安全与VPN-HTTPS Web配置举例-D

1、，安全与VPN-HTTPS Web配置举例HTTPS Web 配置举例杭州华三通信技术有限公司第 PAGE 2页, 共23页HTTPS Web 配置举例关键词：HTTPS、SSL、PKI、CA、RA摘要：HTTPS 是支持 SSL 的 HTTP 协议。用户可以通过 HTTPS 协议安全地登录设备，通过 Web 页面实现对设备的控制。本文介绍了 HTTPS 的配置过程。缩略语：缩略语英文全名中文解释CACertificate Authority证书机构HTTPSHypertext Transfer Protocol Secure安全超文本传输协议IISInternet Information S

2、erviceInternet 信息服务MACMessage Authentication Code消息验证码PKIPublic Key Infrastructure公钥基础设施RARegistration Authority注册机构SCEPSimple Certificate Enrollment Protocol简单证书注册协议SSLSecure Sockets Layer安全套接层目 录 HYPERLINK l _bookmark0 特性简介 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 应用场合 HYPERLINK l _bookmark

3、0 3 HYPERLINK l _bookmark0 配置举例 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 组网需求 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 配置思路 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 CA服务器配置思路 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 HTTPS服务器配置思路 HYPERLINK l _bookmark2 5 HYPERLINK l _bookm

4、ark2 配置步骤 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 配置CA服务器 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark6 配置HTTPS服务器 HYPERLINK l _bookmark6 17 HYPERLINK l _bookmark7 验证结果 HYPERLINK l _bookmark7 22HTTPS Web 配置举例杭州华三通信技术有限公司第 PAGE 5页，共23页 HYPERLINK / 特性简介对于支持 Web 管理功能的设备，开启 HTTP 服务后，设备可以作为 Web

5、 服务器，允许用户通过HTTP 协议登录，并利用 Web 页面实现对设备的访问和控制。但是 HTTP 协议本身不能对 Web 服务器的身份进行验证，也不能保证数据传输的私密性，无法提供安全性保证。为此，设备提供了 HTTPS 功能，将 HTTP 和 SSL 结合，通过 SSL 对服务器进行验证，对传输的数据进行加密， 从而实现了对设备的安全管理。HTTPS 通过SSL 协议，从以下几方面提高了安全性：客户端通过数字证书对服务器进行身份验证，保证客户端访问正确的服务器。客户端与服务器之间交互的数据需要经过加密，保证了数据传输的安全性和完整性，从而实现了对服务器（即设备）的安全管理。应用场合HTT

6、PS主要用于网络管理员远程配置设备。如 HYPERLINK l _bookmark0 图 1所示，某公司在A、B两地分别设立分公司，位于A地的网络管理员无法直接配置位于B地的Device B。为了实现对Device B的安全管理，网络管理员通过HTTPS登录Device B，利用Web页面配置远程设备Device B。图1 HTTPS 典型应用场景InternetDevice ADevice BA地B地Administrator配置举例组网需求公司 A 的网络管理员与该公司的研发部位于不同的城市，网络管理员希望安全地远程登录到研发部的网关设备，实现对其的控制。如 HYPERLINK l _bo

7、okmark1 图 2所示，HTTPS可以满足这个需求：网络管理员通过主机 Admin 与网关设备 Gateway 建立 HTTPS 连接，通过 Web 页面实现对Gateway 的控制。利用 SSL 的安全机制对 HTTPS 服务器 Gateway 进行身份验证，提高了远程登录的安全性。为了实现基于证书的身份验证，公司 A 还需要配置 CA 服务器，为 Gateway 颁发证书。本配置举例以 Windows Server 2003 为例，说明 CA 服务器的配置方法。图2 HTTPS 典型配置举例组网图配置思路为了实现上述组网需求，需要完成 HYPERLINK l _bookmark1 表

8、1中的操作。表1 配置步骤简介操作配置思路详细配置配置 CA 服务器 HYPERLINK l _bookmark1 3.2.1 HYPERLINK l _bookmark2 3.3.1配置HTTPS 服务器 HYPERLINK l _bookmark2 3.2.2 HYPERLINK l _bookmark6 3.3.2CA 服务器配置思路Windows Server 2003 作为 CA 服务器时，需要在 CA 服务器上安装并启用 IIS。Windows Server 2003 作为 CA 服务器时，配置过程为：安装证书服务组件，并设置 CA 服务器的类型、名称等参数。安装 SCEP 插件。

