol簡單證書注冊協(xié)議SSLSecure Sockets Layer安全套接層目 錄 HYPERLINK l _bookmark0 特性簡介 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 應用場合 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1

3、 配置舉例 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 組網(wǎng)需求 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 配置思路 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 CA服務器配置思路 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 HTTPS服務器配置思路 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 HTTPS客戶端配置思路 HYPERLIN

4、K l _bookmark3 6 HYPERLINK l _bookmark3 配置步驟 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 配置CA服務器 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark7 配置HTTPS服務器 HYPERLINK l _bookmark7 17 HYPERLINK l _bookmark8 配置HTTPS客戶端 HYPERLINK l _bookmark8 21 HYPERLINK l _bookmark10 驗證結果 HYPERLINK l _bookmark10 2

5、4HTTPS配置舉例杭州華三通信技術有限公司 HYPERLINK / 第 PAGE 25頁，共25頁特性簡介對于支持Web網(wǎng)管功能的設備，開啟HTTP服務后，設備可以作為Web服務器，允許用戶通過HTTP協(xié)議登錄， 并利用Web頁面實現(xiàn)對設備的訪問和控制。但是HTTP協(xié)議本身不能對Web服務器的身份進行驗證，也不能保證數(shù)據(jù)傳輸?shù)乃矫苄裕瑹o法提供安全性保證。為此，設備提供了HTTPS功能，將HTTP和SSL結合， 通過SSL對客戶端身份和服務器進行驗證，對傳輸?shù)臄?shù)據(jù)進行加密，從而實現(xiàn)了對設備的安全管理。HTTPS通過SSL協(xié)議，從以下幾方面提高了安全性：客戶端通過數(shù)字證書對服務器進行身份驗證，保

6、證客戶端訪問正確的服務器；服務器通過數(shù)字證書對客戶端進行身份驗證，保證合法客戶端可以安全地訪問設備，禁止非法的客戶端訪問設備；客戶端與設備之間交互的數(shù)據(jù)需要經(jīng)過加密，保證了數(shù)據(jù)傳輸?shù)陌踩院屯暾?，從而實現(xiàn)了對設備的安全管理；制定基于證書屬性的訪問控制策略，對客戶端的訪問權限進行控制，進一步避免了客戶端對設備進行攻擊。應用場合HTTPS主要用于網(wǎng)絡管理員遠程配置設備。如 HYPERLINK l _bookmark0 圖1 所示，某公司在A、B兩地分別設立分公司，位于A地的網(wǎng)絡管理員無法直接配置位于B地的Device B。為了實現(xiàn)對Device B的安全管理，網(wǎng)絡管理員通過HTTPS登錄Devi

7、ce B，利用Web頁面配置遠程設備Device B。圖1 HTTPS典型應用場景配置舉例組網(wǎng)需求公司A的網(wǎng)絡管理員與該公司的研發(fā)部位于不同的城市，網(wǎng)絡管理員希望安全地遠程登錄到研發(fā)部的網(wǎng)關設備，實現(xiàn)對其的控制。如圖 HYPERLINK l _bookmark1 2 所示，HTTPS可以滿足這個需求：網(wǎng)絡管理員通過主機 Admin 與網(wǎng)關設備 Gateway 建立 HTTPS 連接，通過Web 頁面實現(xiàn)對 Gateway 的控制。利用 SSL 的安全機制對 HTTPS 服務器 Gateway 和 HTTPS 客戶端 Admin 進行身份驗證，提高了遠程登錄的安全性。圖2 HTTPS典型配置舉例

8、組網(wǎng)圖為了實現(xiàn)基于證書的身份驗證，公司 A 還需要配置 CA 服務器，為 Gateway 和 Admin 頒發(fā)證書。本配置舉例以 Windows Server 2003 為例，說明 CA 服務器的配置方法。配置思路為了實現(xiàn)上述組網(wǎng)需求，需要完成表 HYPERLINK l _bookmark1 1 中的操作。表1 配置步驟簡介操作配置思路詳細配置配置CA服務器 HYPERLINK l _bookmark2 3.2.1 HYPERLINK l _bookmark3 3.3.1配置HTTPS服務器 HYPERLINK l _bookmark2 3.2.2 HYPERLINK l _bookmark7

9、 3.3.2配置HTTPS客戶端 HYPERLINK l _bookmark3 3.2.3 HYPERLINK l _bookmark8 3.3.3CA服務器配置思路Windows Server 2003作為CA服務器時，配置過程為：安裝證書服務組件，并設置CA服務器的類型、名稱等參數(shù)。安裝SCEP插件。SCEP 是證書申請者與認證機構通信時使用的協(xié)議。Windows Server作為CA服務器時，缺省情況下不支持SCEP，所以需要安裝SCEP插件，才能使CA服務器具備自動處理證書注冊和頒發(fā)等功能。將證書服務的頒發(fā)策略修改為自動頒發(fā)證書。否則，收到證書申請后，管理員需要確認申請，并手工頒發(fā)證書

