安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持
基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案
CH
安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持
一. WAF代理HTTPS站点原理介绍
WAF代理后交互介绍
由于WAF本身采用的就是反向代理架构,所以不论是串联、旁路还是反向代理,其中的交互过程都是一样的。
代理过程分以下三步:
1. 客户端访问WAF,首先完成三次握手:
其中45.64.168.122是WAF的WAN口地址,192.168.16.63是客户端地址。
2. WAF充当服务器,建立第一段连接,开始进行ssl握手:
这个过程中,客户端hello发完后,WAF会响应一个server的hello包,后面紧跟着WAF相应站点证书的公钥:
即这里上传的cer证书(其中包括公钥,私钥和CA证书):
然后客户端根据此证书的公钥进行加密后传输数据:
3. 和真实客户端ssl握手建立成功后,WAF用上传证书中的私钥解密真实客户端发来的数据,开始向真实服务器发送握手请求建立第二段连接,此时WAF充当客户端,真实服务器发给WAF的证书是真实服务器上储存的公钥:
然后WAF用服务器发来的公钥将数据加密后发给服务器。
如此一来,两段ssl握手完成,开始数据交互。
上传至WAF的HTTPS证书作用介绍
实际上上传到waf的证书有两个作用,一是发送公钥给客户端让客户端加密,二是用来解密客户端发来的真实数据。而与真实服务器的交互过程实际用的是真实服务器发来的公钥。
此外,浏览器会校验证书链的完整性,以及颁发机构(CA)是否在可信列表中,因此,上传到WAF的HTTPS证书中除服务器公私钥外,应当添加有CA机构颁发的中间证书及根证书。
二. 服务器公私钥提取方法
很多客户的网站维护人员不会操作服务器将证书提取出来,还有一些客户是不会同意我们在服务器上直接将公私钥拷贝出来的,他们只会提供给我们一些加密过的JKS/PFX证书,其中包含公私钥,我们需要从中提取,下面具体介绍公私钥的提取方法。
从Linux/Nginx服务器直接提取公钥
如果服务器中间件的ssl配置文件中没有保存服务器的公私钥,那么可以借用服务器自带的openssl工具来导出公钥:
1. #openssl req -new -key server110.com.key -out server110.com.csr //制作CSR证书申请文件,按步骤填写相关信息:
2. 给申请证书自签名:
openssl x509 -req -days 3650 -in server110.com.csr -signkey server110.com.key -out server110.com.crt
-days 3650 证书的有效期,自己给自己颁发证书,想有多久有效期,就弄多久,我一下弄了10年的有效期;
-in server110.com.csr 指定CSR文件
-signkey server110.com.key 指定服务器的私钥key文件
-out server110.com.crt 设置生成好的证书文件名
3. server110.com.crt就是我们所要的公钥:
二.2 从Linux/Nginx服务器直接提取私钥
#mkdir /etc/cert //建立证书和key的保存目录,路径自己决定;
#cd /etc/cert
#openssl genrsa -out server110.com.key 1024 //生成1024位加密的服务器私钥server110.com.key
然后去除私钥的密码:
# openssl rsa -in server.key -out server.key
从Windows服务器提取公私钥(PFX)
从IIS中间键中导出PFX文件
当然windows系统也可以在cmd命令行下参照2.1和2.2的命令使用openssl来导出公私钥。
对于IIS服务器,可从UI导出PFX文件从而提取公私钥:
这里以II6为例,IIS7操作也类似,从UI导出即可。
1.在运行中输入“mmc”出现“控制台窗口
