安全與VPN-HTTPS Web配置舉例-D

1、，安全與VPN-HTTPS Web配置舉例HTTPS Web 配置舉例杭州華三通信技術(shù)有限公司第 PAGE 2頁(yè), 共23頁(yè)HTTPS Web 配置舉例關(guān)鍵詞：HTTPS、SSL、PKI、CA、RA摘要：HTTPS 是支持 SSL 的 HTTP 協(xié)議。用戶(hù)可以通過(guò) HTTPS 協(xié)議安全地登錄設(shè)備，通過(guò) Web 頁(yè)面實(shí)現(xiàn)對(duì)設(shè)備的控制。本文介紹了 HTTPS 的配置過(guò)程?？s略語(yǔ)：縮略語(yǔ)英文全名中文解釋CACertificate Authority證書(shū)機(jī)構(gòu)HTTPSHypertext Transfer Protocol Secure安全超文本傳輸協(xié)議IISInternet Information S

2、erviceInternet 信息服務(wù)MACMessage Authentication Code消息驗(yàn)證碼PKIPublic Key Infrastructure公鑰基礎(chǔ)設(shè)施RARegistration Authority注冊(cè)機(jī)構(gòu)SCEPSimple Certificate Enrollment Protocol簡(jiǎn)單證書(shū)注冊(cè)協(xié)議SSLSecure Sockets Layer安全套接層目 錄 HYPERLINK l _bookmark0 特性簡(jiǎn)介 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 應(yīng)用場(chǎng)合 HYPERLINK l _bookmark

3、0 3 HYPERLINK l _bookmark0 配置舉例 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 組網(wǎng)需求 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 配置思路 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 CA服務(wù)器配置思路 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 HTTPS服務(wù)器配置思路 HYPERLINK l _bookmark2 5 HYPERLINK l _bookm

4、ark2 配置步驟 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 配置CA服務(wù)器 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark6 配置HTTPS服務(wù)器 HYPERLINK l _bookmark6 17 HYPERLINK l _bookmark7 驗(yàn)證結(jié)果 HYPERLINK l _bookmark7 22HTTPS Web 配置舉例杭州華三通信技術(shù)有限公司第 PAGE 5頁(yè)，共23頁(yè) HYPERLINK / 特性簡(jiǎn)介對(duì)于支持 Web 管理功能的設(shè)備，開(kāi)啟 HTTP 服務(wù)后，設(shè)備可以作為 Web

5、 服務(wù)器，允許用戶(hù)通過(guò)HTTP 協(xié)議登錄，并利用 Web 頁(yè)面實(shí)現(xiàn)對(duì)設(shè)備的訪問(wèn)和控制。但是 HTTP 協(xié)議本身不能對(duì) Web 服務(wù)器的身份進(jìn)行驗(yàn)證，也不能保證數(shù)據(jù)傳輸?shù)乃矫苄裕瑹o(wú)法提供安全性保證。為此，設(shè)備提供了 HTTPS 功能，將 HTTP 和 SSL 結(jié)合，通過(guò) SSL 對(duì)服務(wù)器進(jìn)行驗(yàn)證，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密， 從而實(shí)現(xiàn)了對(duì)設(shè)備的安全管理。HTTPS 通過(guò)SSL 協(xié)議，從以下幾方面提高了安全性：客戶(hù)端通過(guò)數(shù)字證書(shū)對(duì)服務(wù)器進(jìn)行身份驗(yàn)證，保證客戶(hù)端訪問(wèn)正確的服務(wù)器。客戶(hù)端與服務(wù)器之間交互的數(shù)據(jù)需要經(jīng)過(guò)加密，保證了數(shù)據(jù)傳輸?shù)陌踩院屯暾?，從而?shí)現(xiàn)了對(duì)服務(wù)器（即設(shè)備）的安全管理。應(yīng)用場(chǎng)合HTT