10、。修改IIS服務的屬性。將默認網(wǎng)站的路徑修改為證書服務保存的路徑；為了避免與已有的服務沖突，建議修改默認網(wǎng)站的TCP端口號。 注意：Windows Server 作為 CA 服務器時，需要在 CA 服務器上安裝并啟用 IIS。HTTPS服務器配置思路HTTPS服務器的配置過程為：配置PKI。PKI是通過公開密鑰技術和數(shù)字證書來確保系統(tǒng)信息安全，并負責驗證數(shù)字證書持有者身份的一種體系。SSL通過PKI實現(xiàn)對服務器和客戶端的身份驗證。配置HTTPS服務器之前，首先要完成PKI的配置，其中包括：配置 PKI 實體。實體的身份信息用來唯一標識證書申請者。配置 PKI 域。實體在進行證書申請操作之前需要

11、配置一些注冊信息來配合完成申請的過程。這些信息的集合就是一個實體的 PKI 域。創(chuàng)建 PKI 域的目的是便于其它應用引用 PKI 的配置。獲取 CA 證書，并下載至本地，以便驗證申請到證書的真實性和合法性。申請本地證書。可以采用手工和自動兩種方式申請本地證書。本配置中以手工方式為例。配置SSL服務器端策略。通過該策略可以指定引用的PKI域，SSL服務器端策略支持的加密套件，以及是否需要對客戶端進行身份驗證等。本配置中，需要對客戶端進行身份驗證。配置HTTPS使用的SSL服務器端策略，并使能HTTPS服務。創(chuàng)建本地用戶，通過用戶名和密碼實現(xiàn)對用戶身份的驗證。HTTPS客戶端配置思路HTTPS客戶

12、端上需要執(zhí)行如下操作：申請證書。由于HTTPS服務器上配置需要對客戶端進行認證，因此，HTTPS 客戶端需要從CA服務器獲取證書。通過HTTPS協(xié)議登錄Gateway，并輸入用戶名和密碼，進入Gateway的Web 配置頁面。配置步驟 說明：進行下面的配置之前，需要確保 HTTPS 服務器 Gateway、HTTPS 客戶端 Admin和 CA 服務器之間的路由可達。配置CA服務器安裝證書服務組件打開 控制面板/ 添加或刪除程序，選擇 添加/ 刪除Windows 組件。在Windows組件向?qū)е?，選中“證書服務”，并單擊按鈕。圖3 安裝證書組件1選擇CA類型為獨立根CA，并單擊按鈕。圖4 安裝

13、證書組件2輸入CA的名稱為CA server，并單擊按鈕。圖5 安裝證書組件3選擇CA證書數(shù)據(jù)庫、數(shù)據(jù)庫日志和共享文件夾的存儲位置，并單擊 按鈕。圖6 安裝證書組件4 說明：安裝證書時，界面上會出現(xiàn) CA 證書數(shù)據(jù)庫、數(shù)據(jù)庫日志和共享文件夾的缺省存放路徑。本配置舉例中使用了缺省存放路徑，其中共享文件夾存放路徑中的“ca”為CA 服務器的主機名。證書組件安裝成功后，單擊按鈕，退出Windows組件向?qū)Т翱?。安裝SCEP插件雙擊運行SCEP的安裝文件，在彈出的窗口中，單擊按鈕。 說明：SCEP 的安裝文件可以從 Microsoft 網(wǎng)站免費下載。圖7 安裝SCEP插件1選擇使用本地系統(tǒng)帳戶作為標識

14、，并單擊按鈕。圖8 安裝SCEP插件2去掉“Require SCEP Challenge Phrase to Enroll”選項，單擊按鈕。圖9 安裝SCEP插件3輸入RA向CA服務器登記時使用的RA標識信息，單擊按鈕。RA的功能包括個人身份審核、CRL管理、密鑰對產(chǎn)生和密鑰對備份等。RA是CA 的延伸，可以作為CA的一部分。圖10 安裝SCEP插件4完成上述配置后，單擊按鈕，彈出如圖 HYPERLINK l _bookmark4 11 所示的提示框。記錄該URL 地址，并單擊按鈕。圖11 安裝SCEP插件5注意：配置 HTTPS 服務器 Gateway 時，需要將注冊服務器地址配置為提示框中

15、的 URL地址，其中的主機名 ca 可以替換為 CA 服務器的 IP 地址。修改證書服務的屬性完成上述配置后，打開控制面板/管理工具中的證書頒發(fā)機構，如果安裝成功，在頒發(fā)的證書中將存在兩個CA服務器頒發(fā)給RA的證書。右鍵單擊CA server，選擇屬性。圖12 修改證書服務的屬性在CA server 屬性窗口選擇“策略模塊”頁簽，單擊按鈕。圖13 證書服務屬性窗口選擇策略模塊的屬性為“如果可以的話，按照證書模板中的設置。否則，將自動頒發(fā)證書(F)。”。單擊按鈕。圖14 策略模塊的屬性單擊圖 HYPERLINK l _bookmark5 15 中的停止服務和圖 HYPERLINK l _book

