019-H3C无线控制器采用HTTPS方式进行本地Portal认证典型配置举例
本章节下载: 019-H3C无线控制器采用HTTPS方式进行本地Portal认证典型配置举例 (286.63 KB)
H3C无线控制器采用HTTPS进行本地Portal认证典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍采用HTTPS方式进行本地Portal认证的典型配置举例。
本文档适用于使用Comware软件版本的无线控制器和接入点产品,不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解SSL、Portal、PKI特性。
如图1所示,为提高设备管理的安全性,需要通过HTTPS的方式进行本地Portal认证,绑定第三方证书,并且要求在打开Portal认证页面时不会弹出风险提示。
图1 采用HTTPS方式进行本地Portal认证组网图
· 在进行配置之前,请确保各设备间路由可达。
· 配置AP的序列号时请确保该序列号与AP唯一对应。
· 请确保AC上已经存在有效的CA证书以及本地证书。
# 创建PKI域domain1,并进入PKI域视图。
<AC> system-view
[AC] pki domain domain1
# 关闭CRL检查。
[AC-pki-domain-domain1] undo crl check enable
[AC-pki-domain-domain1] quit
# 向PKI域domain1中导入CA证书,证书文件格式为DER编码,证书文件名称为certnew.cer,证书文件中包含根证书。
[AC] pki import domain domain1 der ca filename certnew.cer
The trusted CA's finger print is:
MD5 fingerprint:98D8 2B98 6D35 1DE7 A13A C362 DA33 2F38
SHA1 fingerprint:5817 1C1E D81F 1B5F 525D 5183 C196 37B8 73C7 46E5
Is the finger print correct?(Y/N):y
# 向PKI域domain1中导入本地证书,证书文件格式为PKCS#12编码,证书文件名称为QQ.pfx,证书文件中包含了密钥对。
[AC] pki import domain domain1 p12 local filename QQ.pfx
Please input the password:
# 创建SSL服务器端策略myssl,并进入SSL服务器端策略视图。
[AC] ssl server-policy myssl
# 配置SSL服务器端策略使用的PKI域为domain1。
[AC-ssl-server-policy-myssl] pki-domain domain1
# 配置SSL服务器端要求对SSL客户端进行基于数字证书的身份验证。
[AC-ssl-server-policy-myssl] client-verify enable
[AC-ssl-server-policy-myssl] quit
# 添加名称为user1的网络接入类本地用户。
[AC] local-user user1 class network
[AC-luser-network-user1] password simple user1
[AC-luser-network-user1] service-type portal
[AC-luser-network-user1] quit
# 创建名称为dm1的ISP域,为Portal用户配置认证方法、授权方法和计费方法均为本地认证。
[AC] domain dm1
[AC-isp-dm1] authentication portal local
[AC-isp-dm1] authorization portal local
[AC-isp-dm1] accounting portal local
[AC-isp-dm1] quit
# 配置系统缺省的ISP域为dm1。
[AC] domain default enable dm1
# 创建名称为newpt的Portal Web服务器,并进入Portal Web服务器视图。
[AC] portal web-server newpt
# 配置Portal web服务器的URL为https://84.7.0.3/portal。
[AC-portal-websvr-newpt] url https://84.7.0.3/portal
[AC-portal-websvr-newpt] quit
# 开启无线Portal客户端合法性检查功能。
[AC] portal host-check enable
# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[AC] portal free-rule 1 destination ip any udp 53
[AC] portal free-rule 2 destination ip any tcp 53
# 创建无线服务模板service1,并进入无线服务模板视图。
[AC] wlan service-template service1
# 配置SSID为service1。
[AC-wlan-st-service1] ssid service1
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC-wlan-st-service1] akm mode psk
[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC-wlan-st-service1] cipher-suite ccmp
[AC-wlan-st-service1] security-ie rsn
# 配置客户端数据报文转发位置为AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)
[AC-wlan-st-service1] client forwarding-location ac
# 在无线服务模板上开启Portal认证,配置为直接认证方式。
[AC-wlan-st-service1] portal enable method direct
# 在无线服务模板service1上引用Portal Web服务器newpt。
[AC-wlan-st-service1] portal apply web-server newpt
# 开启无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
# 配置HTTPS服务的端口号为8080,避免和本地Portal服务使用的端口号冲突。
[AC] ip https port 8080
