华为AR系列路由器 01-17 HTTPS配置

Huawei AR 系列物联网关配置指南-安全（命令行）

17 HTTPS配置

17关于本章

17.1 HTTPS概述

通过HTTPS功能能够有效提高设备的安全性。17.2 HTTPS配置注意事项介绍HTTPS的配置注意事项。

HTTPS配置

安全超文本传输协议HTTPS（Hypertext Transfer Protocol Secure）通过SSL提供的数据加密、身份验证和消息完整性验证等安全机制，为Web访问提供安全性保证。

17.3 配置HTTPS服务器

在设备上配置HTTPS服务器功能后，用户可以利用Web页面安全访问远程的设备。17.4 HTTPS配置举例

介绍HTTPS的配置举例。配置举例中包括组网需求、配置思路、操作步骤等。

17.1 HTTPS概述

通过HTTPS功能能够有效提高设备的安全性。

HTTPS（Secure HTTP）是支持安全套接层SSL（Secure Sockets Layer）协议的HTTP协议。

HTTPS通过SSL协议，从以下几方面提高了设备的安全性：●●●

通过SSL协议保证合法客户端可以安全地访问设备，禁止非法的客户端访问设备。客户端与设备之间交互的数据需要经过加密，保证了数据传输的安全性和完整性，从而实现了对设备的安全管理。

为设备制定基于证书属性的访问控制策略，对客户端的访问权限进行控制，进一步避免了非法客户对设备进行攻击。

如图17-1所示，在作为HTTP服务器的设备上部署服务器型SSL策略，并使能HTTPS服务器功能后，用户可以通过浏览器登录HTTPS服务器，利用Web页面安全管理远程设备。

文档版本 08 (2020-08-31)版权所有 ? 华为技术有限公司670Huawei AR 系列物联网关配置指南-安全（命令行）

17 HTTPS配置

图17-1 通过浏览器登录HTTPS服务器

NetworkPCHTTPS Server17.2 HTTPS配置注意事项

介绍HTTPS的配置注意事项。

涉及网元

无需其他网元配合。

License支持

HTTPS是路由器的基本特性，无需获得License许可即可应用此功能。

特性依赖和限制

无

17.3 配置HTTPS服务器

在设备上配置HTTPS服务器功能后，用户可以利用Web页面安全访问远程的设备。

前提条件

确保已完成了服务器型SSL策略的配置，请参看配置服务器型SSL策略。

背景信息

用户通过Web页面远程访问作为HTTP服务器的设备时，传统的HTTP会有以下问题：●●

不能使用户对设备进行身份验证。

不能保证用户和设备之间数据传输的私密性与完整性。

为了避免HTTP存在的安全方面的缺陷，设备可以作为HTTPS服务器，利用SSL协议的数据加密、身份验证和消息完整性验证机制，保证用户和设备之间数据传输的安全性，这样用户可以利用Web页面安全访问远程的设备。

操作步骤

步骤1执行命令system-view，进入系统视图。

步骤2执行命令http secure-server ssl-policy ssl-policy，配置HTTPS服务器关联的服务器

型SSL策略。

缺省情况下，HTTPS服务器关联的服务器型SSL策略的名称是default_policy。

文档版本 08 (2020-08-31)版权所有 ? 华为技术有限公司671Huawei AR 系列物联网关配置指南-安全（命令行）

17 HTTPS配置

步骤3（可选）执行命令http secure-server port port-number，配置HTTPS服务的端口

号。

缺省情况下，HTTPS服务的端口号是443。

步骤4（可选）执行命令http secure-server manager-port port-number，开启HTTPS服

务器的管理端口并配置管理端口号。

缺省情况下，HTTPS服务器的管理端口处于关闭状态。

说明

只有3级及以上的用户才能通过管理端口登录Web。

步骤5执行命令http secure-server enable，使能设备的HTTPS服务器功能。

缺省情况下，设备的HTTPS服务器功能已经使能。----结束

检查配置结果

●

执行命令display current-configuration，查看HTTPS服务器的配置信息。

display current-configuration | include http secure-server http secure-server port 1026

