La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Serveur et Client HTTPS-HTTP avec SSL 3.0

Présentations similaires


Présentation au sujet: "Serveur et Client HTTPS-HTTP avec SSL 3.0"— Transcription de la présentation:

1 Serveur et Client HTTPS-HTTP avec SSL 3.0
ccnp_cch ccnp_cch

2 Sommaire • Introduction
- Contenu • Prérequis pour le serveur et le client HTTPS-HTTP avec SSL • Restrictions pour le serveur et le client HTTPS-HTTP avec SSL • Informations sur le serveur et le client HTTPS-HTTP avec SSL 3.0 - Le serveur HTTP sécurisé et le client HTTP sécurisé - Points de confiance Autorité de certificat - Suites de cryptage • Comment configurer le serveur et le client HTTP sécurisé Déclarer un point de confiance autorité de certificat Configurer le serveur HTTP sécurisé - Configurer les options du serveur HTTP Configurer le client HTTP sécurisé • Exemples de configuration pour le client et le serveur HTTP sécurisé • Références additionnelles - Documents liés - Standards - MIBs - RFCs ccnp_cch

3 Prérequis pour le serveur et le client HTTPS-HTTP avec SSL 3.0
Introduction Cette fonctionnalité fournit le support de SSL (Secure Socket Layer) version 3.0 pour le serveur HTTP 1.1 et le client HTTP 1.1 dans l'IOS Cisco. SSL fournit une authentifica- tion de serveur, le cryptage et l'intégrité de message pour permettre des communications HTTP sécurisées. SSL fournit également l'authentification du client HTTP. HTTP sur SSL est appelé HTTPS. Contenu  Prérequis pour le serveur et le client HTTPS-HTTP avec SSL • Restrictions pour le serveur et le client HTTPS-HTTP avec SSL • Informations sur le serveur et le client HTTPS-HTTP avec SSL 3.0 • Comment configurer le serveur et le client HTTP sécurisé • Exemples de configuration pour le client et le serveur HTTP sécurisé • Références additionnelles Prérequis pour le serveur et le client HTTPS-HTTP avec SSL 3.0 Si vous voulez valider des connexions HTTP sécurisées sans autorité de certificat point de confiance, vous devez vous assurer que chaque équipement a la clé (une clé publique RSA ou une clé de cryptage) de l'autre équipement. Dans la majorité des cas une paire de clés RSA sera automatiquement générée. La paire de clés RSA est utilisée pour créer un certificat auto-signé (qui est également généré automatiquement). Informations sur le serveur et le client HTTPS-HTTP avec Cette fonctionnalité est disponible uniquement pour les images du logiciel IOS Cisco qui supportent SSL. Dans cette release, SSL est supporté dans "IPSEC 56" (qui contient K8 dans le nom de l'image). Les images "IPSec 56" fournissent un cryptage jusqu'à 64 bits. Les images "IPSec 3DES" fournissent un cryptage supérieur à 64 bits. Les suites de cryptage suivantes sont supportées dans les images IPSec/DES.  SSL_RSA__avec_RC4_128_MD5 - Echange de clés RSA (Cryptographie à clé publique RSA) avec cryptage RC4 128 bits et message digest MD5.  SSL_RSA__avec_RC4_128_SHA - Echange de clés RSA avec cryptage RC4 128 bits et message digest SHA.  SSL_RSA__avec_3DES_EDE-CBC_SHA - Echange de clés RSA avec 3DES et DES- EDE3 pour le cryptage et message digest SHA.  SSL_RSA__avec_DES_CBC_SHA - Echange de clés RSA avec 3DES et DES-CBC pour le cryptage et message digest SHA. ccnp_cch

