Dla miłośników zarządzania switchem przez WebUI w przełącznikach HP Procurve i Aruba aktywacja protokołu HTTPS, jest czynnością obowiązkową. Zarządzanie switchem poprzez nieszyfrowane połączenia HTTP nie jest najrozsądniejszym pomysłem. W celu zabezpieczenia połączenia dobrym pomysłem jest aktywacja SSL/HTTPS, aby to zrobić należy w kilku krokach wygenerować odpowiednie certyfikaty.
Aktywacja protokołu HTTPS dla WebUI odbywa się za pomocą polecenia web-management ssl, jednakże jeśli na przełączniku nie ma utworzonego odpowiedniego profilu identyfikacyjnego (tożsamości) oraz certyfikatu, aktywacja zakończy się niepowodzeniem.
HP-Switch-5406Rzl2# configure HP-Switch-5406Rzl2(config)# web-management ssl https cannot be enabled with no certificate present. To install a certificate, use one of the following commands: * 'crypto pki enroll-self-signed...' * 'crypto pki create-csr ...'
Aby wygenerować nowy certyfikat na przełączniku należy w pierwszej kolejności utworzyć nowy profil identyfikacyjny (tożsamość). Aby utworzyć tożsamość należy skorzystać z polecenia crypto pki identity-profile.
Składnia polecenia jest następująca:
crypto pki identity-profile NAZWA-PROFILU subject
Po wydaniu polecenia należy podać kilka dodatkowych informacji niezbędnych do utworzenia profilu tj. CN, OU itp. Jeśli switch posiada nazwę domenową np. switch.kowalsio.com, jako CN należy podać właśnie taką nazwę domeny, jeśli łączymy się z przełącznikiem podając tylko adres IP, można wpisać tu dowolną wartość.
HP-Switch-5406Rzl2(config)# crypto pki identity-profile NAZWA-PROFILU subject Enter Common Name(CN) : HP-Switch-5406Rzl2 Enter Org Unit(OU) : Dzial Informatyki Enter Org Name(O) : BlogKowalsio Enter Locality(L) : Warszawa Enter State(ST) : Mazowieckie Enter Country(C) : PL
Utworzone profile można podejrzeć poleceniem show crypto pki identity-profile
HP-Switch-5406Rzl2(config)# crypto pki identity-profile Switch Identity: ID Profile Name : NAZWA-PROFILU Common Name (CN) : HP-Switch-5406Rzl2 Org Unit (OU) : Dzial Informatyki Org Name (O) : BlogKowalsio Locality (L) : Warszawa State (ST) : Mazowieckie Country (C) : PL
Następnym etapem jest wygenerowanie certyfikatu SSL poleceniem crypto pki enroll-self-signed
Składnia wygląda następująco:
crypto pki enroll-self-signed certificate-name NAZWA-CERTYFIKATU
Domyślnie przełącznik wygeneruje certyfikat ważny na 1 rok, RSA 1024 bit. Długość oraz rodzaj klucza można zmienić dodając odpowiednie opcje dodatkowe, np aby wygenerować klucz RSA o długości 2048 należy do polecenia dodać opcje key-type rsa key-size 2048
crypto pki enroll-self-signed certificate-name CertyfikatSSL key-type rsa key-size 2048
Wyświetlenie certyfikatów:
HP-Switch-5406Rzl2(config)# show crypto pki local-certificate Name Usage Expiration Parent / Profile -------------------- ------------- -------------- -------------------- IDEVID_CERT IDEVID 2031/01/26 IDEVID_INTER_1 IDEVID_INTER_1 IDEVID 2031/01/26 IDEVID_INTER_2 IDEVID_INTER_2 IDEVID 2031/01/26 IDEVID_ROOT CertyfikatSSL Web 2019/01/18 default
Wyświetlenie szczegółowych informacji na temat wygenerowanego certyfikatu:
HP-Switch-5406Rzl2(config)# show crypto pki local-certificate CertyfikatSSL Certificate Detail: Version: 3 (0x2) Serial Number: 5f:44:09:62:a6:... Signature Algorithm: sha256withRSAEncryption Issuer: CN=HP-Switch-5406Rzl2, OU=Dzial Informatyki, O=BlogKowalsio, L=Warszawa, ST=Mazowieckie, C=PL Validity Not Before: Jan 18 14:38:12 2018 GMT Not After : Jan 18 23:59:59 2019 GMT Subject: CN=HP-Switch-5406Rzl2, OU=Dzial Informatyki, O=BlogKowalsio, L=Warszawa, ST=Mazowieckie, C=PL Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 30:0d:06:09:2a:86:48:86:f7:0d:01:01:01:05:00: 03:82:01:0f:00:30:82:01:0a:02:82:01:01:00:d6: a5:94:16:d4:a0:82:10:be:dd:31:29:3d:94:48:9b: ... ca:a0:2c:ce:c1:57:0b:92:96:82:94:8e:6b:07:f9: 58:89:a8:74:4f:62:f6:08:b4:94:91:96:c2:df:19: 02:03:01:00:01 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment, Key Agreement X509v3 Extended Key Usage: TLS Web Server Authentication Signature Algorithm: sha256withRSAEncryption ac:88:6e:c9:d8:86:30:60:cc:46:f5:68:24:c6:ca:35:44:68: ca:1e:06:8a:6e:c1:90:81:ad:a5:b4:b3:2f:7e:42:74:87:77: 03:2b:56:24:a7:ae:56:a1:e9:e0:79:39:53:12:ba:a1:1b:d8: ... 5c:c8:18:85:cd:e4:1f:75:d4:a2:f8:7d:78:4e:51:ee:31:b2: 2c:ec:c8:2f:0d:be:23:19:8b:13:80:8d:1c:3a:56:8b:11:90: 09:3c:3a:32 MD5 Fingerprint: 4061 e65a ... SHA1 Fingerprint: 85e3 af64 ...
Ostatnim krokiem jest wydanie polecenia aktywującego obsługę HTTPS
HP-Switch-5406Rzl2(config)# web-management ssl
Gdy SSL jest już aktywowany można wyłączyć połączenia nie szyfrowane (HTTP)
HP-Switch-5406Rzl2(config)# no web-management plaintext
1 komentarz
Możesz dodawać komentarze do tego artykułu.
Dziwie się, że jeszcze aż tak wiele stron nie przeszło na https. Mam nadzieję, że zmieni się to po tym wpisie 🙂
Fabian B 7 lat ago
Dodaj komentarz