所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S7900, S9700 V200R012(C00&C10) 配置指南(Web网管)

本文档介绍了如何通过Web网管客户端配置和维护设备,主要包括设备状态统计、SVF配置、接口配置、以太网交换配置、IP业务配置、IP路由配置、安全配置、ACL管理、AAA配置、系统管理配置、QoS管理、WLAN配置、诊断业务配置、EasyDeploy配置等。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置SSL策略并加载数字证书文件

配置SSL策略并加载数字证书文件

背景信息

为了保证安全性,用户可以从CA(Certificate Authority)处重新获取官方受信的服务器数字证书文件和私钥文件,然后手动配置SSL策略。这种方式具有更高的安全性。

设备可以加载PEM、ASN1和PFX三种格式的数字证书文件。不同格式的数字证书文件的内容是一样的。
  • PEM是最常用的一种数字证书格式,文件的扩展名是.pem,适用于系统之间的文本模式传输。
  • ASN1是通用的数字证书格式之一,文件的扩展名是.der,是大多数浏览器的默认格式。
  • PFX是通用的数字证书格式之一,文件的扩展名是.pfx,是可移植的二进制格式,可以转换为PEM或ASN1格式。

操作步骤

  1. 上传服务器数字证书文件和私钥文件

    可通过SFTP等方式上传服务器数字证书文件和私钥文件,且要保存至security目录。如果设备上没有security目录,可以通过命令mkdir security创建。文件上传的具体操作过程请参见管理本地文件。

    说明:

    上传完成后,请在用户视图下执行命令dir,对比上传到设备的服务器数字证书文件和私钥文件大小是否与文件服务器上的一致。如果不一致,可能是在文件上传过程中出现异常,请重新上传。

  2. 配置SSL策略并加载数字证书文件
    1. 执行命令system-view,进入系统视图。
    2. (可选)定制SSL算法套。

      1. 执行命令ssl cipher-suite-list customization-policy-name,创建SSL算法套定制策略并进入定制策略视图,如果已存在同名的SSL算法套定制策略,则进入该SSL算法套定制策略视图。

        缺省情况下,没有配置SSL算法套定制策略。

        为了提升设备安全性,缺省情况下,设备只支持安全算法。但为了提高兼容性,设备支持算法套定制功能。用户可根据需求通过该命令定制算法套。

      2. 执行命令set cipher-suite { tls1_ck_rsa_with_aes_256_sha | tls1_ck_rsa_with_aes_128_sha | tls1_ck_rsa_rc4_128_sha | tls1_ck_dhe_rsa_with_aes_256_sha | tls1_ck_dhe_dss_with_aes_256_sha | tls1_ck_dhe_rsa_with_aes_128_sha | tls1_ck_dhe_dss_with_aes_128_sha | tls12_ck_rsa_aes_256_cbc_sha256 },配置SSL算法套定制策略中支持的算法套。

        缺省情况下,SSL算法套定制策略中没有配置算法套。

        配置算法套定制策略中支持的算法套后,SSL协商时将使用定制策略中配置的策略进行协商。

        如果算法套定制策略已经被SSL策略引用,可以对算法套进行增加、修改和部分删除,但不能将算法套定制策略中的算法套全部删除。

      3. 执行命令quit,退出SSL算法套定制策略视图,返回系统视图。

    3. 执行命令ssl policy policy-name,创建SSL策略并进入SSL策略视图。
    4. (可选)执行命令ssl minimum version { ssl3.0 | tls1.0 | tls1.1 | tls1.2 }设置SSL策略所采用的最低SSL版本。

      缺省情况下,SSL策略所采用的最低SSL版本为TLS1.1。

    5. (可选)执行命令binding cipher-suite-customization customization-policy-name,在SSL策略中绑定指定的SSL算法套定制策略。

      缺省情况下,SSL策略未绑定算法套定制策略,使用默认的算法套。SSL策略默认支持如下算法套:

      • tls1_ck_rsa_with_aes_256_sha
      • tls1_ck_rsa_with_aes_128_sha
      • tls1_ck_dhe_rsa_with_aes_256_sha
      • tls1_ck_dhe_dss_with_aes_256_sha
      • tls1_ck_dhe_rsa_with_aes_128_sha
      • tls1_ck_dhe_dss_with_aes_128_sha
      • tls12_ck_rsa_aes_256_cbc_sha256

      配置算法套定制策略中支持的算法套,SSL协商时将使用定制策略中配置的策略进行协商。

      绑定算法套定制策略时,指定的算法套策略中需存在算法套。

      绑定的SSL算法套定制策略中如果仅有一种类型的算法(RSA或DSS),SSL策略需要加载对应类型的证书,确保SSL协商时能成功。

    6. 加载数字证书并指定私钥文件。

      一个SSL策略只能加载一个证书或者证书链(证书链是指从终端实体证书到根证书的一系列可信任证书构成的证书序列)。如果已经加载了证书或者证书链,加载新证书或者证书链之前必须先执行命令undo certificate load卸载旧证书或者证书链。请根据证书类型,选择相应的配置。

      说明:

      配置SSL策略加载证书或证书链时,证书或证书链中密钥对长度最大为2048位。如果该长度超过2048位,证书文件或证书链文件将无法上传到设备中使用。

      • 加载PEM格式的数字证书或证书链。根据用户从CA处获取的是数字证书还是证书链,以下两条命令选择一条执行。
        • 执行命令certificate load pem-cert cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code,加载PEM格式的数字证书并指定私钥文件。
        • 执行命令certificate load pem-chain cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code,加载PEM格式的证书链并指定私钥文件。

      • 执行命令certificate load asn1-cert cert-filename key-pair { dsa | rsa } key-file key-filename,加载ASN1格式的数字证书并指定私钥文件。
      • 执行命令certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code,加载PFX格式的数字证书并指定私钥文件。
      说明:

      从V200R002及之后版本降级至以前版本时,需要先备份当前配置中加载的SSL私钥文件。

翻译
下载文档
更新时间:2018-09-04

文档编号:EDOC1100038911

浏览量:4967

下载量:496

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页