9、SCEP 是证书申请者与认证机构通信时使用的协议。Windows Server 2003 作为 CA 服务器时，缺省情况下不支持 SCEP，所以需要安装 SCEP 插件，才能使 CA 服务器具备自动处理证书注册和颁发等功能。将证书服务的颁发策略修改为自动颁发证书。否则，收到证书申请后，管理员需要确认申请，并手工颁发证书。修改 IIS 服务的属性。将默认网站的路径修改为证书服务保存的路径；为了避免与已有的服务冲突，建议修改默认网站的 TCP 端口号。HTTPS 服务器配置思路HTTPS 服务器的配置过程为：配置 PKI。PKI 是通过公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持

10、有者身份的一种体系。SSL 通过 PKI 实现对服务器和客户端的身份验证。配置 HTTPS 服务器之前，首先要完成 PKI 的配置，其中包括：配置 PKI 实体。实体的身份信息用来唯一标识证书申请者。配置 PKI 域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的 PKI 域。创建 PKI 域的目的是便于其它应用引用 PKI 的配置。生成 RSA 本地密钥对。密钥对的生成是证书申请过程中重要的一步。申请过程使用了一对主机密钥：私钥和公钥。私钥由用户保留，公钥和其他信息则交由 CA 中心进行签名，从而产生证书。获取 CA 证书，并下载至本地，以便

11、验证申请到证书的真实性和合法性。申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。使能 HTTPS 服务，并配置 HTTPS 使用的 PKI 域。创建本地用户，通过用户名和密码实现对用户身份的验证。配置步骤进行下面的配置之前，需要确保 HTTPS 服务器 Gateway、HTTPS 客户端 Admin 和 CA 服务器之间的路由可达。以下对配置 HTTPS 服务器的描述以 SecPath F1000-E 产品为示例，其他产品的页面可能有所不同。下面配置步骤中的各页面或窗口的配置项，如果没有特殊说明，均采用其默认设置。配置 CA 服务器安装证书服务组件打开控制面板/添

12、加或删除程序，选择添加/删除 Windows 组件。在Windows 组件向导 中，选中“证书服务”，并单击按钮。HTTPS Web 配置举例图3 安装证书服务组件 1杭州华三通信技术有限公司第 PAGE 6页，共23页 HYPERLINK / 选择 CA 类型为独立根 CA，并单击按钮。HTTPS Web 配置举例图4 安装证书服务组件 2杭州华三通信技术有限公司第 PAGE 7页，共23页 HYPERLINK / 输入 CA 的名称为 CA server，并单击按钮。HTTPS Web 配置举例图5 安装证书服务组件 3杭州华三通信技术有限公司第 PAGE 8页，共23页 HYPERLIN

13、K / 选择 CA 证书数据库、数据库日志和共享文件夹的存储位置，并单击按钮。HTTPS Web 配置举例图6 安装证书服务组件 4杭州华三通信技术有限公司第 PAGE 9页，共23页 HYPERLINK / 安装证书服务组件时，界面上会出现 CA 证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径，其中共享文件夹存放路径中的“ca”为 CA 服务器的主机名。证书服务组件安装成功后，单击按钮，退出Windows 组件向导窗口。安装 SCEP 插件双击运行 SCEP 的安装文件，在弹出的窗口中，单击按钮。SCEP 的安装文件可以从 Microsoft 网站免费下载。

14、HTTPS Web 配置举例图7 安装 SCEP 插件 1杭州华三通信技术有限公司第 PAGE 10页，共23页 HYPERLINK / 选择使用本地系统帐户作为标识，并单击按钮。图8 安装 SCEP 插件 2去掉“Require SCEP Challenge Phrase to Enroll”选项，单击按钮。HTTPS Web 配置举例图9 安装 SCEP 插件 3杭州华三通信技术有限公司第 PAGE 11页，共23页 HYPERLINK / 输入 RA 向 CA 服务器登记时使用的 RA 标识信息，单击按钮。RA 的功能包括个人身份审核、CRL 管理、密钥对产生和密钥对备份等。RA 是 C

15、A 的延伸，可以作为 CA 的一部分。HTTPS Web 配置举例图10 安装 SCEP 插件 4杭州华三通信技术有限公司第 PAGE 12页，共23页 HYPERLINK / 完成上述配置后，单击按钮，弹出如 HYPERLINK l _bookmark3 图 11所示的提示框。记录该URL地址，并单击按钮。图11 安装 SCEP 插件 5配置 HTTPS 服务器 Gateway 时，需要将注册服务器地址配置为提示框中的 URL 地址，其中的主机名 ca 可以替换为 CA 服务器的 IP 地址。修改证书服务的属性完成上述配置后，打开控制面板/管理工具中的证书颁发机构，如果安装成功，在颁发的证书

