举例:通过HTTPS登录Web界面(指定证书)
操作步骤
- 配置证书。
- 在DeviceA生成证书请求文件,然后通过Web、磁盘、电子邮件等方式将证书申请文件发送给CA服务器申请证书。完成申请后,CA服务器会生成证书。用户可以通过HTTP、LDAP或者其他方式,从CA服务器下载CA证书和本地证书到DeviceA,并完成安装使之生效。具体的配置过程请参见《配置指南-安全配置》中的“PKI配置”。
本地证书中Subject Alternative Name字段的地址必须与设备Web界面的登录IP地址保持一致,如果通过域名访问设备Web界面,则Subject Alternative Name字段需要填写为域名。
假设安装到设备的CA证书和本地证书的名称分别为“cep_ca.cer”和“cep_local.cer”。
- 获取向设备颁发证书的CA服务器的CA证书并导入到管理员PC(客户端)的浏览器。
不将CA证书导入浏览器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的合法性,容易受到攻击。
- 在DeviceA生成证书请求文件,然后通过Web、磁盘、电子邮件等方式将证书申请文件发送给CA服务器申请证书。完成申请后,CA服务器会生成证书。用户可以通过HTTP、LDAP或者其他方式,从CA服务器下载CA证书和本地证书到DeviceA,并完成安装使之生效。具体的配置过程请参见《配置指南-安全配置》中的“PKI配置”。
- 配置所有接口都可用于访问Web界面。
[DeviceA] web-manager server-source all-interface
- 配置设备登录接口。
- 创建Web用户帐号。
[DeviceA] aaa [DeviceA-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 [DeviceA-aaa] local-user admin123 service-type http [DeviceA-aaa] local-user admin123 privilege level 3 [DeviceA-aaa] quit
- 开启Web服务功能。
- 配置管理员登录Web界面。
- 配置管理员PC的IP地址为10.3.0.10/24。
- PC中打开网络浏览器,输入需要登录设备的IP地址“https://10.3.0.1:8443”。
- 在登录界面中输入管理员的用户名“admin123”和密码“YsHsjx_202206”,单击“登录”。
配置脚本
#
sysname DeviceA
#
web-manager server-source all-interface
web-manager enable port 8443
web-manager http forward enable
web-manager security server-certificate cep_local.cer
#
interface Vlanif10
ip address 10.3.0.1 255.255.255.0
#
aaa
local-user admin123 password irreversible-cipher $1d$OwseVRh@LH}ZeTBm$1nH4$ab>d(N{-%0!ab48y=Ic*xEUR4pVhR2"9-~,$
local-user admin123 service-type http
local-user admin123 privilege level 3
#
return
阅读剩余
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2802.html
文章版权归作者所有,未经允许请勿转载。
THE END
