操作步骤

1. 通过SFTP上传文件至设备

   # 在服务器端生成本地密钥对，并使能SFTP服务器功能。

   <HUAWEI> system-view
   [HUAWEI] sysname HTTPS-Server
   [HTTPS-Server] dsa local-key-pair create
   Info: The key name will be: HTTPS-Server_Host_DSA.
   Info: The key modulus can be any one of the following : 1024, 2048.
   Info: If the key modulus is greater than 512, it may take a few minutes.
   Please input the modulus [default=2048]:2048
   Info: Generating keys...
   Info: Succeeded in creating the DSA host keys. 
   [HTTPS-Server] sftp server enable

   # 在服务器端配置VTY用户界面。

   [HTTPS-Server] user-interface vty 0 4
   [HTTPS-Server-ui-vty0-4] authentication-mode aaa
   [HTTPS-Server-ui-vty0-4] protocol inbound ssh
   [HTTPS-Server-ui-vty0-4] quit

   # 配置SSH用户，包括认证方式、服务类型、授权目录以及密码、级别和接入类型。

   [HTTPS-Server] ssh user client001 authentication-type password
   [HTTPS-Server] ssh user client001 service-type sftp
   [HTTPS-Server] ssh user client001 sftp-directory cfcard:
   [HTTPS-Server] aaa
   [HTTPS-Server-aaa] local-user client001 password irreversible-cipher Helloworld@6789
   [HTTPS-Server-aaa] local-user client001 privilege level 15
   [HTTPS-Server-aaa] local-user client001 service-type ssh
   [HTTPS-Server-aaa] quit
   [HTTPS-Server] quit

   # 从终端通过SFTP访问HTTPS服务器并将数字证书和Web网页文件上传到服务器。

   从终端通过SFTP访问设备，需要在终端上安装SSH客户端软件。此处以使用第三方软件OpenSSH和Windows命令行提示符为例进行配置。

   说明：

   • 请使用与当前终端操作系统相匹配的OpenSSH版本，否则可能会导致通过SFTP方式访问交换机失败。

   • OpenSSH软件的安装请参考该软件的安装说明。

   • 使用OpenSSH软件从终端访问设备时，需要使用OpenSSH的命令，命令的使用可以参见该软件的帮助文档。

   • 只有安装了OpenSSH软件后，Windows命令行提示符才能识别OpenSSH相关命令。

   进入Windows的命令行提示符，执行命令sftp client001@192.168.0.1，此时用户进入了SFTP服务器的工作目录，可以通过SFTP方式访问设备。（以下显示信息仅为示意）

   C:\Documents and Settings\Administrator> sftp client001@192.168.0.1
   Connecting to 192.168.0.1...
   The authenticity of host '192.168.0.1 (192.168.0.1)' can't be established.
   DSA key fingerprint is 46:b2:8a:52:88:42:41:d4:af:8f:4a:41:d9:b8:4f:ee.
   Are you sure you want to continue connecting (yes/no)? yes
   Warning: Permanently added '192.168.0.1' (DSA) to the list of known hosts.
   User Authentication
   Password:
   sftp>

   在用户终端将数字证书和Web网页文件上传到服务器上。

   sftp> put web.7z
   Uploading web.7z to /web.7z 
   web.7z                              100%   1308478   4.6KB/s   00:11

   sftp> put 1_servercert_pem_dsa.pem
   Uploading 1_servercert_pem_dsa.pem to /1_servercert_pem_dsa.pem 
   1_servercert_pem_dsa.pem            100%   1302      4.6KB/s   00:02
   

   sftp> put 1_serverkey_pem_dsa.pem
   Uploading 1_serverkey_pem_dsa.pem to /1_serverkey_pem_dsa.pem 
   1_serverkey_pem_dsa.pem             100%   951       4.6KB/s   00:01

