海王捕鱼-网友分享

常见问题产品生命周期公告

常见问题

热门问题入门指南产品分类

WAF https证书制作方法

一. WAF代理HTTPS站点原理介绍

WAF代理后交互介绍

由于WAF本身采用的就是反向代理架构，所以不论是串联、旁路还是反向代理，其中的交互过程都是一样的。

代理过程分以下三步：

1. 客户端访问WAF，首先完成三次握手：

其中45.64.168.122是WAF的WAN口地址，192.168.16.63是客户端地址。

2. WAF充当服务器，建立第一段连接，开始进行ssl握手：

这个过程中，客户端hello发完后，WAF会响应一个server的hello包，后面紧跟着WAF相应站点证书的公钥：

即这里上传的cer证书（其中包括公钥，私钥和CA证书）：

然后客户端根据此证书的公钥进行加密后传输数据：

3. 和真实客户端ssl握手建立成功后，WAF用上传证书中的私钥解密真实客户端发来的数据，开始向真实服务器发送握手请求建立第二段连接，此时WAF充当客户端，真实服务器发给WAF的证书是真实服务器上储存的公钥：

然后WAF用服务器发来的公钥将数据加密后发给服务器。

如此一来，两段ssl握手完成，开始数据交互。

上传至WAF的HTTPS证书作用介绍

实际上上传到waf的证书有两个作用，一是发送公钥给客户端让客户端加密，二是用来解密客户端发来的真实数据。而与真实服务器的交互过程实际用的是真实服务器发来的公钥。

此外，浏览器会校验证书链的完整性，以及颁发机构（CA）是否在可信列表中，因此，上传到WAF的HTTPS证书中除服务器公私钥外，应当添加有CA机构颁发的中间证书及根证书。

二. 服务器公私钥提取方法

很多客户的网站维护人员不会操作服务器将证书提取出来，还有一些客户是不会同意我们在服务器上直接将公私钥拷贝出来的，他们只会提供给我们一些加密过的JKS/PFX证书，其中包含公私钥，我们需要从中提取，下面具体介绍公私钥的提取方法。

从Linux/Nginx服务器直接提取公钥

如果服务器中间件的ssl配置文件中没有保存服务器的公私钥，那么可以借用服务器自带的openssl工具来导出公钥：

1. #openssl req -new -key server110.com.key -out server110.com.csr //制作CSR证书申请文件，按步骤填写相关信息：

2. 给申请证书自签名：

openssl x509 -req -days 3650 -in server110.com.csr -signkey server110.com.key -out server110.com.crt

-days 3650   证书的有效期，自己给自己颁发证书，想有多久有效期，就弄多久，我一下弄了10年的有效期；
-in server110.com.csr 指定CSR文件
-signkey server110.com.key  指定服务器的私钥key文件
-out server110.com.crt  设置生成好的证书文件名

3. server110.com.crt就是我们所要的公钥：

二.2 从Linux/Nginx服务器直接提取私钥

#mkdir /etc/cert //建立证书和key的保存目录，路径自己决定；
#cd /etc/cert

#openssl genrsa -out server110.com.key 1024 //生成1024位加密的服务器私钥server110.com.key

然后去除私钥的密码：

# openssl rsa -in server.key -out server.key

从Windows服务器提取公私钥（PFX）

从IIS中间键中导出PFX文件

当然windows系统也可以在cmd命令行下参照2.1和2.2的命令使用openssl来导出公私钥。

对于IIS服务器，可从UI导出PFX文件从而提取公私钥：

这里以II6为例，IIS7操作也类似，从UI导出即可。

1.在运行中输入“mmc”出现“控制台窗口

2. 在控制台的主菜单选择“添加/管理单元”：

3. 点击“添加”后往下拉滚动条，找到“证书”，选中后继续点“添加”