4 Pour les images IPSec 5, seul SSL_RSA_avec_DES-CBC-SHA est supporté
Pour les images IPSec 5, seul SSL_RSA_avec_DES-CBC-SHA est supporté. Pour plus de détails sur les suites de cryptage, voir le document "SSL Protocol version 3.0" Internet Draft. Pour cette fonctionnalité RSA (en conjonction avec les combinaisons de cryptage spéci- fiées et l'algorithme de digest ci-dessus) est utilisée pour la génération de clés et l'au- thentification de connexions SSL. Cette utilisation est indépendante de la configuration ou non d'une autorité de certification. Informations sur le serveur et le client HTTPS-HTTP avec SSL 3.0 Pour configurer HTTPS-HTTP avec la fonctionnalité SSL 3.0, vous devez comprendre les concepts suivants:  Serveur HTTP sécurisé et le client HTTP sécurisé  Autorité de certificat point de confiance  Suites de cryptage Serveur HTTP sécurisé et le client HTTP sécurisé Une connexion HTTP sécurisée signifie que les données transmises et reçues d'un ser- veur HTTP sont cryptées avant d'être transmises sur Internet. HTTP avec le cryptage SSL fournit une connexion sécurisée pour permettre des fonctions telles que la configu- ration d'un routeur à partir d'un navigateur web. L'implémentation Cisco du serveur HTTP sécurisé et du client HTTP sécurisé utilise une implémentation SSL (Secure Soc- ket Layer) version 3.0. Le cryptage au niveau de la couche application fournit une alter- native à d'anciennes méthodes telles que l'établissement d'un tunnel vers le serveur HTTP pour une administration distante. HTTP sur SSL est nommé HTTPS; l'URL d'une connexion sécurisée commence par au lieu de Le rôle du serveur HTTP sécurisé est d'écouter les requêtes HTTPS sur un port désigné (le port HTTPS par défaut est le 443) et de passer la requête au serveur web HTTP 1.1. Le serveur HTTP 1.1 traite la requête et passe les réponses (pages servies) au serveur HTTP sécurisé qui à son tour répond à la requête originale. Le rôle du client HTTP sécurisé de l'IOS Cisco est de répondre aux requêtes de l'appli- cation IOS Cisco pour les services de l'agent utilisateur HTTPS, réalise les services de l'agent utilisateur HTTPS à la demande de l'application et passe les réponses à l'appli- cation en retour. Autorité de certificat point de confiance Les autorités de certificat (CA) sont responsables de la gestion des requêtes de certificat et de la délivrance de certificats aux équipements qui participent à un réseau IPSec. Ces services fournissent une clé de sécurité et une gestion de certificats centralisées pour les équipements concernés. Les serveurs CA spécifiques sont appelés "points de confian- ce ou "trustpoints". ccnp_cch

5 Le serveur HTTPS fournit une connexion sécurisée en fournissant un certificat X509v3
certifié au client quand une tentative de connexion est faite. Le certificat x509v3 est ob- tenu du point de confiance CA spécifié. Le client à son tour (un navigateur web) a une clé publique qui lui permet d'authentifier le certificat. La configuration d'un serveur CA est fortement recommandée pour des connexions HTTP sécurisées. Toutefois si un point de confiance CA n'est pas configuré pour l'équi- pement de routage opérant avec le serveur HTTP, le serveur se certifiera lui-même et génèrera la paire de clés RSA nécessaire. Comme un certificat (auto-signé) auto-certifié ne fournit pas de sécurité adéquate, le client qui se connecte génèrera une notification indiquant que le certificat est auto-signé et que l'utilisateur a le choix d'accepter ou de refuser la connexion. Cette option est disponible pour des besoins de test interne. Cette fonctionnalité fournit également une commande optionnelle (ip http secure-client -auth) qui lorsqu'elle est validée, fait que le serveur HTTPS demande un certificat X509 v3 au client. L'authentification du client fournit plus de sécurité que l'authentification du serveur lui-même. Suites de cryptage Une suite de cryptage (CipherSuite) spécifie les algorithmes de cryptage et de digest à utiliser pour une connexion SSL. Les navigateurs web offrent une liste des suites de cryptage supportées quand on se connecte au serveur HTTPS et le client et le serveur négocient le meilleur algorithme de cryptage à utiliser parmi ceux supportés par les deux parties. Par exemple Netscape Communicator 4.76 supporte la sécurité US avec la Cryptographie à clés publiques RSA, MD2, MD5, RC2-CBC, RC4, DES-ED3E-CBC et DES-CBC. Pour un meilleur cryptage possible, vous devez utiliser un navigateur qui supporte un cryptage 128 bits tel que Microsoft Internet Explorer version 5.5 ou Netscape Commu- nicator 4.76 (ou suivants). La suite de cryptage SSL_RSA_avec_DES_CBC_SHA fournit moins de sécurité que les autres suites car n'offre pas de cryptage à 128 bits. En termes de charge de traitement pour les routeurs (vitesse), la liste suivante ordonne les suites de cryptage de la plus rapide à la plus lente (un temps légèrement plus long est requis pour les suites de cryptage plus sécurisées et plus complexes. 1. SSL_RSA_WITH_DES_CBC_SHA 2. SSL_RSA_WITH_RC4_128_MD5 3. SSL_RSA_WITH_RC4_128_SHA 4. SSL_RSA_WITH_3DES_EDE_CBC_SHA ccnp_cch

