如何消除浏览器https访问H3C交换机web页面的不安全提示？

方法较为复杂。

参考：

03-登录设备配置-新华三集团-H3C

4. 配置准备

在进行下面的配置之前，请完成如下准备工作：

·     确保Host已经获取并安装了能够校验Device上本地证书合法性的CA证书，并且保证Host通过本地证书主题备用名称中的域名访问Device时，该域名可以被成功解析为能够登录设备Web页面的IP地址。

·     已通过FTP或者TFTP协议将CA证书文件、本地证书文件（含有密钥对）上传到Device的文件系统中，有关FTP或者TFTP协议的详细说明，请参考“基础配置指导”中的“FTP和TFTP”。

·     由于导入含有密钥对的本地证书时，需要输入口令，确保已联系CA服务器管理员取得了口令。

5. 配置步骤

(1)     配置PKI域

# 创建并进入PKI域aaa。

<Device> system-view

[Device] pki domain aaa

# 关闭CRL检查。（是否进行CRL检查，请以实际的使用需求为准，此处仅为示例）

[Device-pki-domain-aaa] undo crl check enable

# 在PKI域aaa中指定证书关联使用的密钥对为abc，密钥用途为通用。

[Device-pki-domain-aaa] public-key rsa general name abc

[Device-pki-domain-aaa] quit

(2)     导入CA和本地证书文件

# 向PKI域中导入CA证书，证书文件格式为PEM编码，证书文件名称为ca.pem（请以实际的CA证书名为准，此处仅为示例）。

[Device] pki import domain aaa pem ca filename ca.pem

# 向PKI域中导入含有密钥对的PEM格式的本地证书，证书文件名称为***.***.cert.pem，并输入从CA服务器管理员处获得的口令。

[Device] pki import domain aaa pem local filename ***.***.cert.pem

Please input the password:******

(3)     配置SSL服务器端策略和HTTPS服务

# 创建SSL服务器端策略myssl，指定该策略使用PKI域aaa。

[Device] ssl server-policy myssl

[Device-ssl-server-policy-myssl] pki-domain aaa

[Device-ssl-server-policy-myssl] quit

# 配置HTTPS服务与SSL服务器端策略myssl关联。

[Device] ip https ssl-server-policy myssl

# 开启HTTPS服务。

[Device] ip https enable

# 创建本地用户usera，密码为hello12345，服务类型为https，用户角色为network-admin。

[Device] local-user usera

[Device-luser-usera] password simple hello12345

[Device-luser-usera] service-type https

[Device-luser-usera] authorization-attribute user-role network-admin

6. 验证配置结果

在Host上打开IE浏览器，输入Device的Web页面的域名地址，即可打开Device的Web登录页面。在登录页面，输入用户名usera，密码hello12345，则可进入Device的Web配置页面，实现对Device的访问和控制。