   # 在设备上执行命令dir，可查看当前存储目录下是否存在数字证书和Web网页文件。

   说明：

   如果设备存储目录下的数字证书和Web网页文件与服务器上的大小不一致，可能是在传输过程中出现异常，请重新传输。

   # 在服务器上创建security子目录，并将数字证书文件及密钥文件拷贝到security子目录。

   <HTTPS-Server> mkdir security
   <HTTPS-Server> copy 1_servercert_pem_dsa.pem security
   <HTTPS-Server> copy 1_serverkey_pem_dsa.pem security

   # 上述步骤成功执行后，在security子目录下执行命令dir，可看到拷贝成功的数字证书。

   <HTTPS-Server> cd security
   <HTTPS-Server> dir
   Directory of cfcard:/security/
   
     Idx  Attr     Size(Byte)  Date        Time       FileName
       0  -rw-          1,302  Apr 13 2011 14:29:31   1_servercert_pem_dsa.pem
       1  -rw-            951  Apr 13 2011 14:29:49   1_serverkey_pem_dsa.pem
   
   509,256 KB total (52,750 KB free)

2. 加载Web网页文件及数字证书文件

   # 加载Web网页文件。

   <HTTPS-Server> system-view
   [HTTPS-Server] http server load web.7z

   # 创建SSL策略，并加载PEM格式的数字证书。

   [HTTPS-Server] ssl policy http_server
   [HTTPS-Server-ssl-policy-http_server] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher 123456
   [HTTPS-Server-ssl-policy-http_server] quit

   # 上述步骤成功配置后，在HTTPS服务器上执行命令display ssl policy，可以看到加载的数字证书详细信息。

   [HTTPS-Server] display ssl policy
   
          SSL Policy Name: http_server
        Policy Applicants: Config-Webs
            Key-pair Type: DSA
    Certificate File Type: PEM
         Certificate Type: certificate
     Certificate Filename: 1_servercert_pem_dsa.pem
        Key-file Filename: 1_serverkey_pem_dsa.pem
                Auth-code: ******
                      MAC:
                 CRL File:
          Trusted-CA File:
              Issuer Name:
      Validity Not Before:
       Validity Not After:

3. 绑定SSL策略并开启HTTPS服务

   # 绑定SSL策略。

   [HTTPS-Server] http secure-server ssl-policy http_server

   # 开启HTTPS服务。

   [HTTPS-Server] http secure-server enable

4. 配置Web用户并进入Web网管界面

   # 配置Web用户。

   [HTTPS-Server] aaa
   [HTTPS-Server-aaa] local-user admin password irreversible-cipher Helloworld@6789
   [HTTPS-Server-aaa] local-user admin privilege level 15
   [HTTPS-Server-aaa] local-user admin service-type http
   [HTTPS-Server-aaa] quit

   说明：

   配置Web用户之前，用户可以在aaa视图下执行命令display this查看本地用户的用户名。配置Web用户时请注意不要与已存在的本地用户名冲突，否则新的Web用户会覆盖已经存在的本地用户。

   # 进入Web网管登录界面。

   在PC上打开浏览器，在地址栏中输入“https://192.168.0.1”，进入Web网管登录界面，如图2-11所示。

   输入Web用户名和密码，单击GO或直接按回车键即可进入Web网管系统主页面。

   图2-11  Web网管登录界面示意图
   
   

5. 检查配置结果

   配置完成后，用户可以通过Web网管成功登录到设备。

   在设备上执行命令display http server，可以看到SSL策略名称、HTTPS服务器的状态。

   [HTTPS-Server] display http server
      HTTP Server Status              : enabled
      HTTP Server Port                : 80(80)
      HTTP Timeout Interval           : 20
      Current Online Users            : 1
      Maximum Users Allowed           : 5
      HTTP Secure-server Status       : enabled
      HTTP Secure-server Port         : 443(443)
      HTTP SSL Policy                 : http_server
      HTTP IPv6 Server Status         : disabled
      HTTP IPv6 Server Port           : 80(80)
      HTTP IPv6 Secure-server Status  : disabled
      HTTP IPv6 Secure-server Port    : 443(443)
      HTTP server source address      : 0.0.0.0