16、 中将存在两个 CA 服务器颁发给 RA 的证书。右键单击CA server，选择属性。HTTPS Web 配置举例图12 修改证书服务的属性杭州华三通信技术有限公司第 PAGE 13页，共23页 HYPERLINK / 在CA server 属性窗口选择“策略模块”页签，单击按钮。图13 证书服务属性窗口选择策略模块的属性为“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书(F)。”，单击按钮。HTTPS Web 配置举例图14 策略模块的属性杭州华三通信技术有限公司第 PAGE 14页，共23页 HYPERLINK / 单击 HYPERLINK l _bookmark4 图 15中

17、的停止服务和 HYPERLINK l _bookmark5 图 16中的启动服务按钮，重启证书服务。图15 停止证书服务HTTPS Web 配置举例图16 启动证书服务杭州华三通信技术有限公司第 PAGE 15页，共23页 HYPERLINK / 修改 IIS 服务的属性打开控制面板/管理工具中的Internet 信息服务(IIS)管理器，右键单击默认网站，选择属性。图17 IIS 管理器选择默认网站 属性窗口中的“主目录”页签，将本地路径修改为证书服务保存的路径。HTTPS Web 配置举例图18 修改默认网站的主目录杭州华三通信技术有限公司第 PAGE 16页，共23页 HYPERLINK

18、 / 选择默认网站 属性窗口中的“网站”页签，将 TCP 端口改为 8080。为了避免与已有的服务冲突，默认网站的 TCP 端口号不能与已有服务的端口号相同，且建议不要使用默认端口号 80。HTTPS Web 配置举例图19 修改默认网站的TCP 端口号杭州华三通信技术有限公司第 PAGE 17页，共23页 HYPERLINK / 配置 HTTPS 服务器配置 Gateway 向 CA 服务器申请证书证书中包含有效时间，建议为 Gateway 申请证书之前，将 Gateway 与 CA 服务器的时间同步， 以避免获取证书失败。缺省情况下，设备上存在默认的 PKI 域及证书，在配置 HTTPS

19、服务时可以直接引用，因此本步骤可选。默认 PKI 域及证书的具体情况与设备的型号有关，请以设备的实际情况为准。配置 PKI 实体 aaa。在导航栏中选择“VPN 证书管理 PKI 实体”，单击按钮。输入 PKI 实体名称为“aaa”。输入通用名为“gateway”。单击按钮完成操作。HTTPS Web 配置举例图20 配置 PKI 实体 aaa杭州华三通信技术有限公司第 PAGE 18页，共23页 HYPERLINK / 配置 PKI 域 ssl。在导航栏中选择“VPN 证书管理 PKI 域”，单击按钮。输入 PKI 域名称为“ssl”。输入 CA 标识符为“CA server”。选择本端实体

20、为“aaa”。选择注册机构为“RA”。输入证书申请 URL 为“:8080/certsrv/mscep/mscep.dll”（为安装 SCEP 插件时弹出的 URL 地址，格式为“http:/host:port/certsrv/mscep/mscep.dll”，其中的“host” 和“port”分别为 CA 服务器的主机地址和端口号）。单击按钮，弹出对话框提示“未指定根证书指纹，在获取 CA 证书时将不对根证书指纹进行验证，确认要继续吗？”，再次单击按钮完成操作。HTTPS Web 配置举例图21 配置 PKI 域ssl杭州华三通信技术有限公司第 PAGE 19页，共23页 HYPERLINK / 生成 RSA 本地密钥对。在导航栏中选择“VPN 证书管理 证书”，单击按钮。输入密钥长度为“1024”。单击按钮完成操作。图22 生成 RSA 本地密钥对手动在线获取 CA 证书。在证书显示页面单击按钮。选择 PKI 域名称为“ssl”。选择证书类型为“CA”。单击按钮完成操作。页面跳转回证书显示页面，可以看到已获取到的 CA 证书。HTTPS Web 配置举例杭州华三通信技术有限公司第 PAGE 23页，共23页 HYPERLINK / 图23 获取 CA 证书手动在线申请本地证书。在证书显示页面单击按钮。选择 P