2. 在控制台的主菜单选择“添加/管理单元”:
3. 点击“添加”后往下拉滚动条,找到“证书”,选中后继续点“添加”
4. 选择“计算机账户”后点击下一步:
5. 按下图配置,点击“完成”:
6.然后可以看到新添加的管理单位--证书:
7. 选择证书--个人--证书,就可以看到所有的站点了,然后右键选择需要导出证书的站点,选择“所有任务”--“导出”即可将证书导出
8. 导出私钥:
9. 如果允许直接导出base64编码的证书,则直接选择base64编码导出,如果不行,则导出为PKCS12加密的PFX证书
10. 为导出的证书键入密码(强制):
11. 键入文件名:
12. 导出成功:
注意:导出的PFX中包含有加密的私钥和一个自签名的公钥,如果站点有CA证书,则需使用带有CA签名的公钥。
从PFX文件中提取公私钥
好了,当客户提供给我们这个PFX文件后,如何将公私钥从中提取出来呢?请参照以下步骤:
首先,你得准备好安装有openssl的环境。假设PFX文件名为cqdx.pfx
1. openssl pkcs12 -in cqdx.pfx -nodes -out server.pem
2. 以RSA加密方式输出私钥:openssl rsa -in server.pem -out server.key
以x509解码方式输出公钥:openssl x509 -in server.pem -out server.crt
这样,公钥的crt文件和私钥的key文件就得到了,然后按步骤合成WAF可用的cer证书即可。
从JKS文件提取公私钥
一般来说,有安全意识的服务器运维人员不会直接将脱密的公私钥文件交付给咱们,为保证公私钥传递过程的安全性,一般会选用keystore(javascript自带工具)将公私钥加密后导出为JKS文件再进行交付。那我们拿到JKS文件后如何将公私钥从中提取出来呢?请参照以下步骤执行:
1、从JKS转换到PKCS12
D:\ssl>keytool -importkeystore -srckeystore keystore_old.jks -destkeystore keystore_old.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit -srcalias tom_server -destalias xxx -srckeypass changeit -destkeypass changeit -noprompt
英语小白指南:这里srcstorepass后面跟的是导出jks时设置的密码;destpass是导出为.p12文件后的密码;srcalias是用keystore导出jks时设置的别名,destalias是输出为.p12后的别名;srckeypass是jks中私钥加密的密码,destkeypass则是导出的p12文件中用来加密私钥的密码
2、从PKCS12转换成PEM格式
openssl pkcs12 -in keystore_old.p12 -out server.pem -passin pass:12345678 -passout pass:12345678
英语小白指南:
-srcstorepass 654321/-srckeypass 654321 是客户提供的密码
-deststorepass 123456/-destkeypass 123456 是新生成的密码(也要一致,不一致会报错)
3、以RSA加密方式输出私钥:openssl rsa -in server.pem -out server.key
以x509解码方式输出公钥:openssl x509 -in server.pem -out server.crt
这样,公钥的crt文件和私钥的key文件就得到了,然后按步骤合成WAF可用的cer证书即可。
从浏览器中直接导出公钥
首先访问目标站点,点击浏览器上的锁图标:
然后点击查看证书:
在详细信息选项卡中点击导出:
格式选择pem或者crt即可:
至此,服务器公钥GET
如何从抓包中获取公钥和CA证书
1. 首先,抓到一次完整的HTTPS交互报文,并找到Certificate项(如果包含多级证书,一次会话中会包含多个Certificate)
