用于远程管理的安全 Web 访问

您可以通过 J-Web 界面远程管理瞻博网络设备。为了与设备通信，J-Web 界面使用超文本传输协议 （HTTP）。HTTP允许轻松访问Web，但不加密。通过HTTP在Web浏览器和设备之间传输的数据容易受到拦截和攻击。为了实现安全的 Web 访问，瞻博网络设备支持通过安全套接字层 （HTTPS） 进行 HTTP。您可以根据需要在特定接口和端口上启用 HTTP 或 HTTPS 访问。

瞻博网络设备使用安全套接字层 （SSL） 协议，通过 Web 界面提供安全的设备管理。SSL 使用公钥-私钥技术，该技术需要配对的私钥和身份验证证书才能提供 SSL 服务。SSL 使用由 SSL 服务器证书协商的会话密钥对设备与 Web 浏览器之间的通信进行加密。

SSL 证书包括公钥和证书颁发机构 （CA） 签名等标识信息。当您通过 HTTPS 访问设备时，SSL 握手会对服务器和客户端进行身份验证，并开始安全会话。如果信息不匹配或证书已过期，则无法通过 HTTPS 访问设备。

如果没有SSL加密，您的设备和浏览器之间的通信是公开发送的，可能会被拦截。我们建议您在 WAN 接口上启用 HTTPS 访问。

默认情况下，在内置管理接口上启用 HTTP 访问。默认情况下，任何具有 SSL 服务器证书的接口都支持 HTTPS 访问。

使用出厂默认配置初始化瞻博网络 EX 系列以太网交换机时，交换机会生成自签名证书，从而允许通过安全套接字层 （SSL） 协议对交换机进行安全访问。安全套接字层上的超文本传输协议 （HTTPS） 和安全套接字层上的 XML 网络管理 （XNM-SSL） 是可以使用自签名证书的两种服务。

交换机提供两种生成自签名证书的方法：

• 自动生成

  在这种情况下，证书的创建者是交换机。默认情况下，交换机上会配置自动生成（也称为“系统生成”）的自签名证书。

  初始化交换机后，它会检查是否存在自动生成的自签名证书。如果未找到，交换机将生成一个并将其保存在文件系统中。

  交换机自动生成的自签名证书类似于 SSH 主机密钥。它存储在文件系统中，而不是作为配置的一部分。交换机重新启动时，它仍然存在，发出命令时 request system snapshot 会保留。

  交换机对自动生成的证书使用以下可分辨名称：

  “ CN=<device serial number>, CN=system generated, CN=self-signed”

  如果删除交换机上系统生成的自签名证书，交换机将自动生成自签名证书。

• 手动生成

  在这种情况下，您将为交换机创建自签名证书。您可以随时使用 CLI 生成自签名证书。手动生成的自签名证书存储在文件系统中，而不是作为配置的一部分。

自签名证书自生成之日起有效期为五年。自动生成的自签名证书有效期到期时，您可以将其从交换机中删除，以便交换机生成新的自签名证书。

系统生成的自签名证书和手动生成的自签名证书可以在交换机上共存。

此示例说明如何在设备上配置安全 Web 访问。