首页 科技问答 刘倩,某局点S5560-EI设备配置本地portal认证导入手签CA证书

刘倩,某局点S5560-EI设备配置本地portal认证导入手签CA证书

科技问答 299
1676539517,

组网及说明

组网不涉及

设备型号为S5560设备,版本R1311P02

告警信息

不涉及

问题描述

用S5560-EI交换机做基于https协议的本地Portal Web服务器的Portal认证

需要手动导入手签CA证书

过程分析

1. FTP导出设备自带密钥对文件,从设备本地的PKI文件夹下导出https-server.p12文件,该文件包含公私钥对

 


2. 将导出证书安装到IE浏览器:双击https-server.p12文件,将证书导入IE浏览器。

 





3. 分离公私钥对:通过IE浏览器右上角的工具 ,进入浏览器的“Internet选项—内容—证书”选项。在个人页签下选中安装的设备证书(以H3C-HTTPS开头),点击下方的<导出>。

 





4. 得到不带私钥的CA证书https-CA.cer,获取CA证书和本地证书的证书对。

5. 创建pki域并导入证书,

 [H3C] pki domain https

[H3C-pki-domain-https] undo crl check enable

导入CA证书和local证书到PKI域中:

[H3C] pki import domain https der ca filename https-ca.cer

[H3C] pki import domain https p12 local filename https-server.p12

 

创建 ssl serve policy并引用PKI

[H3C]ssl server-policy https

[H3C-ssl-server-policy-https]pki-domain https

 

Ssl服务端策略选中套件

[H3C-ssl-server-policy-https] ciphersuite  rsa_aes_128_cbc_sha  rsa_aes_256_cbc_sha  rsa_aes_128_cbc_sha256  rsa_aes_256_gcm_sha384

 

将当前涉及到https的业务关联ssl server policy

如常见的:

ip https ssl-server-policy https

 

开启涉及的业务

ip https enable


解决方法

可参考如上方式导入

CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。本文来源:知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,某局点S5560-EI设备配置本地portal认证导入手签CA证书