Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

用于远程管理的安全 Web 访问

您可以通过 J-Web 界面远程管理瞻博网络设备。为了实现安全的 Web 访问,瞻博网络设备支持通过安全套接字层 (HTTPS) 进行 HTTP。您可以根据需要在设备上的特定接口和端口上启用 HTTP 或 HTTPS 访问。有关信息,请阅读本主题。

安全 Web 访问概述

您可以通过 J-Web 界面远程管理瞻博网络设备。为了与设备通信,J-Web 界面使用超文本传输协议 (HTTP)。HTTP允许轻松访问Web,但不加密。通过HTTP在Web浏览器和设备之间传输的数据容易受到拦截和攻击。为了实现安全的 Web 访问,瞻博网络设备支持通过安全套接字层 (HTTPS) 进行 HTTP。您可以根据需要在特定接口和端口上启用 HTTP 或 HTTPS 访问。

瞻博网络设备使用安全套接字层 (SSL) 协议,通过 Web 界面提供安全的设备管理。SSL 使用公钥-私钥技术,该技术需要配对的私钥和身份验证证书才能提供 SSL 服务。SSL 使用由 SSL 服务器证书协商的会话密钥对设备与 Web 浏览器之间的通信进行加密。

SSL 证书包括公钥和证书颁发机构 (CA) 签名等标识信息。当您通过 HTTPS 访问设备时,SSL 握手会对服务器和客户端进行身份验证,并开始安全会话。如果信息不匹配或证书已过期,则无法通过 HTTPS 访问设备。

如果没有SSL加密,您的设备和浏览器之间的通信是公开发送的,可能会被拦截。我们建议您在 WAN 接口上启用 HTTPS 访问。

默认情况下,在内置管理接口上启用 HTTP 访问。默认情况下,任何具有 SSL 服务器证书的接口都支持 HTTPS 访问。

另请参阅

生成用于安全 Web 访问的 SSL 证书(SRX 系列防火墙)

要使用以下命令生成 SSL 证书 ,请执行以下操作:openssl

  1. 在 CLI 中输入 。openssl 该命令会 生成隐私增强型邮件 (PEM) 格式的自签名 SSL 证书。openssl 它将证书和未加密的 1024 位 RSA 私钥写入指定文件。
    注:

    在 LINUX 或 UNIX 设备上运行此命令,因为瞻博网络服务网关不支持该 命令。openssl

    替换为 要在其中写入 SSL 证书的文件的名称,例如 。filenamenew.pem

  2. 出现提示时,在标识表单中键入相应的信息。例如,键入 国家/地区名称。US
  3. 显示文件 的内容。new.pem

    cat new.pem

    复制此文件的内容以安装 SSL 证书。

生成用于安全 Web 访问的 SSL 证书(EX 系列交换机)

您可以为 EX 系列交换机设置安全的 Web 访问。要启用安全 Web 访问,必须生成数字安全套接字层 (SSL) 证书,然后在交换机上启用 HTTPS 访问。

要生成 SSL 证书,请执行以下操作:

  1. 在安装了 BSD 或 Linux 系统的 SSH 命令行界面中输入以下命令。opensslopenssl 该命令会 生成隐私增强型邮件 (PEM) 格式的自签名 SSL 证书。openssl 它将证书和未加密的 1024 位 RSA 私钥写入指定文件。

    % openssl req –x509 –nodes –newkey rsa:1024 –keyout filename.pem -out filename.pem

    其中 是要在其中写入 SSL 证书的文件的名称,例如 。filenamemy-certificate

  2. 出现提示时,在标识表单中键入相应的信息。例如,键入 国家/地区名称。US
  3. 显示您创建的文件的内容。

    cat my-certificate.pem

您可以使用 J-Web 配置页面在交换机上安装 SSL 证书。为此,请将包含证书的文件从 BSD 或 Linux 系统复制到交换机。然后打开文件,复制其内容,并将其粘贴到“J-Web 安全访问配置”页面上的“证书”框中。

您还可以使用以下 CLI 语句在交换机上安装 SSL 证书:

有关安装证书的详细信息,请参阅 示例:配置安全 Web 访问。

另请参阅

自动生成自签名 SSL 证书

要在瞻博网络设备上生成自签名 SSL 证书,请执行以下操作:

  1. 建立基本连接。
  2. 重新启动系统。自签名证书在启动时自动生成。
  3. 在 HTTPS Web 管理下指定 。system-generated-certificate

手动生成自签名 SSL 证书

要在瞻博网络设备上手动生成自签名 SSL 证书,请执行以下操作:

  1. 建立基本连接。
  2. 如果您具有 root 登录访问权限,则可以使用以下命令手动生成自签名证书:
    注:

    生成证书时,必须指定主题、电子邮件地址以及域名或 IP 地址。

  3. 要验证证书是否已正确生成和加载,请输入操作命令并在 HTTPS Web 管理下指定 。show security pki local-certificate local-certificate