6 Comment configurer le serveur et le client HTTP sécurisé
 Déclarer un point de confiance autorité de certificat  Configurer le serveur HTTP sécurisé  Configurer les options du serveur HTTP  Configurer le client HTTP sécurisé Déclarer un point de confiance autorité de certificat La configuration d'un point de confiance CA est fortement recommandée pour les con- nexions HTTP sécurisées. Le certificat X509v3 certifié pour le serveur HTTP sécurisé (ou le client) est obtenu du point de confiance CA spécifié. Si vous ne déclarez pas de point de confiance CA alors un certificat auto-signé sera utilisé pour les connexions HTTP sé- curisées. Le certificat auto-signé est généré automatiquement. Résumé des étapes 1. hostname 2. ip domain-name 3. crypto key generate rsa (optionnel) 4. crypto ca trustpoint 5. enrollment url 6. enrollement http-proxy (optionnel) 7. crl {query | optional | best-effort} 8. primary 9. exit 10. crypto ca auth 11. crypto ca enroll 12. copy running-config startup-config ou copy system:running-config nvram:startup-config Etapes détaillées Commande But hostname name Exemple: (config)# hostname Routeur Routeur(config)# Spécifie le nom de host du routeur. • Cette étape est nécessaire si vous n'avez pas déjà configuré un nom de host pour votre rou- teur. Le nom de host est requis car un nom de domaine complet est nécessaire pour les clés de sécurité et les certificats. ip domain-name name Routeur(config)# ip domain-name myrouter.example.com Spécifie le nom de domaine IP du routeur. • Cette étape est nécessaire si vous n'avez pas déjà configuré un nom de domaine IP pour votre routeur. Le nom de domaine est requis car un nom de domaine complet est nécessaire pour les clés de sécurité et les certificats. ccnp_cch

7 ccnp_cch Commande But crypto key generate rsa [usage-keys] Exemple:
Routeur(config)# crypto key generate rsa The name for the keys will be: myrouter.example.com How many bits in the modulus[512]? Generating RSA keys.... [OK]. (Optionnel) Génère une paire de clés RSA. • Les paires de clés RSA sont utilisées pour si- gner et crypter les message IKE de gestion de clés et sont requis avant de pouvoir obtenir un certificat pour votre routeur. • Les paires de clés RSA sont générées automati- quement. Cette commande peut être utilisée pour régénérer les clés si nécessaire. crypto ca trustpoint name Routeur(config)# crypto ca trustpoint TP1 Spécifie un nom de configuration local pour le point de confiance CA et entre en mode de confi- guration ca-trustpoint. Note: La commande crypto ca identity a été remplacée par la commande crypto ca trustpoint l'IOS Cisco Release 12.2(8)T. enrollment url URL Routeur(ca-trustpoint)# enrollment url URL de la CA vers laquelle votre routeur doit transmettre ses requêtes de certificat. • Si vous utilisez SCEP (Simple Certificate Enrol- lment Protocol) pour l'enrôlement, l'argument URL doit être de la forme où CA-name est le nom de host DNS ou l'adresse IP du point de confiance CA. enrollment http-proxy host-name port-number Routeur(ca-trustpoint)# enrollment http-proxy domain2.com 8080 (Optionnel) Configure le routeur pour qu'il obtienne les certificats de la CA à travers un proxy HTTP. crl {query url | optional | best-effort} Routeur(ca-trustpoint)# crl query ldap://example.domain.com Configure le routeur pour qu'il demande une lis- te de révocation de certificat (CRL), rend la vérifi- cation de CRL optionnelle ou réalise la vérifica- tion de CRL sur la base du "best-effort". • Les CRLs assurent que le certificat de l'extrémi- té n'a pas été révoqué. • La commande crl optional configure le routeur pour qu'il accepte les certificats même si la CRL appropriée ne peut pas être chargée. • Utilisez la commande crl query url pour spéci- fier l'URL LDAP (Lightweight Directory Access Protocol) du serveur CA; par exemple ldap://another_server. primary Routeur(ca-trustpoint)# primary (Optionnel) Spécifie que ce point de confiance doit être utilisé comme le point de confiance primaire (par défaut) pour les requêtes CA. • Utilisez cette commande si plusieurs points de confiance CA sont configurés sur ce routeur. ccnp_cch