2. 扩展此项,找到certificate握手内容记录(如经CA认证,应该有多个):
3. 右键先选择第一个Certificate,选择“导出分组字节流”:
4. 另存为一个原始编码的bin文件:
5. 将此文件后缀修改为der:
6. 双击打开即可查看证书信息:
按照此方法依次导出Certificate选项中的所有certificate记录,即可获得公钥和CA证书。
以从上至下的顺序,这些证书分别是:
1. 公钥
2. CA二级证书(如果有的话)
3. CA根证书
三. WAF HTTPS站点证书格式说明
所需材料:
1. 服务器私钥server.key;
2. 签名过的公钥xxx.cer或xxx.crt或xxx.pem;
3. CA证书(包括中级证书,根证书)
注意,这里摆放顺序很有讲究,公钥须在文件最顶端,然后是CA证书(中级证书,根证书),最后是私钥。
Linux可用cat合成,windows则推荐用notepad++合成。
一个完整的HTTPS站点证书示例:
证书链不完整可能会导致部分浏览器(尤其是安卓系统自带的浏览器)校验不通过导致无法访问对应的网站。
串口登录操作步骤:
1、建议使用绿盟原厂串口线,如果未出现登录login的提示,可能因为不是原厂串口线,不兼容造成的。并确保串口线、转换线等接口处连接正常。
2、选择串口登录程序:XP自带超级终端、其他系统可以安装secure CRT运行程序。
3、确认识别到的端口号:右键单击我的电脑—管理—设备管理器—端口,查看端口状态,确认您连接使用的是哪个端口(COM)。
4、新建连接任务,在相应的端口上建立连接任务。
5、根据向导进行设置:协议(Protocal)选择serial,点击【下一步】
6、选择相应端口(注意步骤3的端口确定操作),波特率(bits per second)选择115200(根据各设备选择,可参考各设备用户手册),其他不变保持默认,关闭流控选项。
5、点击下一步,按enter键,界面出现login提示符:则可以输入串口的用户名密码。(用户手册上可以确定具体产品的串口登录用户名密码)
6、登陆串口以后,出现提示选择语言的界面。选择中文,按enter键选择,进入串口功能菜单界面。
设备授权证书导入
以下以NIDS设备为例,介绍绿盟设备授权证书导入方法。
NIDS的证书分为以下两类:
试用证书过期后,将无法继续使用本系统。
正式证书过期后,可以继续使用本系统,但无法进行系统升级。
通过查看证书状态,用户可以了解NIDS产品支持的功能模块及其限用日期等信息。
步骤 1选择菜单 系统 > 证书管理 > 证书管理,进入系统证书管理页面,如图1-1所示。
图1-1 查看证书状态信息
步骤 2查看证书状态信息。主要参数含义如表1-1所示。
表1-1 证书状态参数
|
配置项 |
描述 |
|---|---|
|
证书状态 |
显示“正常”,表示证书已正确导入,系统状态正确,可以正常使用本系统;显示“过期”,表示证书已超过有效使用期。 |
|
证书类型 |
NIDS设备中导入的证书的类型。
|
|
产品型号 |
证书对应的产品型号。 |
|
序列号 |
证书的序列号。 |
|
功能模块 |
用户已购买的证书中支持的功能模块信息。 |
|
颁发对象 |
有权使用NIDS的用户。 |
|
本期服务起始日期/本期服务终止日期 |
显示证书的有效时间,有效时间从“本期服务起始日期”的0点到“本期服务终止日期”的24点。 表格中说明
|
----结束
初次登录系统时,必须导入证书,否则无法使用NIDS设备。导入证书的操作步骤如下:
----结束
以下以NIDS设备为例,介绍香港正版挂牌产品常见登录方式。具体可参考各产品用户手册。
NIDS主要支持以下两种管理方式:
最直观的人机交互管理方式,提供最全面的功能管理界面。
通过控制台以命令行方式对NIDS进行简单配置和管理。
Web管理系统为管理员提供了更直观的人机交互方式,管理员通过Web管理界面实现对NIDS的管理和配置。下面详细介绍Web管理的用户、登录方法、页面布局以及常用操作。
NIDS在Web管理界面下,有两类用户:
具有对系统的Web界面进行管理、配置的功能。
具有查看系统日志的功能。
各产品缺省系统操作员、审计员用户名及初始密码可参考对应用户手册。