6、PS主要用于網(wǎng)絡(luò)管理員遠(yuǎn)程配置設(shè)備。如 HYPERLINK l _bookmark0 圖 1所示，某公司在A、B兩地分別設(shè)立分公司，位于A地的網(wǎng)絡(luò)管理員無(wú)法直接配置位于B地的Device B。為了實(shí)現(xiàn)對(duì)Device B的安全管理，網(wǎng)絡(luò)管理員通過(guò)HTTPS登錄Device B，利用Web頁(yè)面配置遠(yuǎn)程設(shè)備Device B。圖1 HTTPS 典型應(yīng)用場(chǎng)景InternetDevice ADevice BA地B地Administrator配置舉例組網(wǎng)需求公司 A 的網(wǎng)絡(luò)管理員與該公司的研發(fā)部位于不同的城市，網(wǎng)絡(luò)管理員希望安全地遠(yuǎn)程登錄到研發(fā)部的網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)對(duì)其的控制。如 HYPERLINK l _bo

7、okmark1 圖 2所示，HTTPS可以滿足這個(gè)需求：網(wǎng)絡(luò)管理員通過(guò)主機(jī) Admin 與網(wǎng)關(guān)設(shè)備 Gateway 建立 HTTPS 連接，通過(guò) Web 頁(yè)面實(shí)現(xiàn)對(duì)Gateway 的控制。利用 SSL 的安全機(jī)制對(duì) HTTPS 服務(wù)器 Gateway 進(jìn)行身份驗(yàn)證，提高了遠(yuǎn)程登錄的安全性。為了實(shí)現(xiàn)基于證書(shū)的身份驗(yàn)證，公司 A 還需要配置 CA 服務(wù)器，為 Gateway 頒發(fā)證書(shū)。本配置舉例以 Windows Server 2003 為例，說(shuō)明 CA 服務(wù)器的配置方法。圖2 HTTPS 典型配置舉例組網(wǎng)圖配置思路為了實(shí)現(xiàn)上述組網(wǎng)需求，需要完成 HYPERLINK l _bookmark1 表

8、1中的操作。表1 配置步驟簡(jiǎn)介操作配置思路詳細(xì)配置配置 CA 服務(wù)器 HYPERLINK l _bookmark1 3.2.1 HYPERLINK l _bookmark2 3.3.1配置HTTPS 服務(wù)器 HYPERLINK l _bookmark2 3.2.2 HYPERLINK l _bookmark6 3.3.2CA 服務(wù)器配置思路Windows Server 2003 作為 CA 服務(wù)器時(shí)，需要在 CA 服務(wù)器上安裝并啟用 IIS。Windows Server 2003 作為 CA 服務(wù)器時(shí)，配置過(guò)程為：安裝證書(shū)服務(wù)組件，并設(shè)置 CA 服務(wù)器的類(lèi)型、名稱(chēng)等參數(shù)。安裝 SCEP 插件。

9、SCEP 是證書(shū)申請(qǐng)者與認(rèn)證機(jī)構(gòu)通信時(shí)使用的協(xié)議。Windows Server 2003 作為 CA 服務(wù)器時(shí)，缺省情況下不支持 SCEP，所以需要安裝 SCEP 插件，才能使 CA 服務(wù)器具備自動(dòng)處理證書(shū)注冊(cè)和頒發(fā)等功能。將證書(shū)服務(wù)的頒發(fā)策略修改為自動(dòng)頒發(fā)證書(shū)。否則，收到證書(shū)申請(qǐng)后，管理員需要確認(rèn)申請(qǐng)，并手工頒發(fā)證書(shū)。修改 IIS 服務(wù)的屬性。將默認(rèn)網(wǎng)站的路徑修改為證書(shū)服務(wù)保存的路徑；為了避免與已有的服務(wù)沖突，建議修改默認(rèn)網(wǎng)站的 TCP 端口號(hào)。HTTPS 服務(wù)器配置思路HTTPS 服務(wù)器的配置過(guò)程為：配置 PKI。PKI 是通過(guò)公開(kāi)密鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全，并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持