8 ccnp_cch Configurer le serveur HTTP sécurisé Prérequis
Commande But exit Exemple: Routeur(ca-trustpoint)# exit Sort du mode de configuration ca-trustpoint et retourne en mode de configuration global. crypto ca authenticate name Routeur(config)# crypto ca authenticate TP1 Authentifie la CA en obtenant la clé publique de la CA. • Utilisez le même nom que vous avez déclaré quand vous avez déclaré la CA avec la comman- de crypto ca trustpoint. crypto ca enrollment name Routeur(config)# crypto ca enrollment TP1 Obtention du certificat du point de confiance CA spécifié. • Cette commande demande un certificat signé à la CA pour chaque paire de clés RSA. copy running-config startup-config ou copy system:running-config nvram:startup-config Routeur(config)# do copy running-config startup-config Sauvegarde la configuration en NVRAM. • Cette commande est requise pour sauvegarder les certificats en NVRAM. Si elle n'est pas utili- sée, les certificats seront perdus au prochain redémarrage. • Le préfixe do cde la commande permet d'exécu- ter des commandes en mode EXEC dans le mode de configuration global. Configurer le serveur HTTP sécurisé Prérequis Si une autorité de certificat doit être utilisée pour la certification, vous devez déclarer un point de confiance CA sur l'équipement de routage avant de valider le serveur HTTP sécurisé. Résumé des étapes 1. show ip http server status 2. configure terminal 3. ip http secure-server 4. ip http secure-port 5. ip http secure-ciphersuite 6. ip http secure-client-auth 7. ip http secure-trustpoint 8. end 9. show ip http server secure status ccnp_cch

9 ccnp_cch Commande But Routeur# show ip http server status Exemple:
HTTP server status: Disabled HTTP server port: 80 HTTP server authentication method: enable HTTP server access class: 0 HTTP server base path: Maximum number of concurrent server connections allowed: 5 Server idle time-out: 600 seconds Server life time-out: 600 seconds Maximum number of requests allowed on a connection: 1 HTTP secure server capability: Present HTTP secure server status: Disabled HTTP secure server port: 443 HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-12a HTTP secure server client authentication: Disabled HTTP secure server trustpoint: (Optionnel) Affiche l'état du serveur HTTP. • Si vous n'êtes pas sur que le serveur HTTP sécurisé est supporté dans l'image logicielle, entrez cette commande et cherchez la ligne “HTTP secure server capability: {Present | Not present}”. • Cette commande montre l'état du serveur HTTP standard (enabled ou disabled). configure terminal Routeur# configure terminal Entre en mode de configuration global. no ip http server Routeur(config)# no ip http server Dévalide le serveur HTTP standard. Note: Quand vous validez le serveur HTTP sécu- risé (HTTPS) vous devez toujours dévalider le serveur HTTP standard pour éviter des connexi-ons non sécurisées aux mêmes services. Ceci est une étape de précaution (le serveur HTTP est dévalidé par défaut). ip http secure-server Routeur(config)# ip http secure-server Valide le serveur HTTPS. ip http secure-port port-number Routeur(config)# ip http secure-port 1025 (Optionnel) Spécifie le numéro de port qui doit être utilisé pour le serveur HTTPS server. Le numéro de port par défaut est 443. Les options valides sont tout nombre compris dans l'inter- valle 1025 à ccnp_cch

