配置用户通过Web网管登录设备(安全登录方式)示例
组网需求
如图2-10所示,设备作为HTTPS服务器(以HTTPS IPv4服务器为例),与用户PC之间路由可达。HTTPS服务器的管理IP地址为192.168.0.1/24。
用户希望通过Web网管对设备进行管理与维护且对安全性要求较高,并且用户已经从CA处获得了服务器数字证书(1_servercert_pem_dsa.pem)和私钥文件(1_serverkey_pem_dsa.pem)。
配置思路
此处以加载独立的Web网页文件举例。
采用如下思路进行配置:
为了实现此需求,需要先将必要的文件上传至服务器。这些文件包括:Web网页文件、服务器数字证书、私钥文件。为保证安全性,采用SFTP的方式上传文件。
加载Web网页文件及数字证书文件。
绑定SSL策略并开启HTTPS服务。
- 配置Web用户并进入Web网管登录界面。
操作步骤
- 通过SFTP上传文件至设备
# 在服务器端生成本地密钥对,并使能SFTP服务器功能。
<HUAWEI> system-view [HUAWEI] sysname HTTPS-Server [HTTPS-Server] dsa local-key-pair create Info: The key name will be: HTTPS-Server_Host_DSA. Info: The key modulus can be any one of the following : 1024, 2048. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=2048]:2048 Info: Generating keys... Info: Succeeded in creating the DSA host keys. [HTTPS-Server] sftp server enable
# 在服务器端配置VTY用户界面。
[HTTPS-Server] user-interface vty 0 4 [HTTPS-Server-ui-vty0-4] authentication-mode aaa [HTTPS-Server-ui-vty0-4] protocol inbound ssh [HTTPS-Server-ui-vty0-4] quit
# 配置SSH用户,包括认证方式、服务类型、授权目录以及密码、级别和接入类型。
[HTTPS-Server] ssh user client001 authentication-type password [HTTPS-Server] ssh user client001 service-type sftp [HTTPS-Server] ssh user client001 sftp-directory cfcard: [HTTPS-Server] aaa [HTTPS-Server-aaa] local-user client001 password irreversible-cipher Helloworld@6789 [HTTPS-Server-aaa] local-user client001 privilege level 15 [HTTPS-Server-aaa] local-user client001 service-type ssh [HTTPS-Server-aaa] quit [HTTPS-Server] quit
# 从终端通过SFTP访问HTTPS服务器并将数字证书和Web网页文件上传到服务器。
从终端通过SFTP访问设备,需要在终端上安装SSH客户端软件。此处以使用第三方软件OpenSSH和Windows命令行提示符为例进行配置。
说明:
- 请使用与当前终端操作系统相匹配的OpenSSH版本,否则可能会导致通过SFTP方式访问交换机失败。
OpenSSH软件的安装请参考该软件的安装说明。
使用OpenSSH软件从终端访问设备时,需要使用OpenSSH的命令,命令的使用可以参见该软件的帮助文档。
只有安装了OpenSSH软件后,Windows命令行提示符才能识别OpenSSH相关命令。
进入Windows的命令行提示符,执行命令sftp client001@192.168.0.1,此时用户进入了SFTP服务器的工作目录,可以通过SFTP方式访问设备。(以下显示信息仅为示意)
C:\Documents and Settings\Administrator> sftp client001@192.168.0.1 Connecting to 192.168.0.1... The authenticity of host '192.168.0.1 (192.168.0.1)' can't be established. DSA key fingerprint is 46:b2:8a:52:88:42:41:d4:af:8f:4a:41:d9:b8:4f:ee. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.0.1' (DSA) to the list of known hosts. User Authentication Password: sftp>
在用户终端将数字证书和Web网页文件上传到服务器上。
sftp> put web.7z Uploading web.7z to /web.7z web.7z 100% 1308478 4.6KB/s 00:11
sftp> put 1_servercert_pem_dsa.pem Uploading 1_servercert_pem_dsa.pem to /1_servercert_pem_dsa.pem 1_servercert_pem_dsa.pem 100% 1302 4.6KB/s 00:02
sftp> put 1_serverkey_pem_dsa.pem Uploading 1_serverkey_pem_dsa.pem to /1_serverkey_pem_dsa.pem 1_serverkey_pem_dsa.pem 100% 951 4.6KB/s 00:01
# 在设备上执行命令dir,可查看当前存储目录下是否存在数字证书和Web网页文件。说明:
如果设备存储目录下的数字证书和Web网页文件与服务器上的大小不一致,可能是在传输过程中出现异常,请重新传输。
# 在服务器上创建security子目录,并将数字证书文件及密钥文件拷贝到security子目录。
<HTTPS-Server> mkdir security <HTTPS-Server> copy 1_servercert_pem_dsa.pem security <HTTPS-Server> copy 1_serverkey_pem_dsa.pem security