# 开启本地Portal服务,并进入基于HTTPS协议的本地Portal Web服务视图,引用的SSL服务器端策略为myssl。
[AC] portal local-web-server https ssl-server-policy myssl
# 配置本地Portal Web服务器提供的缺省认证页面文件为defaultfile.zip。
[AC-portal-local-websvr-https] default-logon-page defaultfile.zip
[AC-portal-local-websvr-https] quit
在大规模组网时,推荐在AP组内进行配置。
# 创建VLAN 200。Client将使用该VLAN接入无线网络。
[AC] vlan 200
[AC-vlan200] quit
# 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号219801A28N819CE0002T。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-ap1] quit
# 创建AP组group1,并配置AP名称入组规则。
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap ap1
# 将无线服务模板service1绑定到AP组group1下的Radio 2上。
[AC-wlan-ap-group-group1] ap-model WA6320
[AC-wlan-ap-group-group1-ap-model-WA6320] radio 2
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template service1 vlan 200
# 开启Radio 2的射频功能。
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit
[AC-wlan-ap-group-group1-ap-model-WA6320] quit
[AC-wlan-ap-group-group1] quit
# 查看PKI域domain1的CA证书,可以看到CA证书已经导入PKI域。
[AC] display pki cer domain domain1 ca
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
27:ef:22:2e:cc:63:9e:9c:4c:f7:2b:ba:81:d2:8e:a9
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf2
576@h3c.com/description=kf2576, CN=wlan
Validity
Not Before: Jul 12 05:16:08 2017 GMT
Not After : Jul 12 05:24:51 2517 GMT
Subject: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf
2576@h3c.com/description=kf2576, CN=wlan
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (512 bit)
Modulus:
00:cb:7e:d0:dd:38:f7:e8:20:00:2d:ba:f0:b7:37:
33:f6:cb:7a:1b:6b:74:56:63:5f:34:94:e3:06:4b:
06:36:e5:3e:22:ab:96:c5:52:d3:57:98:b0:b4:72:
6e:1f:0b:ed:40:50:0c:db:7d:c6:5e:15:34:a1:89:
e7:de:ec:84:07
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
96:BB:A7:8D:70:C7:E9:46:C3:B7:EE:F4:E8:1A:D8:6F:16:B8:15:73
X509v3 CRL Distribution Points:
Full Name:
URI:http://ca1/CertEnroll/wlan.crl
URI:file://\\ca1\CertEnroll\wlan.crl
1.3.6.1.4.1.311.21.1:
...
Signature Algorithm: sha1WithRSAEncryption
60:76:1a:52:bf:f0:79:45:22:04:7c:91:13:8a:9c:be:d9:18:
20:14:5d:55:5c:31:22:49:ba:40:bc:ec:c2:ba:08:ac:11:0e:
d5:d8:23:18:f4:5c:6a:c9:10:5e:d4:92:4c:d7:b8:cf:dc:92:
41:24:db:93:3e:7a:14:3b:ad:b0
# 查看PKI域domain1的本地证书,可以看到本地证书已经导入PKI域。
[AC] display pki certificate domain domain1 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
3b:1a:30:5e:00:00:00:00:00:1d
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf2
576@h3c.com/description=kf2576, CN=wlan
Validity
Not Before: Dec 27 12:01:47 2017 GMT
Not After : Dec 27 12:11:47 2273 GMT
Subject: C=CN, CN=QQ
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c4:bf:a1:86:3b:ba:53:8b:aa:c7:43:1a:1a:be:
18:4e:fa:d1:5e:9a:49:b3:bb:b9:92:be:64:6b:97:
06:f6:bd:c0:d9:36:20:50:c6:eb:5c:4f:89:1c:6d:
c6:62:65:1f:a0:06:50:9e:ee:23:b7:ad:73:58:dc:
e9:62:1a:5f:87:8b:fd:da:2f:43:58:0f:45:06:b8:
7f:d5:43:52:e6:ed:fe:ce:7e:fa:20:6d:bc:67:c6:
e5:dd:06:35:bd:fb:a2:04:85:34:b9:dd:ff:3c:f8:
78:9e:92:ad:4c:86:7d:33:04:09:90:ce:ab:a8:30:
f3:87:f5:4b:c7:9c:a5:4d:8b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encip
herment
S/MIME Capabilities:
......0...+....0050...*.H..
..*.H..