10 ccnp_cch Commande But ip http secure-ciphersuite {[3des-ede-cbc-sha]
[rc4-128-md5] [rc4-128-sha] [des-cbc-sha]} Exemple: Routeur(config)# rc4-128-sha rc4-128-md5 (Optionnel) Spécifie les CipherSuites (algorith-mes de cryptage) qui doivent être utilisés pour le cryptage sur une connexion HTTPS. • Cette commande vous permet de restreindre la liste des CipherSuites que le serveur offre aux clients qui se connectent. Par exemple, vous souhaitez que seule la CipherSuite la plus sé- curisée soit utilisée. • Sauf si vous avez une raison particulière pour spécifier les CipherSuites à utiliser ou si vous ne connaissez pas bien les CipherSuites, vous ne devez pas utiliser cette commande et laisser le client et le serveur négocier la CipherSuite que tous les deux supportent (c'est le compor- tement par défaut). ip http secure-client-auth (Optionnel) Configure le serveur HTTP pour qu'il demande un certificat X.509v3 au client pour authentifier celui-ci pendant le processus de connexion. • Dans le processus de connexion et d'authenti- fication par défaut, le client demande un certi- ficat au serveur HTTP mais le serveur ne tente pas d'authentifier le client. Authentifier le client fournit plus de sécurité que l'authentifi- cation du serveur lui-même mais tous les clients ne sont pas configurés pour une au- thentification par certificat. ip http secure-trustpoint name ip http secure-trustpoint trustpoint_01 Spécifie le point de confiance CA qui doit être utilisé pour obtenir un certificat de sécurité X509v3 et pour authentifier le certificat du client qui se connecte. • L'utilisation de cette commande présume que vous avez déjà déclaré le point de confiance CA avec la commande crypto ca trustpoint et les commandes du sous-mode associé. • Utilisez le même nom de point de confiance que vous avez utilisé dans la commande crypto ca trustpoint associée. end Routeur(config)# end Routeur# Termine la configuration en cours et retourne en mode XEC privilégié. ccnp_cch

11 ccnp_cch Vérification d'une connexion HTTP sécurisée
Commande But show ip http server secure status Exemple: Routeur# HTTP secure server status: Enabled HTTP secure server port: 1025 HTTP secure server ciphersuite: rc4-128-md5 rc4-128-sha HTTP secure server client authentication: Disabled HTTP secure server trustpoint: CA_trust_local Affiche l'état de la configuration du serveur HTTP. Vérification d'une connexion HTTP sécurisée Pour connecter le routeur opérant avec le serveur HTTPS avec un navigateur web, en- trez la ligne dans laquelle URL est l'adresse IP ou le nom de host du rou- teur. Si un port autre que celui par défaut est configuré (en utilisant la commande ip http secure-port) vous devez également spécifier le numéro de port après URL. Par exemple: ou Généralement vous pouvez vérifier que vous avez une connexion sécurisée avec un ser- veur HTTP en regardant si l'icône d'un cadenas fermé apparaît dans le bas de la fenêtre du navigateur. Notez également que les connexions HTTP sécurisées ont une URL qui débute par au lieu de Configurer les options du serveur HTTP La configuration du serveur HTTP standard s'applique également au serveur HTTP sécu- risé. Les commandes optionnelles suivantes sont des commandes pour le serveur HTTP standard qui s'appliquent aussi au serveur HTTP sécurisé. Résumé des étapes 1. ip http path 2. ip http access-class 3. ip http max-connections 4. ip http timeout-policy ccnp_cch