删除自签名证书(CLI 过程)

您可以删除从 EX 系列交换机自动或手动生成的自签名证书。删除自动生成的自签名证书时,交换机会生成新的自签名证书并将其存储在文件系统中。

  • 要从交换机中删除自动生成的证书及其关联的密钥对:

  • 要从交换机中删除手动生成的证书及其关联的密钥对:

  • 要从交换机中删除所有手动生成的证书及其关联的密钥对:

了解 EX 系列交换机上的自签名证书

使用出厂默认配置初始化瞻博网络 EX 系列以太网交换机时,交换机会生成自签名证书,从而允许通过安全套接字层 (SSL) 协议对交换机进行安全访问。安全套接字层上的超文本传输协议 (HTTPS) 和安全套接字层上的 XML 网络管理 (XNM-SSL) 是可以使用自签名证书的两种服务。

注:

自签名证书不像证书颁发机构 (CA) 生成的证书那样提供额外的安全性。这是因为客户端无法验证他或她连接到的服务器是否为证书中播发的服务器。

交换机提供两种生成自签名证书的方法:

  • 自动生成

    在这种情况下,证书的创建者是交换机。默认情况下,交换机上会配置自动生成(也称为“系统生成”)的自签名证书。

    初始化交换机后,它会检查是否存在自动生成的自签名证书。如果未找到,交换机将生成一个并将其保存在文件系统中。

    交换机自动生成的自签名证书类似于 SSH 主机密钥。它存储在文件系统中,而不是作为配置的一部分。交换机重新启动时,它仍然存在,发出命令时 会保留。request system snapshot

    交换机对自动生成的证书使用以下可分辨名称:

    “ CN=<device serial number>, CN=system generated, CN=self-signed”

    如果删除交换机上系统生成的自签名证书,交换机将自动生成自签名证书。

  • 手动生成

    在这种情况下,您将为交换机创建自签名证书。您可以随时使用 CLI 生成自签名证书。手动生成的自签名证书存储在文件系统中,而不是作为配置的一部分。

自签名证书自生成之日起有效期为五年。自动生成的自签名证书有效期到期时,您可以将其从交换机中删除,以便交换机生成新的自签名证书。

系统生成的自签名证书和手动生成的自签名证书可以在交换机上共存。

在交换机上手动生成自签名证书(CLI 过程)

EX 系列交换机允许您生成自定义自签名证书并将其存储在文件系统中。手动生成的证书可以与交换机上自动生成的自签名证书共存。要通过 SSL 实现对交换机的安全访问,您可以使用系统生成的自签名证书或手动生成的证书。

要手动生成自签名证书,您必须完成以下任务:

在交换机上生成公钥-私钥对

数字证书具有关联的加密密钥对,用于对证书进行数字签名。加密密钥对包括公钥和私钥。生成自签名证书时,必须提供可用于签署自签名证书的公钥-私钥对。因此,必须先生成公钥-私钥对,然后才能生成自签名证书。

要生成公钥-私钥对,请执行以下操作:

注:

(可选)您可以指定加密算法和加密密钥的大小。如果未指定加密算法和加密密钥大小,则使用默认值。默认加密算法为 RSA,默认加密密钥大小为 1024 位。

生成公钥-私钥对后,交换机将显示以下内容:

在交换机上生成自签名证书

要手动生成自签名证书,请包括证书 ID 名称、可分辨名称 (DN) 的主题、域名、交换机的 IP 地址以及证书持有者的电子邮件地址:

您生成的证书存储在交换机的文件系统中。生成证书时指定的证书 ID 是可用于启用 HTTPS 或 XNM-SSL 服务的唯一标识符。

要验证证书是否已正确生成和加载,请输入 操作命令。show security pki local-certificate

另请参阅

示例:配置安全 Web 访问

此示例说明如何在设备上配置安全 Web 访问。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

注:

您可以在指定接口上启用 HTTPS 访问。如果在未指定接口的情况下启用 HTTPS,则会在所有接口上启用 HTTPS。

概述

在此示例中,您将已生成的 SSL 证书导入为 PEM 格式的新私钥。然后,启用 HTTPS 访问并指定要用于身份验证的 SSL 证书。最后,将端口指定为 8443,要在其上启用 HTTPS 访问。

拓扑

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要在设备上配置安全 Web 访问,请执行以下操作:

  1. 导入 SSL 证书和私钥。

  2. 启用 HTTPS 访问并指定 SSL 证书和端口。

成果

在配置模式下,输入 show security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 SSL 证书配置

目的

验证 SSL 证书配置。

操作

在操作模式下,输入 show security 命令。

验证安全访问配置

目的

验证安全访问配置。

操作

在操作模式下,输入 show system services 命令。以下示例输出显示安全 Web 访问的示例值:

相关主题