通过Web网管登录设备简介
定义
Web网管是一种对设备的管理方式,它利用设备内置的Web服务器,为用户提供图形化的操作界面。用户需要从终端通过HTTPS登录到设备,才能利用Web网管对设备进行管理和维护。
目的
用户对设备的管理方式有命令行方式和Web网管方式两种。命令行方式需要用户使用设备提供的命令行对设备进行管理与维护,此方式可实现对设备的精细化管理,但是要求用户熟悉命令行;Web网管方式通过图形化的操作界面,实现对设备直观方便地管理与维护,但是此方式仅可实现对设备部分功能的管理与维护。用户可以根据实际需求,合理选择管理方式。
如果选择命令行方式,用户需要通过Console口、Telnet或STelnet方式登录设备;如果选择Web网管方式,用户需要通过HTTPS登录到设备。
通过Console口、Telnet或STelnet方式登录设备的详细配置,请参见登录设备命令行界面。
相关概念
HTTP
HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称,它用来在Internet上传递Web网页文件信息。HTTP位于TCP/IP协议栈的应用层,传输层采用面向连接的TCP。HTTP存在安全风险,目前设备仅支持通过安全HTTP(即HTTPS)登录Web网管,不支持通过HTTP登录Web网管。
HTTPS
HTTPS是Secure HTTP的简称,即安全HTTP。HTTPS通过安全套接层协议SSL(Secure Sockets Layer),使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。
SSL策略
在配置HTTPS之前,需要在设备上部署SSL策略,并加载相应的数字证书。SSL策略是指设备启动时使用的SSL参数。只有与应用层协议(如HTTP协议)关联后,SSL策略才能生效。
数字证书
数字证书是由CA签发的一个声明,证明证书主体(证书申请者拥有了证书后即成为证书主体)与证书中所包含的公钥的惟一对应关系。数字证书中包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容。数字证书使网上通信双方的身份得到了互相验证,提高了通信的可靠性。
设备可以加载PEM、ASN1和PFX三种格式的数字证书文件。不同格式的数字证书文件的内容是一样的。
- PEM是最常用的一种数字证书格式,文件的扩展名是.pem,适用于系统之间的文本模式传输。
- ASN1是通用的数字证书格式之一,文件的扩展名是.der,是大多数浏览器的默认格式。
- PFX是通用的数字证书格式之一,文件的扩展名是.pfx,是可移植的二进制格式,可以转换为PEM或ASN1格式。
CA(Certificate Authority)
CA是发放、管理、废除数字证书的机构。CA的作用是检查数字证书持有者身份的合法性,并签发数字证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。国际上被广泛信任的CA,被称之为根CA。根CA可授权其它CA为其下级CA。CA的身份也需要证明,证明信息在信任证书机构文件中描述。
例如:CA1作为最上级CA也叫根证书,签发下一级CA2证书,CA2又可以给它的下一级CA3签发证书,以此下去,最终由CAn签发服务器的证书。
如果服务器端的证书由CA3签发,则在客户端验证证书的过程从服务器端的证书有效性验证开始。客户端先由CA3证书验证服务器端证书的有效性,如果通过则再由CA2证书验证CA3证书的有效性,最后由最上级CA1证书验证CA2证书的有效性。只有通过最上级CA证书即根证书的验证,服务器证书才会验证成功。
证书签发过程与证书验证过程如图6-1所示。
证书撤销列表CRL(Certificate Revocation List)
CRL由CA发布,它指定了一套证书发布者认为无效的证书。
数字证书的寿命是有限的,但CA可通过证书撤销过程缩短证书的寿命。CRL指定的寿命通常比数字证书指定的寿命要短。由CA撤销数字证书,意味着CA在数字证书正常到期之前撤销允许使用密钥对的有关声明。在撤销证书到期后,CRL中的有关数据被删除,以缩短CRL列表的大小。