http secure-server ssl-policy user http secure-server enable

17.4 HTTPS配置举例

介绍HTTPS的配置举例。配置举例中包括组网需求、配置思路、操作步骤等。

17.4.1 配置HTTPS服务器示例

组网需求

如图17-2所示，用户通过Web方式访问网关设备Router。

为了防止传输的数据不被窃听和篡改，实现对设备的安全管理，网络管理员要求用户以HTTPS的方式安全访问设备。图17-2 配置HTTPS服务器组网图Router

Eth2/0/0VLAN 11

User

配置思路

采用如下思路在Router上进行配置：1.

创建VLAN、VLANIF，并配置各接口，使企业用户能够访问Router。

版权所有 ? 华为技术有限公司672文档版本 08 (2020-08-31)Huawei AR 系列物联网关配置指南-安全（命令行）

17 HTTPS配置

2.3.

配置服务器型SSL策略并配置缺省的PKI域作为该策略使用的PKI域，无需安装独立的CA服务器。

配置HTTPS服务器功能，保证用户与Router之间数据传输的私密性与完整性。

操作步骤

步骤1创建VLAN并配置各接口

# 在Router上创建VLAN 11。

system-view[Huawei] sysname Router[Router] vlan batch 11

# 配置Router连接用户的接口Eth0/0/1加入VLAN 11。

[Router] interface ethernet 0/0/1

[Router-Ethernet0/0/1] port link-type access[Router-Ethernet0/0/1] port default vlan 11[Router-Ethernet0/0/1] quit

# 创建VLANIF 11，并为VLANIF 11配置IP地址10.1.1.1/24。

[Router] interface vlanif11

[Router-Vlanif11] ip address 10.1.1.1 24[Router-Vlanif11] quit

步骤2配置服务器型SSL策略

# 配置SSL策略使用PKI缺省域default。

[Router] ssl policy userserver type server

[Router-ssl-policy-userserver] pki-realm default

# 配置保存会话的最大数目和最大时长。

[Router-ssl-policy-userserver] session cachesize 20 timeout 7200[Router-ssl-policy-userserver] quit

步骤3配置HTTPS服务器

# 配置HTTPS服务器关联的SSL策略为userserver。

[Router] http secure-server ssl-policy userserver

# 配置HTTPS服务的端口号。

[Router] http secure-server port 1278

# 使能Router的HTTPS服务器功能。

[Router] http secure-server enable

Warning: The HTTP server has not configured with SSL policy. Continue starting HTTP secure server? [Y/N]: y

This operation will take several minutes, please wait.........................................................Info: Succeeded in starting the HTTPS server

步骤4验证配置结果

# 执行命令display ssl policy userserver，查看SSL策略userserver的配置信息。

[Router] display ssl policy userserver

------------------------------------------------------------------------------ Policy name : userserver Policy ID : 2 Policy type : Server

Cipher suite : rsa_aes_128_cbc_sha

文档版本 08 (2020-08-31)版权所有 ? 华为技术有限公司673Huawei AR 系列物联网关配置指南-安全（命令行）

PKI realm : default Cache number : 20 Time out(second) : 7200 Server certificate load status : loaded CA certificate chain load status : unloaded SSL renegotiation status : enable

Bind number : 1 SSL connection number : 0 ------------------------------------------------------------------------------

17 HTTPS配置

# 当用户在主机user上打开浏览器，输入网址“https://10.1.1.1:1278”后，主机user将以HTTPS的方式访问Web网管页面，用户后续可以利用Web网管页面安全访问和管理Router。----结束

配置文件

Router的配置文件

# sysname Router#

ssl policy userserver type server pki-realm default

session cachesize 20 timeout 7200#

http secure-server ssl-policy userserver http secure-server enable http secure-server port 1278#

vlan batch 11#

interface Vlanif11

ip address 10.1.1.1 255.255.255.0#

interface Ethernet0/0/1 port link-type access port default vlan 11# return

文档版本 08 (2020-08-31)版权所有 ? 华为技术有限公司674