10、有者身份的一種體系。SSL 通過(guò) PKI 實(shí)現(xiàn)對(duì)服務(wù)器和客戶(hù)端的身份驗(yàn)證。配置 HTTPS 服務(wù)器之前，首先要完成 PKI 的配置，其中包括：配置 PKI 實(shí)體。實(shí)體的身份信息用來(lái)唯一標(biāo)識(shí)證書(shū)申請(qǐng)者。配置 PKI 域。實(shí)體在進(jìn)行證書(shū)申請(qǐng)操作之前需要配置一些注冊(cè)信息來(lái)配合完成申請(qǐng)的過(guò)程。這些信息的集合就是一個(gè)實(shí)體的 PKI 域。創(chuàng)建 PKI 域的目的是便于其它應(yīng)用引用 PKI 的配置。生成 RSA 本地密鑰對(duì)。密鑰對(duì)的生成是證書(shū)申請(qǐng)過(guò)程中重要的一步。申請(qǐng)過(guò)程使用了一對(duì)主機(jī)密鑰：私鑰和公鑰。私鑰由用戶(hù)保留，公鑰和其他信息則交由 CA 中心進(jìn)行簽名，從而產(chǎn)生證書(shū)。獲取 CA 證書(shū)，并下載至本地，以便

11、驗(yàn)證申請(qǐng)到證書(shū)的真實(shí)性和合法性。申請(qǐng)本地證書(shū)?？梢圆捎檬止ず妥詣?dòng)兩種方式申請(qǐng)本地證書(shū)。本配置中以手工方式為例。使能 HTTPS 服務(wù)，并配置 HTTPS 使用的 PKI 域。創(chuàng)建本地用戶(hù)，通過(guò)用戶(hù)名和密碼實(shí)現(xiàn)對(duì)用戶(hù)身份的驗(yàn)證。配置步驟進(jìn)行下面的配置之前，需要確保 HTTPS 服務(wù)器 Gateway、HTTPS 客戶(hù)端 Admin 和 CA 服務(wù)器之間的路由可達(dá)。以下對(duì)配置 HTTPS 服務(wù)器的描述以 SecPath F1000-E 產(chǎn)品為示例，其他產(chǎn)品的頁(yè)面可能有所不同。下面配置步驟中的各頁(yè)面或窗口的配置項(xiàng)，如果沒(méi)有特殊說(shuō)明，均采用其默認(rèn)設(shè)置。配置 CA 服務(wù)器安裝證書(shū)服務(wù)組件打開(kāi)控制面板/添

12、加或刪除程序，選擇添加/刪除 Windows 組件。在Windows 組件向?qū)?中，選中“證書(shū)服務(wù)”，并單擊按鈕。HTTPS Web 配置舉例圖3 安裝證書(shū)服務(wù)組件 1杭州華三通信技術(shù)有限公司第 PAGE 6頁(yè)，共23頁(yè) HYPERLINK / 選擇 CA 類(lèi)型為獨(dú)立根 CA，并單擊按鈕。HTTPS Web 配置舉例圖4 安裝證書(shū)服務(wù)組件 2杭州華三通信技術(shù)有限公司第 PAGE 7頁(yè)，共23頁(yè) HYPERLINK / 輸入 CA 的名稱(chēng)為 CA server，并單擊按鈕。HTTPS Web 配置舉例圖5 安裝證書(shū)服務(wù)組件 3杭州華三通信技術(shù)有限公司第 PAGE 8頁(yè)，共23頁(yè) HYPERLIN

13、K / 選擇 CA 證書(shū)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)日志和共享文件夾的存儲(chǔ)位置，并單擊按鈕。HTTPS Web 配置舉例圖6 安裝證書(shū)服務(wù)組件 4杭州華三通信技術(shù)有限公司第 PAGE 9頁(yè)，共23頁(yè) HYPERLINK / 安裝證書(shū)服務(wù)組件時(shí)，界面上會(huì)出現(xiàn) CA 證書(shū)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)日志和共享文件夾的缺省存放路徑。本配置舉例中使用了缺省存放路徑，其中共享文件夾存放路徑中的“ca”為 CA 服務(wù)器的主機(jī)名。證書(shū)服務(wù)組件安裝成功后，單擊按鈕，退出Windows 組件向?qū)Т翱?。安裝 SCEP 插件雙擊運(yùn)行 SCEP 的安裝文件，在彈出的窗口中，單擊按鈕。SCEP 的安裝文件可以從 Microsoft 網(wǎng)站免費(fèi)下載。