12 ccnp_cch Etapes détaillées Commande But ip http path path-name
Exemple: Routeur(config)#ip http path slot1: (Optionnel) Fixe le chemin HTTP de base pour les fichiers HTML. • Le chemin de base est utilisé pour spécifier l'emplacement des fichiers du serveur HTTP (fichiers HTML) sur le système local. Générale- ment les fichiers HTML sont situés dans le système mémoire Flash. ip http access-class access-list-number Routeur(config)#ip http access-class 20 (Optionnel) Spécifie la liste d'accès qui doit être utilisée pour autoriser l'accès au serveur HTTP. ip http max-connections value Routeur(config)# ip http max-connections 10 (Optionnel) Fixe le nombre maximum de conne-xions simultanées autorisées pour le serveur HTTP. La valeur par défaut est 5. ip http timeout-policy idle seconds life seconds requests value Routeur(config)# ip http timeout-policy idle 30 life 120 requests 100 (Optionnel) Fixe les caractéristiques qui détermi-nent combien de temps une connexion avec le serveur HTTP doit rester ouverte. Les caractéris- tiques sont: idle - Nombre maximum de secondes d'ouvertu- re d'une connexion si aucune données n'est re- çue ou si une données de réponse ne peut pas être transmise sur cette connexion. Notez qu'une nouvelle valeur ne sera pas effective sur des con- nexions existantes. Si le serveur est trop chargé et que la limite du temps life ou que le nombre de requests est atteint, la connexion peut être fermée plus tôt. La valeur par défaut est 180 secondes (3 minutes). life - Nombre maximum de secondes d'ouvertu- re d'une connexion à partir du moment où elle est établie. Notez qu'une nouvelle valeur ne sera pas effective sur des connexions existantes. Si le serveur est trop chargé et que la limite du temps life ou que le nombre de requests est atteint, la connexion peut être fermée plus tôt. Ainsi tant que le serveur ne ferme pas la connexion car il traite une requête, la connexion peut rester ou- verte plus longtemps que le temps life si le trai- tement est en cours quand le temps maximum est atteint. Dans ce cas la connexion sera fermée dès que le traitement est terminé. La valeur par défaut est de 180 seconds (3 minutes). La valeur maximum est secondes (24 hours). requests - Limite maximum du nombre de re-quêtes traitées sur une connexion persistante avant qu'elle soit fermée. Notez qu'une nouvelle valeur ne sera pas effective sur des connexions existantes. Si le serveur est trop chargé et que la limite du temps idle est atteinte, la connexion peut être fermée avant que le nombre maximum de requêtes soit traité. La valeur par défaut est de 1. La valeur maximum est ccnp_cch

13 ccnp_cch Configurer le client HTTP sécurisé Prérequis
Le client HTTP standard et le client HTTP sécurisé sont toujours validés. Une autorité de certificat est requise pour la certification du client HTT; les étapes sui- vantes présument que vous avez déjà déclaré un point de confiance CA sur l'équipement de routage. Si un point de confiance CA n'est pas configuré et que le serveur HTTPS dis- tant requiert l'authentification du client, les connexions avec le client NTTP sécurisé échouent. Résumé des étapes 1. ip http client secure-trustpoint 2. ip http client secure-ciphersuite 3. end 4. show ip http client secure status Etapes détaillées Commande But ip http client secure-trustpoint name Exemple: Routeur(config)# ip http client secure-trustpoint trustpoint_01 (Optionnel) Spécifie le point de confiance CA qui doit être utilisé si le serveur HTTP distant re- quiert l'authentification du client. • L'utilisation de cette commande présume que vous avez déjà déclaré un point de confiance CA avec la commande crypto ca trustpoint et commandes de sous-mode associées. • Utilisez le même nom de point de confiance que vous avez utilisé dans la commande crypto ca trustpoint associée. • Cette commande est optionnelle si l'authentifi- cation du client est optionnelle ou si un point de confiance primaire a été configuré. Si la commande ip http client secure-trustpoint n'est pas utilisée, le routeur utilisera le point de confiance primaire comme spécifié par la commande primary en mode de configuration ca-trustpoint. ccnp_cch

14 ccnp_cch Commande But ip http client secure-ciphersuite
{[3des-ede-cbc-sha] [rc4-128-md5] [rc4-128-sha] [des-cbc-sha]} Exemple: Routeur(config)# rc4-128-sha rc4-128-md5 (Optionnel) Spécifie les CipherSuites (algorith-mes de cryptage) qui doivent être utilisés pour le cryptage dur les connexions HTTPS. • Cette commande vous permet de restreindre la liste des CipherSuites que le serveur offre aux clients qui se connectent. Par exemple, vous souhaitez que seule la CipherSuite la plus sé- curisée soit utilisée. • Sauf si vous avez une raison particulière pour spécifier les CipherSuites à utiliser ou si vous ne connaissez pas bien les CipherSuites, vous ne devez pas utiliser cette commande et laisser le client et le serveur négocier la CipherSuite que tous les deux supportent (c'est le compor- tement par défaut). end Routeur(config)# end Routeur# Termine la session de configuration en cours et retourne en mode EXEC privilégié. show ip http client secure status Routeur> show ip http client secure status HTTP secure client ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-12a HTTP secure client trustpoint: Affiche l'état de la configuration du serveur the status of the HTTP secure server configuration. ccnp_cch