# 上述步骤成功执行后,在security子目录下执行命令dir,可看到拷贝成功的数字证书。
<HTTPS-Server> cd security <HTTPS-Server> dir Directory of cfcard:/security/ Idx Attr Size(Byte) Date Time FileName 0 -rw- 1,302 Apr 13 2011 14:29:31 1_servercert_pem_dsa.pem 1 -rw- 951 Apr 13 2011 14:29:49 1_serverkey_pem_dsa.pem 509,256 KB total (52,750 KB free)
- 加载Web网页文件及数字证书文件
# 加载Web网页文件。
<HTTPS-Server> system-view [HTTPS-Server] http server load web.7z
# 创建SSL策略,并加载PEM格式的数字证书。
[HTTPS-Server] ssl policy http_server [HTTPS-Server-ssl-policy-http_server] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher 123456 [HTTPS-Server-ssl-policy-http_server] quit
# 上述步骤成功配置后,在HTTPS服务器上执行命令display ssl policy,可以看到加载的数字证书详细信息。
[HTTPS-Server] display ssl policy SSL Policy Name: http_server Policy Applicants: Config-Webs Key-pair Type: DSA Certificate File Type: PEM Certificate Type: certificate Certificate Filename: 1_servercert_pem_dsa.pem Key-file Filename: 1_serverkey_pem_dsa.pem Auth-code: ****** MAC: CRL File: Trusted-CA File: Issuer Name: Validity Not Before: Validity Not After:
- 绑定SSL策略并开启HTTPS服务
# 绑定SSL策略。
[HTTPS-Server] http secure-server ssl-policy http_server
# 开启HTTPS服务。
[HTTPS-Server] http secure-server enable
- 配置Web用户并进入Web网管界面
# 配置Web用户。
[HTTPS-Server] aaa [HTTPS-Server-aaa] local-user admin password irreversible-cipher Helloworld@6789 [HTTPS-Server-aaa] local-user admin privilege level 15 [HTTPS-Server-aaa] local-user admin service-type http [HTTPS-Server-aaa] quit
说明:
配置Web用户之前,用户可以在aaa视图下执行命令display this查看本地用户的用户名。配置Web用户时请注意不要与已存在的本地用户名冲突,否则新的Web用户会覆盖已经存在的本地用户。
# 进入Web网管登录界面。
在PC上打开浏览器,在地址栏中输入“https://192.168.0.1”,进入Web网管登录界面,如图2-11所示。
输入Web用户名和密码,单击GO或直接按回车键即可进入Web网管系统主页面。
- 检查配置结果
配置完成后,用户可以通过Web网管成功登录到设备。
在设备上执行命令display http server,可以看到SSL策略名称、HTTPS服务器的状态。
[HTTPS-Server] display http server HTTP Server Status : enabled HTTP Server Port : 80(80) HTTP Timeout Interval : 20 Current Online Users : 1 Maximum Users Allowed : 5 HTTP Secure-server Status : enabled HTTP Secure-server Port : 443(443) HTTP SSL Policy : http_server HTTP IPv6 Server Status : disabled HTTP IPv6 Server Port : 80(80) HTTP IPv6 Secure-server Status : disabled HTTP IPv6 Secure-server Port : 443(443) HTTP server source address : 0.0.0.0
配置文件
HTTPS-Server的配置文件
# sysname HTTPS-Server # http server load web.7z http secure-server ssl-policy http_server # aaa local-user admin password irreversible-cipher $1a$#R!d3>ji-.u1+N2gSK>3&2P1AM6jfU:"x/3g[5U,lvqP+sf=70+%^E7,,SF7$ local-user admin privilege level 15 local-user admin service-type http local-user client001 password irreversible-cipher $1a$L@[C7B11%"H&\fS;qETS`zGI#RyJ%+A2KzP'.k[0tQ{=Cq5s43s&f^L\In6K$ local-user client001 privilege level 15 local-user client001 service-type ssh # sftp server enable ssh user client001 ssh user client001 authentication-type password ssh user client001 service-type sftp ssh user client001 sftp-directory cfcard: # user-interface vty 0 4 authentication-mode aaa # ssl policy http_server certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher %^%#0|:yF=]P~Afis516)rO,3Yu<@/3e] KFg.q@LG50%%^%# # return