本节以IE浏览器为例,介绍登录NIDS的Web管理系统的详细步骤。
步骤 1确认客户端主机可以和NIDS正常通讯(如果通过防火墙,请将443端口打开)。
步骤 2打开IE浏览器,用HTTPS方式连接NIDS的管理IP地址,例如https://192.168.1.1。
步骤 3回车后出现安全警报信息,如图1-1所示。
图1-1 登录时的安全警报界面
步骤 4单击“继续浏览此网站(不推荐)”,接受NIDS许可证加密的通道,跳转到NIDS的Web登录页面,如图1-2所示。
图1-2 Web管理登录界面
步骤 5输入正确的用户名和密码。
步骤 6单击【登录】按钮,进入Web管理页面。
----结束
|
说明 |
|
通过Console口连接可以访问NIDS引擎的串口管理界面,在此处提供给管理员一些系统初始配置、状态检测和恢复初始化配置等功能,Web管理界面中无法进行管理的部分,可以在此进行管理操作。下面详细介绍控制台用户以及如何通过控制台登录NIDS的串口管理界面。
各产品控制台管理员默认用户名及密码可参考对应用户手册。
Console用户登录NIDS之前,需进行以下准备工作:
下面以SecureCRT软件为例,介绍登录NIDS串口管理界面的详细步骤。
步骤 1单击SecureCRT.exe,打开SecureCRT工具。
步骤 2配置快速链接信息,协议配置为Serial,波特率为115200,数据位8,其他参数保持默认,如图1-6所示。
图1-1 配置快速连接
步骤 3单击【连接】按钮后按回车键,进入登录界面,如图1-7所示。
图1-1 登录界面
步骤 4输入控制台管理员的用户名和密码。
用户名和密码正确即可成功登录NIDS,首先进入控制台管理的语言选择界面,如图1-5所示。
图1-3 语言选择
|
提示 |
连接后将终端类型设为VT100,可以获得最佳显示效果。 |
步骤 5选择1.中文后按回车键,进入Console管理中文菜单页面,如图1-6所示。
图1-4 Console管理主菜单
----结束
在串口管理界面中只能用键盘进行操作,键盘操作按键含义如表1-1所示。
表1-1 Console口按键说明
表1-1
|
键盘 |
含义 |
|---|---|
|
↑ |
①切换到输入框 ②上移 |
|
↓ |
①切换到【确定】 ②下移 |
|
← |
①切换到【确定】 ②左移 |
|
→ |
①切换到【取消】 ②右移 |
|
Esc |
直接取消 |
|
Enter |
直接确认 |
|
Tab |
在输入框、【确定】、【取消】之间切换 |
|
BackSpace |
删除当前光标所在位置的前一字符 |
1. portgo使用环境
1、开启绿盟设备SSH服务。具体开启方法请咨询售后支持或查看用户手册。
2、确定运行工具的PC telnet绿盟设备的ssh端口可通(下图以SSH端口50022为例,请根据具体产品使用对应端口测试)
telnet portgo公网服务器221.122.179.75的443端口可通
以上两点确认无误后,即满足映射环境
2. 使用portgo 映射产品后台 [参考配置]
若设备没有公网IP地址,此时需要找一台既能访问设备管理地址,又能访问公网的PC机(WINDOWS操作系统),在PC机上运行portgo.exe,将设备后台映射出来。
1、 在PC上双击portgo.exe,在其中填写内网管理设备的IP地址和管理设备后台的端口号
各产品后台端口号请联系售后支持确认。
2、填写完毕后,点击映射。此时会弹出一个窗口提示本次映射的一串序列号,请记录这串序号,并告知香港正版挂牌售后支持。
1) 确认当前设备类型、型号及版本。
2) 访问update.nsfocus.com,找到对应产品及版本,获取升级包。
3) 请仔细阅读升级包说明,确认依赖版本、注意事项等信息,并校验下载升级包的MD5值。
4) 上传升级包后,在提示升级成功前,请勿刷新、关闭升级页面,或重启设备。若不确定是否升级成功,可新开一个页面查看。
5) 请选择恰当的方式及时间进行升级,升级前请注意备份。
6) 有疑问请及时联系香港正版挂牌技术支持获取帮助。
© 2024 NSFOCUS 香港正版挂牌 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号