X509v3 Subject Key Identifier:
73:9E:F6:85:15:4F:FE:1B:CC:C3:1C:48:99:41:E7:DA:8E:89:B8:74
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Authority Key Identifier:
keyid:96:BB:A7:8D:70:C7:E9:46:C3:B7:EE:F4:E8:1A:D8:6F:16:B8:15:7
3
X509v3 CRL Distribution Points:
Full Name:
URI:ldap:///CN=wlan,CN=ca1,CN=CDP,CN=Public%20Key%20Services,C
N=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRL
DistributionPoint
URI:http://ca1/CertEnroll/wlan.crl
URI:file://\\ca1\CertEnroll\wlan.crl
Authority Information Access:
CA Issuers - URI:http://ca1/CertEnroll/ca1_wlan.crt
CA Issuers - URI:file://\\ca1\CertEnroll\ca1_wlan.crt
Signature Algorithm: sha1WithRSAEncryption
0b:f8:f8:53:ef:b2:f9:01:07:4e:89:cf:b7:5b:e2:72:a6:38:
fa:af:99:30:0c:57:3f:36:25:f9:ed:02:7b:df:4b:a8:bd:92:
63:b8:d8:ae:ae:72:9a:4d:1f:ea:fa:8a:1f:dc:5a:ad:ec:31:
2a:15:65:ea:74:bc:95:c1:21:a9
# 查看SSL服务器端策略信息。
[AC] display ssl server-policy myssl
SSL server policy: myssl
Version-info:
SSL3.0: Enabled
TLS1.0: Enabled
TLS1.1: Enabled
TLS1.2: Enabled
PKI domain: user2
Ciphersuites:
RSA_AES_128_CBC_SHA
RSA_DES_CBC_SHA
RSA_RC4_128_MD5
RSA_RC4_128_SHA
RSA_3DES_CBC_SHA
RSA_AES_256_CBC_SHA
EXP_RSA_RC4_MD5
RSA_RC2_CBC_MD5
EXP_RSA_DES_CBC_SHA
DHE_RSA_AES_128_CBC_SHA
DHE_RSA_AES_256_CBC_SHA
RSA_AES_128_CBC_SHA256
RSA_AES_256_CBC_SHA256
DHE_RSA_AES_128_CBC_SHA256
DHE_RSA_AES_256_CBC_SHA256
ECDHE_RSA_AES_128_CBC_SHA256
ECDHE_RSA_AES_256_CBC_SHA384
ECDHE_RSA_AES_128_GCM_SHA256
ECDHE_RSA_AES_256_GCM_SHA384
ECDHE_ECDSA_AES_128_CBC_SHA256
ECDHE_ECDSA_AES_256_CBC_SHA384
ECDHE_ECDSA_AES_128_GCM_SHA256
ECDHE_ECDSA_AES_256_GCM_SHA384
Session cache size: 500
Caching timeout: 3600 seconds
Client-verify: Enabled
# 查看Portal Web服务器信息。
[AC] display portal web-server newpt
Portal Web server: newpt
Type: IMC
URL: https://84.7.0.3/portal
URL parameters: Not configured
VPN instance: Not configured
Server detection: Not configured
IPv4 status: Up
IPv6 status: N/A
Captive-bypass: Disabled
If-match: Not configured
# 打开无线手机终端,在浏览器页面输入Portal web服务器的URL:https://84.7.0.3/portal,会显示Portal认证页面。
图2 手机Portal认证页面。
# 输入用户名user1和密码user1进行Portal认证,认证成功后查看Portal用户。
[AC] display portal user all
Total portal users: 1
Username: user1
AP name: ap1
Radio ID: 2
SSID: service1
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
145f-94aa-d323 84.7.0.12 200 WLAN-BSS1/0/5
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
#
vlan 200
#
wlan service-template service1
ssid service1
client forwarding-location ac
akm mode psk
preshared-key pass-phrase cipher $c$3$9tIUHSkAUVqCH9/EPrL26ldkcEQnngexUEFj
cipher-suite ccmp
security-ie rsn
portal enable method direct
portal apply web-server newpt
service-template enable
#
domain dm1
authentication portal local
authorization portal local
accounting portal local
#
domain default enable dm1
#
local-user user1 class network
password cipher $c$3$iN3qo9XCWBRXSHa5q0sq1hkblSu/MCul
service-type portal
authorization-attribute user-role network-operator
#
pki domain domain1
undo crl check enable
#
ssl server-policy myssl
pki-domain domain1
client-verify enable
#
portal host-check enable
portal free-rule 1 destination ip any udp 53
portal free-rule 2 destination ip any tcp 53
#
portal web-server newpt
url https://84.7.0.3/portal
#
portal local-web-server https ssl-server-policy myssl
default-logon-page defaultfile.zip
#
ip https port 8080
ip http enable
ip https enable
#
wlan ap-group group1
ap ap1
ap-model WA6320
radio 1
radio 2
radio enable
service-template service1 vlan 200
#
wlan ap ap1 model WA6320
serial-id 219801A28N819CE0002T
#
· 《H3C 无线控制器产品 配置指导》中的“安全配置指导”。
· 《H3C 无线控制器产品 命令参考》中的“安全命令参考。
· 《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。
· 《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!