14、HTTPS Web 配置舉例圖7 安裝 SCEP 插件 1杭州華三通信技術(shù)有限公司第 PAGE 10頁(yè)，共23頁(yè) HYPERLINK / 選擇使用本地系統(tǒng)帳戶(hù)作為標(biāo)識(shí)，并單擊按鈕。圖8 安裝 SCEP 插件 2去掉“Require SCEP Challenge Phrase to Enroll”選項(xiàng)，單擊按鈕。HTTPS Web 配置舉例圖9 安裝 SCEP 插件 3杭州華三通信技術(shù)有限公司第 PAGE 11頁(yè)，共23頁(yè) HYPERLINK / 輸入 RA 向 CA 服務(wù)器登記時(shí)使用的 RA 標(biāo)識(shí)信息，單擊按鈕。RA 的功能包括個(gè)人身份審核、CRL 管理、密鑰對(duì)產(chǎn)生和密鑰對(duì)備份等。RA 是 C

15、A 的延伸，可以作為 CA 的一部分。HTTPS Web 配置舉例圖10 安裝 SCEP 插件 4杭州華三通信技術(shù)有限公司第 PAGE 12頁(yè)，共23頁(yè) HYPERLINK / 完成上述配置后，單擊按鈕，彈出如 HYPERLINK l _bookmark3 圖 11所示的提示框。記錄該URL地址，并單擊按鈕。圖11 安裝 SCEP 插件 5配置 HTTPS 服務(wù)器 Gateway 時(shí)，需要將注冊(cè)服務(wù)器地址配置為提示框中的 URL 地址，其中的主機(jī)名 ca 可以替換為 CA 服務(wù)器的 IP 地址。修改證書(shū)服務(wù)的屬性完成上述配置后，打開(kāi)控制面板/管理工具中的證書(shū)頒發(fā)機(jī)構(gòu)，如果安裝成功，在頒發(fā)的證書(shū)

16、 中將存在兩個(gè) CA 服務(wù)器頒發(fā)給 RA 的證書(shū)。右鍵單擊CA server，選擇屬性。HTTPS Web 配置舉例圖12 修改證書(shū)服務(wù)的屬性杭州華三通信技術(shù)有限公司第 PAGE 13頁(yè)，共23頁(yè) HYPERLINK / 在CA server 屬性窗口選擇“策略模塊”頁(yè)簽，單擊按鈕。圖13 證書(shū)服務(wù)屬性窗口選擇策略模塊的屬性為“如果可以的話，按照證書(shū)模板中的設(shè)置。否則，將自動(dòng)頒發(fā)證書(shū)(F)?！?，單擊按鈕。HTTPS Web 配置舉例圖14 策略模塊的屬性杭州華三通信技術(shù)有限公司第 PAGE 14頁(yè)，共23頁(yè) HYPERLINK / 單擊 HYPERLINK l _bookmark4 圖 15中

17、的停止服務(wù)和 HYPERLINK l _bookmark5 圖 16中的啟動(dòng)服務(wù)按鈕，重啟證書(shū)服務(wù)。圖15 停止證書(shū)服務(wù)HTTPS Web 配置舉例圖16 啟動(dòng)證書(shū)服務(wù)杭州華三通信技術(shù)有限公司第 PAGE 15頁(yè)，共23頁(yè) HYPERLINK / 修改 IIS 服務(wù)的屬性打開(kāi)控制面板/管理工具中的Internet 信息服務(wù)(IIS)管理器，右鍵單擊默認(rèn)網(wǎng)站，選擇屬性。圖17 IIS 管理器選擇默認(rèn)網(wǎng)站 屬性窗口中的“主目錄”頁(yè)簽，將本地路徑修改為證書(shū)服務(wù)保存的路徑。HTTPS Web 配置舉例圖18 修改默認(rèn)網(wǎng)站的主目錄杭州華三通信技術(shù)有限公司第 PAGE 16頁(yè)，共23頁(yè) HYPERLINK

