1.3.2  HTTPS配置举例

1. 组网需求

用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备，提高设备管理的安全性，设备要求用户能够以HTTPS（HTTP Security，支持SSL协议的HTTP）的方式登录Web页面，利用SSL协议实现服务器身份验证，并保证传输的数据不被窃听和篡改。

为了满足上述需求，需要配置Device作为HTTPS服务器，并为Device申请证书。其中，负责为Device和Host颁发证书的CA（Certificate Authority，认证机构）名称为CA server。

图1-9 HTTPS配置组网图

2. 配置步骤

# 配置PKI实体en。

l              在导航栏中选择“VPN > PKI > PKI实体”，单击<新建>按钮，进行如下配置，如图1-10所示。

图1-10 配置PKI实体en

l              输入PKI实体名称为“en”。

l              输入通用名为“http-server1”。

l              输入FQDN为“ssl.security.com”。

l              单击<确定>按钮完成操作。

# 配置PKI域1。

l              在导航栏中选择“VPN > PKI > PKI域”，进行如下配置，如图1-11所示。

图1-11 配置PKI域1

l              输入PKI域名称为“1”。

l              输入CA标识符为“CA server”。

l              选择本端实体为“en”。

l              选择注册机构为“RA”。

l              输入证书申请URL为“http://10.1.2.2/certsrv/mscep/mscep.dll”。

l              单击<确定>按钮，弹出的对话框提示“未指定根证书指纹，在获取CA证书时将不对根证书指纹进行验证”，再次单击<确定>按钮完成操作。

# 生成RSA密钥对。

l              在导航栏中选择“VPN > PKI > 证书”，单击<创建密钥>按钮，进行如下配置，如图1-12所示。

图1-12 生成RSA密钥对

l              单击<确定>按钮开始生成RSA密钥对。

# 获取CA证书至本地。

l              生成密钥对成功后，在导航栏中选择“VPN > PKI > 证书”，单击<获取证书>按钮，进行如下配置，如图1-13所示。

图1-13 获取CA证书至本地

l              选择PKI域为“1”。

l              选择证书类型为“CA”。

l              单击<确定>按钮开始获取CA证书。

# 申请本地证书。

l              获取CA证书成功后，在导航栏中选择“VPN > PKI > 证书”，单击<申请证书>按钮，进行如下配置，如图1-14所示。

图1-14 申请本地证书

l              选择PKI域为“1”。

l              单击<确定>按钮开始申请本地证书，弹出“证书申请已提交”的提示框，单击<确定>安全完成操作。

# 启用HTTPS服务，并配置其与PKI域1关联。

l              在导航栏中选择“设备管理 > 服务管理”，进行如下配置，如图1-15所示。

图1-15 配置HTTPS服务

l              选中“启用HTTPS服务”前的复选框。

l              选择PKI域为“1”。

l              单击<确定>按钮完成操作。

# 新建本地用户usera，密码为123，服务类型为Telnet。

l              在导航栏中选择“用户管理 > 本地用户”，单击<新建>按钮，进行如下配置，如图1-16所示。

图1-16 新建本地用户usera

l              输入用户名为“usera”。

l              选择访问等级为“Configure”。

l              选择服务类型为“Telnet”。

l              输入密码为“123”，输入确认密码为“123”。

l              单击<确定>按钮完成操作。

3. 配置结果验证

在Host上打开IE浏览器，输入网址“https://10.1.1.1”，即可打开Device的Web登录页面。在登录页面输入用户名usera、密码123和验证码，单击<登录>按钮，即可进入Device的Web配置页面，实现对Device的访问和控制。