问
改https登录
4天前提问
- 0关注
- 0收藏,101浏览
zhiliao_Gixe
五段
问题1解答
分两种场景:
1. 不需要额外申请导入证书也能启用HTTPS:IMC出厂自带内置自签名证书,启用后浏览器会提示「不安全」,点击高级选项跳过警告即可正常登录,适合内部测试/非严格安全场景使用。
2. 如果需要浏览器不弹出安全告警、终端免手动信任提示,就需要使用合法CA签发的正式证书(公网可信CA或企业内部自建CA签发均可)。
配置+证书导入步骤
1. 登录IMC管理后台,进入【系统管理】-【系统配置】-【服务器配置】-【Web服务】页签。
2. 勾选「启用HTTPS服务」,设置未被占用的HTTPS端口(默认推荐443)。
3. 仅用自带自签证书:直接点确定,等待IMC自动重启Web服务(约2~3分钟),即可通过https://IMC地址:端口访问,跳过浏览器告警即可登录。
4. 导入正式CA证书:提前把带私钥的p12格式证书上传到IMC服务器,在上述Web服务配置页的「HTTPS证书配置」区域选择导入证书,上传p12文件、输入证书私钥密码,提交后等待Web服务重启即可,后续浏览器访问不会弹出安全告警。
> 分布式部署场景需要在所有主从服务器上同步配置HTTPS,防火墙提前放通对应HTTPS端口。
分两种场景:
1. 不需要额外申请导入证书也能启用HTTPS:IMC出厂自带内置自签名证书,启用后浏览器会提示「不安全」,点击高级选项跳过警告即可正常登录,适合内部测试/非严格安全场景使用。
2. 如果需要浏览器不弹出安全告警、终端免手动信任提示,就需要使用合法CA签发的正式证书(公网可信CA或企业内部自建CA签发均可)。
配置+证书导入步骤
1. 登录IMC管理后台,进入【系统管理】-【系统配置】-【服务器配置】-【Web服务】页签。
2. 勾选「启用HTTPS服务」,设置未被占用的HTTPS端口(默认推荐443)。
3. 仅用自带自签证书:直接点确定,等待IMC自动重启Web服务(约2~3分钟),即可通过https://IMC地址:端口访问,跳过浏览器告警即可登录。
4. 导入正式CA证书:提前把带私钥的p12格式证书上传到IMC服务器,在上述Web服务配置页的「HTTPS证书配置」区域选择导入证书,上传p12文件、输入证书私钥密码,提交后等待Web服务重启即可,后续浏览器访问不会弹出安全告警。
> 分布式部署场景需要在所有主从服务器上同步配置HTTPS,防火墙提前放通对应HTTPS端口。
关于iMC启用HTTPS登录是否需要证书:分两种情况。
不需要额外证书:iMC自带“自签名证书”,可以直接启用。但浏览器会提示“不安全”,手动点“高级”跳过就行。适合内部测试或安全要求不高的场景。
需要正式证书:不想每次都看浏览器警告,就得用由权威CA(如公共CA或企业内部CA)签发的正式证书。
具体操作与证书导入(基于知了最新指引)
启用HTTPS服务:登录iMC后台,找到
系统管理>系统配置>服务器配置>Web服务页签-2。勾选“启用HTTPS服务”,并设一个未被占用的端口(推荐443)。使用自带证书(如暂不需要导入正式证书):直接点确定,等系统自动重启Web服务后(约2-3分钟),就可用
https://地址访问了。导入正式证书(消除安全警告):提前把带私钥的
.p12格式证书上传到服务器。在刚才的页面找到“HTTPS证书配置”区域,选导入,上传文件、输密码,提交后等重启即可。补充格式转换:如果你的机构提供的是
.cer和.key一对文件,就需要先在服务器上把它们合成一个.p12文件。具体步骤可以参考另一篇知识中心的案例 How to import PLAT https certificate into iMC。
暂无评论
一、是否需要证书?
需要,但分两种情况:
- 默认自带(不用你额外弄)
- iMC 开启 HTTPS 后,默认就有一个 “自签名证书”(iMC 自己生成的)。
- 浏览器访问:
https://iMCIP:8443/imc,会提示不安全 / 证书不受信任,但仍然可以登录使用,只是浏览器会有红色警告。 - 这就是网上说 “不用证书也能 https 登录” 的情况:能用,但浏览器告警。
- 要浏览器不告警(需要正规证书)
- 想让浏览器显示安全 / 小锁,不弹警告,就要用:
- 企业内网 CA 签发证书(域环境常用)
- 公网可信证书(如 Let’s Encrypt、商业证书)
- 这种才需要申请 / 购买 + 导入。
- 想让浏览器显示安全 / 小锁,不弹警告,就要用:
结论:
- 只是能用 https:不用额外证书,自带自签名证书,直接用 8443 端口访问即可。
- 要浏览器不告警、安全锁:需要导入可信证书。
二、证书从哪来、怎么导入(Windows 版 iMC 为例)
1)证书来源三种
- ✅ 方案 A(最简单,测试 / 内网):用 iMC 自带自签名
- 无需申请,开启 HTTPS 即用,浏览器会告警但可登录。
- ✅ 方案 B(内网无域):自己生成自签名(替换默认)
- 用 JDK 的 keytool 生成,绑定 iMC 服务器 IP / 主机名。
- ✅ 方案 C(正式 / 域环境):CA 签发
- 内网 AD CA 或公网 CA(如 Let’s Encrypt)申请证书。
2)开启 HTTPS(先把 https 能用起来)
- 停 iMC 服务
- 改配置文件:
- 路径:
iMC安装目录\client\conf\applicationContext.xml - 找到
<property name="useHttps" value="false"/> - 改成:
<property name="useHttps" value="true"/>
- 路径:
- 启动 iMC
- 访问:
https://iMCIP:8443/imc(http 8080 还能用,可关掉)
3)导入可信证书(消除浏览器警告)
iMC 用的是 Java 容器,证书导入分两步:证书文件 → Java 密钥库 → 配置引用。
- 准备证书(PFX/JKS 或 CRT + 密钥)
- 用 keytool 导入到 iMC 自带 JDK 密钥库:
bash
运行
# 进入iMC自带jdk的bin目录
cd D:\iMC\common\jdk\bin
# 导入PFX(推荐)
keytool -importkeystore -srckeystore D:\cert\your.pfx -srcstoretype PKCS12 -destkeystore D:\iMC\client\conf\imc.keystore -deststorepass changeit
- 修改
applicationContext.xml指向新密钥库:
xml
<property name="keyStore" value="classpath:imc.keystore"/>
<property name="keyStorePassword" value="changeit"/>
- 重启 iMC,再访问 HTTPS,浏览器告警消失(用对应 CA 根证书的机器)。
三、快速总结
- 要不要证书?
- 能用 https:要(自带自签名),不用你弄,浏览器会告警。
- 要安全锁不告警:要可信证书,需导入。
- 证书从哪来?
- 测试 / 内网:直接用自带,或自己生成自签名。
- 正式 / 域:内网 CA 或公网 CA 申请。
- 最简做法(你现在就能做)
- 改
applicationContext.xml开启 https。 - 访问
https://IP:8443/imc,高级→继续访问(不安全),即可登录。
- 改
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论