18、 / 選擇默認(rèn)網(wǎng)站 屬性窗口中的“網(wǎng)站”頁(yè)簽，將 TCP 端口改為 8080。為了避免與已有的服務(wù)沖突，默認(rèn)網(wǎng)站的 TCP 端口號(hào)不能與已有服務(wù)的端口號(hào)相同，且建議不要使用默認(rèn)端口號(hào) 80。HTTPS Web 配置舉例圖19 修改默認(rèn)網(wǎng)站的TCP 端口號(hào)杭州華三通信技術(shù)有限公司第 PAGE 17頁(yè)，共23頁(yè) HYPERLINK / 配置 HTTPS 服務(wù)器配置 Gateway 向 CA 服務(wù)器申請(qǐng)證書(shū)證書(shū)中包含有效時(shí)間，建議為 Gateway 申請(qǐng)證書(shū)之前，將 Gateway 與 CA 服務(wù)器的時(shí)間同步， 以避免獲取證書(shū)失敗。缺省情況下，設(shè)備上存在默認(rèn)的 PKI 域及證書(shū)，在配置 HTTPS

19、服務(wù)時(shí)可以直接引用，因此本步驟可選。默認(rèn) PKI 域及證書(shū)的具體情況與設(shè)備的型號(hào)有關(guān)，請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)。配置 PKI 實(shí)體 aaa。在導(dǎo)航欄中選擇“VPN 證書(shū)管理 PKI 實(shí)體”，單擊按鈕。輸入 PKI 實(shí)體名稱(chēng)為“aaa”。輸入通用名為“gateway”。單擊按鈕完成操作。HTTPS Web 配置舉例圖20 配置 PKI 實(shí)體 aaa杭州華三通信技術(shù)有限公司第 PAGE 18頁(yè)，共23頁(yè) HYPERLINK / 配置 PKI 域 ssl。在導(dǎo)航欄中選擇“VPN 證書(shū)管理 PKI 域”，單擊按鈕。輸入 PKI 域名稱(chēng)為“ssl”。輸入 CA 標(biāo)識(shí)符為“CA server”。選擇本端實(shí)體

20、為“aaa”。選擇注冊(cè)機(jī)構(gòu)為“RA”。輸入證書(shū)申請(qǐng) URL 為“:8080/certsrv/mscep/mscep.dll”（為安裝 SCEP 插件時(shí)彈出的 URL 地址，格式為“http:/host:port/certsrv/mscep/mscep.dll”，其中的“host” 和“port”分別為 CA 服務(wù)器的主機(jī)地址和端口號(hào)）。單擊按鈕，彈出對(duì)話框提示“未指定根證書(shū)指紋，在獲取 CA 證書(shū)時(shí)將不對(duì)根證書(shū)指紋進(jìn)行驗(yàn)證，確認(rèn)要繼續(xù)嗎？”，再次單擊按鈕完成操作。HTTPS Web 配置舉例圖21 配置 PKI 域ssl杭州華三通信技術(shù)有限公司第 PAGE 19頁(yè)，共23頁(yè) HYPERLINK / 生成 RSA 本地密鑰對(duì)。在導(dǎo)航欄中選擇“VPN 證書(shū)管理 證書(shū)”，單擊按鈕。輸入密鑰長(zhǎng)度為“1024”。單擊按鈕完成操作。圖22 生成 RSA 本地密鑰對(duì)手動(dòng)在線獲取 CA 證書(shū)。在證書(shū)顯示頁(yè)面單擊按鈕。選擇 PKI 域名稱(chēng)為“ssl”。選擇證書(shū)類(lèi)型為“CA”。單擊按鈕完成操作。頁(yè)面跳轉(zhuǎn)回證書(shū)顯示頁(yè)面，可以看到已獲取到的 CA 證書(shū)。HTTPS Web 配置舉例杭州華三通信技術(shù)有限公司第 PAGE 23頁(yè)，共23頁(yè) HYPERLINK / 圖23 獲取 CA 證書(shū)手動(dòng)在線申請(qǐng)本地證書(shū)。在證書(shū)顯示頁(yè)面單擊按鈕。選擇 P