Aktywacja SSL (HTTPS) dla WebUI w przełącznikach HP ProCurve / Aruba

Avatar photo
hpe procurve aruba networks

Dla miłośników zarządzania switchem przez WebUI w przełącznikach HP Procurve i Aruba aktywacja protokołu HTTPS, jest czynnością obowiązkową. Zarządzanie switchem poprzez nieszyfrowane połączenia HTTP nie jest najrozsądniejszym pomysłem. W celu zabezpieczenia połączenia dobrym pomysłem jest aktywacja SSL/HTTPS, aby to zrobić należy w kilku krokach wygenerować odpowiednie certyfikaty.

Aktywacja protokołu HTTPS dla WebUI odbywa się za pomocą polecenia web-management ssl, jednakże jeśli na przełączniku nie ma utworzonego odpowiedniego profilu identyfikacyjnego (tożsamości) oraz certyfikatu, aktywacja zakończy się niepowodzeniem.

HP-Switch-5406Rzl2# configure 
HP-Switch-5406Rzl2(config)# web-management ssl 
https cannot be enabled with no certificate present. To install a certificate,
use one of the following commands:
  * 'crypto pki enroll-self-signed...'
  * 'crypto pki create-csr ...'

Aby wygenerować nowy certyfikat na przełączniku należy w pierwszej kolejności utworzyć nowy profil identyfikacyjny (tożsamość). Aby utworzyć tożsamość należy skorzystać z polecenia crypto pki identity-profile.

Składnia polecenia jest następująca:

crypto pki identity-profile NAZWA-PROFILU subject

Po wydaniu polecenia należy podać kilka dodatkowych informacji niezbędnych do utworzenia profilu tj. CN, OU itp. Jeśli switch posiada nazwę domenową np. switch.kowalsio.com, jako CN należy podać właśnie taką nazwę domeny, jeśli łączymy się z przełącznikiem podając tylko adres IP, można wpisać tu dowolną wartość.

HP-Switch-5406Rzl2(config)#  crypto pki identity-profile NAZWA-PROFILU subject 
Enter Common Name(CN) : HP-Switch-5406Rzl2
Enter Org Unit(OU) : Dzial Informatyki
Enter Org Name(O) : BlogKowalsio
Enter Locality(L) : Warszawa
Enter State(ST) : Mazowieckie
Enter Country(C) : PL

Utworzone profile można podejrzeć poleceniem show crypto pki identity-profile 

HP-Switch-5406Rzl2(config)# crypto pki identity-profile
Switch Identity:
  ID Profile Name    : NAZWA-PROFILU
    Common Name (CN) : HP-Switch-5406Rzl2
    Org Unit (OU)    : Dzial Informatyki
    Org Name (O)     : BlogKowalsio
    Locality (L)     : Warszawa
    State (ST)       : Mazowieckie
    Country (C)      : PL

Następnym etapem jest wygenerowanie certyfikatu SSL poleceniem crypto pki enroll-self-signed
Składnia wygląda następująco:

 
crypto pki enroll-self-signed certificate-name NAZWA-CERTYFIKATU

Domyślnie przełącznik wygeneruje certyfikat ważny na 1 rok, RSA 1024 bit. Długość oraz rodzaj klucza można zmienić dodając odpowiednie opcje dodatkowe, np aby wygenerować klucz RSA o długości 2048 należy do polecenia dodać opcje key-type rsa key-size 2048

crypto pki enroll-self-signed certificate-name CertyfikatSSL key-type rsa key-size 2048

Wyświetlenie certyfikatów:

HP-Switch-5406Rzl2(config)# show crypto pki local-certificate 
   Name                 Usage         Expiration     Parent / Profile
   -------------------- ------------- -------------- --------------------
   IDEVID_CERT          IDEVID        2031/01/26     IDEVID_INTER_1
   IDEVID_INTER_1       IDEVID        2031/01/26     IDEVID_INTER_2
   IDEVID_INTER_2       IDEVID        2031/01/26     IDEVID_ROOT
   CertyfikatSSL        Web           2019/01/18     default

Wyświetlenie szczegółowych informacji na temat wygenerowanego certyfikatu:

HP-Switch-5406Rzl2(config)# show crypto pki local-certificate CertyfikatSSL
Certificate Detail:
Version: 3 (0x2)
Serial Number:
   5f:44:09:62:a6:...
Signature Algorithm: sha256withRSAEncryption
Issuer: CN=HP-Switch-5406Rzl2, OU=Dzial Informatyki, O=BlogKowalsio, L=Warszawa, ST=Mazowieckie, C=PL
Validity
   Not Before: Jan 18 14:38:12 2018 GMT
   Not After : Jan 18 23:59:59 2019 GMT
Subject: CN=HP-Switch-5406Rzl2, OU=Dzial Informatyki, O=BlogKowalsio, L=Warszawa, ST=Mazowieckie, C=PL
Subject Public Key Info:
   Public Key Algorithm: rsaEncryption
   RSA Public Key: (2048 bit)
      Modulus (2048 bit):
          30:0d:06:09:2a:86:48:86:f7:0d:01:01:01:05:00:
          03:82:01:0f:00:30:82:01:0a:02:82:01:01:00:d6:
          a5:94:16:d4:a0:82:10:be:dd:31:29:3d:94:48:9b:
          ...
          ca:a0:2c:ce:c1:57:0b:92:96:82:94:8e:6b:07:f9:
          58:89:a8:74:4f:62:f6:08:b4:94:91:96:c2:df:19:
          02:03:01:00:01
      Exponent: 65537 (0x10001)
X509v3 extensions:
   X509v3 Key Usage: critical
      Digital Signature, Key Encipherment, Key Agreement
   X509v3 Extended Key Usage: 
      TLS Web Server Authentication

Signature Algorithm: sha256withRSAEncryption
   ac:88:6e:c9:d8:86:30:60:cc:46:f5:68:24:c6:ca:35:44:68:
   ca:1e:06:8a:6e:c1:90:81:ad:a5:b4:b3:2f:7e:42:74:87:77:
   03:2b:56:24:a7:ae:56:a1:e9:e0:79:39:53:12:ba:a1:1b:d8:
   ...
   5c:c8:18:85:cd:e4:1f:75:d4:a2:f8:7d:78:4e:51:ee:31:b2:
   2c:ec:c8:2f:0d:be:23:19:8b:13:80:8d:1c:3a:56:8b:11:90:
   09:3c:3a:32
MD5 Fingerprint: 4061 e65a ...
SHA1 Fingerprint: 85e3 af64 ...

Ostatnim krokiem jest wydanie polecenia aktywującego obsługę HTTPS

HP-Switch-5406Rzl2(config)# web-management ssl

Gdy SSL jest już aktywowany można wyłączyć połączenia nie szyfrowane (HTTP)

HP-Switch-5406Rzl2(config)# no web-management plaintext

Warto przeczytać

1 komentarz

Możesz dodawać komentarze do tego artykułu.

  • Dziwie się, że jeszcze aż tak wiele stron nie przeszło na https. Mam nadzieję, że zmieni się to po tym wpisie 🙂

    Fabian B 6 lat ago Reply

Dodaj komentarz