15 Exemples de configuration pour le client et le serveur HTTP sécurisé
L'exemple suivant montre une session de configuration dans lequel le serveur HTTP sé- curisé est validé, le port configuré pour le serveur HTTP sécurisé est le 1025 et le ser- veur CA point de confiance distant "CA trust-local" est utilisé pour la certification. Router# show ip http server status HTTP server status: Disabled HTTP server port: 80 HTTP server authentication method: enable HTTP server access class: 0 HTTP server base path: Maximum number of concurrent server connections allowed: 5 Server idle time-out: 600 seconds Server life time-out: 600 seconds Maximum number of requests allowed on a connection: 1 HTTP secure server capability: Present HTTP secure server status: Disabled HTTP secure server port: 443 HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-12a HTTP secure server client authentication: Disabled HTTP secure server trustpoint: Router# config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# ip http secure-server Router(config)# ip http client secure-trustpoint CA_trust_local Router(config)# ip http secure-port 1024 Invalid secure port value. Router(config)# ip http secure-port 1025 Router(config)# ip http secure-ciphersuite rc4-128-sha rc4-128-md5 Router(config)# end Router# show ip http server secure status HTTP secure server status: Enabled HTTP secure server port: 1025 HTTP secure server ciphersuite: rc4-128-md5 rc4-128-sha HTTP secure server trustpoint: CA_trust_local Dans l'exemple suivant, le point de confiance CA "CA-trust_local" est spécifié et le client HTTPS est configuré pour utiliser ce point de confiance pour les requêtes d'authentifica- tion du client. Router(config)# crypto ca trustpoint CA_trust_local Router(ca-trustpoint)# enrollment url Router(ca-trustpoint)# crl query ldap://example.domain.com Router(ca-trustpoint)# primary Router(ca-trustpoint)# exit Router# copy running-config startup-config ccnp_cch

16 Références additionnelles
Pour des informations additionnelles liées au client et au serveur HTTP-HTTPS avec SSL 3.0, référez-vous aux documents suivants. Documents liés Sujet traité Titre du document HTTP commands Cisco IOS Network Management Command Reference, Release 12.4T SSL 3.0 The SSL Protocol Version 3.0. Ce document est disponible à partir de diverse sources en ligne. De manière courante le document "draft-freier-ssl-version3-02.txt" est disponible à Standard Cisco Web Client HTTP 1.1 Web Client, Release 12.2(15)T feature document. Standard Cisco Web Server HTTP 1.1 Web Server, Release 12.2(15)T Certification Authority Interoperability Configuring Certification Authority Interoperability, Release 12.2 Document principal Certificate Autoenrollment, Release 12.2(8)T Certificate Enrollment Enhancements, Release 12.2(8)T Trustpoint CLI, Release 12.2(8)T Source Interface Selection for Outgoing Traffic with Certificate Authority, Release 12.2(15)T Standards Aucun standard nouveau ou modifié n'est supporté pour cette fonctionnalité et les standards existants n'ont pas été modifiés pour cette fonctionnalité. ccnp_cch

17 MIBs RFCs ccnp_cch Sujet traité Titre du document Pas de MIB liée
Pour localiser et télécharger des MIBs pour des plateformes sélectionnées, des releases d'IOS Cisco et ensembles de fonctionnalités, utilisez le Cisco MIB Locator situé à l'URL suivante : RFCs RFCs Titre RFC 2616 L'implémentation Cisco de HTTP est basée sur le RFC 2616, “Hypertext Transfer Protocol -- HTTP 1.1" ccnp_cch


Télécharger ppt "Serveur et Client HTTPS-HTTP avec SSL 3.0"

Présentations similaires


Annonces Google