16、mark6 16 中的啟動服務按鈕，重啟證書服務。圖15 停止證書服務圖16 啟動證書服務修改IIS服務的屬性打開控制面板/管理工具中的Internet 信息服務(IIS)管理器，右鍵單擊默認網(wǎng)站，選擇屬性。圖17 IIS管理器選擇默認網(wǎng)站 屬性窗口中的“主目錄”頁簽，將本地路徑修改為證書服務保存的路徑。圖18 修改默認網(wǎng)站的主目錄選擇默認網(wǎng)站 屬性窗口中的“網(wǎng)站”頁簽，將TCP端口改為8080。 注意：為了避免與已有的服務沖突，默認網(wǎng)站的 TCP 端口號不能與已有服務的端口號相同，且建議不要使用默認端口號 80。圖19 修改默認網(wǎng)站的TCP端口號配置HTTPS服務器配置步驟配置Gateway

17、向CA服務器申請證書配置實體命名空間# 配置PKI實體，實體名稱為aaa，通用名為gateway。 system-view Gateway pki entity aaaGateway-pki-entity-aaa common-name gateway Gateway-pki-entity-aaa quit配置 PKI 域# 創(chuàng)建并進入PKI域ssl。Gateway pki domain ssl# 配置可信任的CA服務器名稱為myca。Gateway-pki-domain-ssl ca identifier ca server# 配置注冊服務器的URL地址為安裝SCEP插件時彈出的URL地址，

18、如圖 HYPERLINK l _bookmark4 11 所示。由于CA服務器上默認網(wǎng)站的TCP端口號修改為8080，配置注冊服務器的URL地址時，需要指定端口號為8080。Gateway-pki-domain-sslcertificaterequesturl :8080/certsrv/mscep/mscep.dll# 配置證書申請的注冊受理機構為RA。Gateway-pki-domain-ssl certificate request from ra# 指定實體名稱為aaa。Gateway-pki-domain-ssl certificate request entity aaa Gate

19、way-pki-domain-ssl quit生成 RSA 本地密鑰對Gateway public-key local create rsaThe range of public key size is (512 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulusdefault = 1024:Generating Keys.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.

20、+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+.+申請證書 注意：證書中包含有效時間，建議為 Gateway 申請證書之前，將 Gateway 與 CA 服務器的時間同步，以避免獲取證書失敗。# 獲取CA證書并下載至本地。Gateway pki retrieval-certificate ca domain sslRetrieving CA/RA certificates. Please wait a whileThe trusted CAs finger print i

21、s:MD5fingerprint:9C7A 2FBA 9230 2BF5 F27D 5391 DCF7 9912SHA1 fingerprint:189A CC85 F030 F866 51B1 9DD7 6DA9 65BA 5B05 2596Is the finger print correct?(Y/N):ySaving CA/RA certificates chain, please wait a momentCA certificates retrieval success.# 手工申請本地證書。Gateway pki request-certificate domain ssl Ce

22、rtificate is being requested, please waitGatewayEnrolling the local certificate,please wait a whileCertificate request Successfully!Saving the local certificate to deviceDone!配置SSL服務器端策略# 創(chuàng)建一個名為myssl的SSL服務器端策略。Gateway ssl server-policy myssl# 配置SSL服務器端策略使用的PKI域名為ssl。Gateway-ssl-server-policy-myssl p

23、ki-domain ssl# 配置需要對客戶端進行認證。為客戶端申請本地證書的方法請參見“ HYPERLINK l _bookmark8 3.3.3 HYPERLINK l _bookmark8 配置 HYPERLINK l _bookmark8 HTTPS客戶端”。Gateway-ssl-server-policy-myssl client-verify enable Gateway-ssl-server-policy-myssl quit配置HTTPS服務# 配置HTTPS服務使用的SSL策略為myssl。Gateway ip https ssl-server-policy myssl#

24、使能HTTPS服務。Gateway ip https enable創(chuàng)建本地用戶# 創(chuàng)建本地用戶abc，密碼為123，服務類型為Telnet，能訪問的命令級別為3。Gateway local-user abcGateway-luser-abc password simple 123 Gateway-luser-abc service-type telnet level 3配置文件Gateway display current-configuration #version 5.20, Test 5310 #sysname Gateway #domain default enable system

25、#telnet server enable #domain systemaccess-limit disable state activeidle-cut disableself-service-url disable #pki entity aaacommon-name gateway#pki domain sslca identifier ca servercertificate request url :8080/certsrv/mscep/mscep.dll certificate request from racertificate request entity aaa#local-user abc password simple 123 service-type telnet level 3#ssl server-policy myssl pki-domain sslclient-verify enable #interface Ethernet1/1 port link-mode routeip address #interface Ethernet1/2 port link-mode routeip address #ip https ssl-server-policy myssl ip https enable#load xml-configuratio