举例:通过HTTPS登录Web界面(指定证书)

组网图形

图1 通过HTTPS(指定证书)登录Web界面组网图

  • 组网需求
  • 数据规划
  • 配置思路
  • 操作步骤
  • 检查配置结果
  • 配置脚本

组网需求

图1所示,为DeviceA配置一个本地帐号admin123,允许该帐号可以通过HTTPS登录到Web界面。

本例中interface1代表Vlanif10。

数据规划

项目 数据
用户名 admin123
密码 YsHsjx_202206
服务类型 HTTPS
用户级别 3
指定证书 cep_local.cer

配置思路

  1. 配置证书,用于用户登录认证。
  2. 配置设备登录接口。
  3. 创建本地用户帐号,用于Web登录设备。
  4. 开启设备的Web服务功能。
  5. 管理员使用本地用户帐号和密码登录Web界面。

操作步骤

  1. 配置证书。
    1. 在DeviceA生成证书请求文件,然后通过Web、磁盘、电子邮件等方式将证书申请文件发送给CA服务器申请证书。完成申请后,CA服务器会生成证书。用户可以通过HTTP、LDAP或者其他方式,从CA服务器下载CA证书和本地证书到DeviceA,并完成安装使之生效。具体的配置过程请参见《配置指南-安全配置》中的“PKI配置”

      本地证书中Subject Alternative Name字段的地址必须与设备Web界面的登录IP地址保持一致,如果通过域名访问设备Web界面,则Subject Alternative Name字段需要填写为域名。

      假设安装到设备的CA证书和本地证书的名称分别为“cep_ca.cer”和“cep_local.cer”。

    2. 获取向设备颁发证书的CA服务器的CA证书并导入到管理员PC(客户端)的浏览器。

      不将CA证书导入浏览器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的合法性,容易受到攻击。

    3. 配置客户端通过HTTPS登录设备时,设备向客户端发送的证书。
      <HUAWEI> system-view 
      [HUAWEI] sysname DeviceA
      [DeviceA] web-manager security server-certificate cep_local.cer
  2. 配置所有接口都可用于访问Web界面。
    [DeviceA] web-manager server-source all-interface
  3. 配置设备登录接口。
    1. 配置接口的IP地址。
      [DeviceA] interface vlanif 10 
      [DeviceA-Vlanif10] ip address 10.3.0.1 255.255.255.0
      [DeviceA-Vlanif10] quit
  4. 创建Web用户帐号。
    [DeviceA] aaa
    [DeviceA-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206
    [DeviceA-aaa] local-user admin123 service-type http
    [DeviceA-aaa] local-user admin123 privilege level 3
    [DeviceA-aaa] quit
  5. 开启Web服务功能。
    1. 开启HTTPS服务。
      [DeviceA] web-manager enable port 8443
    2. 配置HTTP协议强制跳转为HTTPS协议。
      [DeviceA] web-manager http forward enable

      开启该功能后,如果使用HTTP协议访问Web界面,设备会自动使用安全性更高的HTTPS协议进入Web界面。

  6. 配置管理员登录Web界面。
    1. 配置管理员PC的IP地址为10.3.0.10/24。
    2. PC中打开网络浏览器,输入需要登录设备的IP地址“https://10.3.0.1:8443”。
    3. 在登录界面中输入管理员的用户名“admin123”和密码“YsHsjx_202206”,单击“登录”

检查配置结果

管理员通过Web浏览器访问设备的Web界面,输入用户名和密码后,检查是否成功登录设备Web界面。

配置脚本

#                                                                               
sysname DeviceA           
#
web-manager server-source all-interface
web-manager enable port 8443
web-manager http forward enable
web-manager security server-certificate cep_local.cer
#                             
interface Vlanif10
 ip address 10.3.0.1 255.255.255.0   
#   
aaa                         
 local-user admin123 password irreversible-cipher $1d$OwseVRh@LH}ZeTBm$1nH4$ab>d(N{-%0!ab48y=Ic*xEUR4pVhR2"9-~,$
 local-user admin123 service-type http
 local-user admin123 privilege level 3
#
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2802.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
打赏
海报
举例:通过HTTPS登录Web界面(指定证书)
组网图形 图1 通过HTTPS(指定证书)登录Web界面组网图 组网需求 数据规划 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,为DeviceA配置一个本地帐号admin123,允许该帐号可以通过HTTPS登录到Web界面。 本例中interface1代表Vlanif10。 数据规划 项目 数据 用户名 admin123 密码 YsHsjx_202206 服务类型 HTTPS 用户级别 3 指定证书 cep_local.cer 配置思路 配置证书,用于用户登录认证。 配置设备登录接口。 创建本地用户帐号,用于Web登录设备。 开启设备的Web服务功能。 管理员使用本地用户帐号和密码登录Web界面。 操作步骤 配置证书。 在DeviceA生成证书请求文件,然后通过Web、磁盘、电子邮件等方式将证书申请文件发送给CA服务器申请证书。完成申请后,CA服务器会生成证书。用户可以通过HTTP、LDAP或者其他方式,从CA服务器下载CA证书和本地证书到DeviceA,并完成安装使之生效。具体的配置过程请参见《配置指南-安全配置》中的“PKI配置”。 本地证书中Subject Alternative Name字段的地址必须与设备Web界面的登录IP地址保持一致,如果通过域名访问设备Web界面,则Subject Alternative Name字段需要填写为域名。 假设安装到设备的CA证书和本地证书的名称分别为“cep_ca.cer”和“cep_local.cer”。 获取向设备颁发证书的CA服务器的CA证书并导入到管理员PC(客户端)的浏览器。 不将CA证书导入浏览器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的合法性,容易受到攻击。 配置客户端通过HTTPS登录设备时,设备向客户端发送的证书。 <HUAWEI> system-view [HUAWEI] sysname DeviceA [DeviceA] web-manager security server-certificate cep_local.cer 配置所有接口都可用于访问Web界面。 [DeviceA] ……
<<上一篇
下一篇>>