4. 选择“计算机账户”后点击下一步：

5. 按下图配置，点击“完成”：

6.然后可以看到新添加的管理单位--证书：

7. 选择证书--个人--证书，就可以看到所有的站点了，然后右键选择需要导出证书的站点，选择“所有任务”--“导出”即可将证书导出

8. 导出私钥：

9. 如果允许直接导出base64编码的证书，则直接选择base64编码导出，如果不行，则导出为PKCS12加密的PFX证书

10. 为导出的证书键入密码（强制）：

11. 键入文件名：

12. 导出成功：

注意：导出的PFX中包含有加密的私钥和一个自签名的公钥，如果站点有CA证书，则需使用带有CA签名的公钥。

从PFX文件中提取公私钥

好了，当客户提供给我们这个PFX文件后，如何将公私钥从中提取出来呢？请参照以下步骤：

首先，你得准备好安装有openssl的环境。假设PFX文件名为cqdx.pfx

1. openssl pkcs12 -in cqdx.pfx -nodes -out server.pem

2. 以RSA加密方式输出私钥：openssl rsa -in server.pem -out server.key

以x509解码方式输出公钥：openssl x509 -in server.pem -out server.crt

这样，公钥的crt文件和私钥的key文件就得到了，然后按步骤合成WAF可用的cer证书即可。

从JKS文件提取公私钥

一般来说，有安全意识的服务器运维人员不会直接将脱密的公私钥文件交付给咱们，为保证公私钥传递过程的安全性，一般会选用keystore（javascript自带工具）将公私钥加密后导出为JKS文件再进行交付。那我们拿到JKS文件后如何将公私钥从中提取出来呢？请参照以下步骤执行：

1、从JKS转换到PKCS12

D:\ssl>keytool -importkeystore -srckeystore keystore_old.jks -destkeystore keystore_old.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit -srcalias tom_server -destalias xxx -srckeypass changeit -destkeypass changeit -noprompt

英语小白指南：这里srcstorepass后面跟的是导出jks时设置的密码；destpass是导出为.p12文件后的密码；srcalias是用keystore导出jks时设置的别名，destalias是输出为.p12后的别名；srckeypass是jks中私钥加密的密码，destkeypass则是导出的p12文件中用来加密私钥的密码

2、从PKCS12转换成PEM格式

openssl pkcs12 -in keystore_old.p12 -out server.pem -passin pass:12345678 -passout pass:12345678

英语小白指南：

-srcstorepass 654321/-srckeypass 654321 是客户提供的密码

-deststorepass 123456/-destkeypass 123456 是新生成的密码（也要一致，不一致会报错）

3、以RSA加密方式输出私钥：openssl rsa -in server.pem -out server.key

以x509解码方式输出公钥：openssl x509 -in server.pem -out server.crt

这样，公钥的crt文件和私钥的key文件就得到了，然后按步骤合成WAF可用的cer证书即可。

从浏览器中直接导出公钥

首先访问目标站点，点击浏览器上的锁图标：

然后点击查看证书：

在详细信息选项卡中点击导出：

格式选择pem或者crt即可：

至此，服务器公钥GET

如何从抓包中获取公钥和CA证书

1. 首先，抓到一次完整的HTTPS交互报文，并找到Certificate项（如果包含多级证书，一次会话中会包含多个Certificate）

2. 扩展此项，找到certificate握手内容记录（如经CA认证，应该有多个）：

3. 右键先选择第一个Certificate，选择“导出分组字节流”：

4. 另存为一个原始编码的bin文件：

5. 将此文件后缀修改为der：

6. 双击打开即可查看证书信息：

按照此方法依次导出Certificate选项中的所有certificate记录，即可获得公钥和CA证书。

以从上至下的顺序，这些证书分别是：

1. 公钥

2. CA二级证书（如果有的话）

3. CA根证书

三. WAF HTTPS站点证书格式说明

所需材料：

1. 服务器私钥server.key；

2. 签名过的公钥xxx.cer或xxx.crt或xxx.pem;

3. CA证书（包括中级证书，根证书）

注意，这里摆放顺序很有讲究，公钥须在文件最顶端，然后是CA证书（中级证书，根证书），最后是私钥。

Linux可用cat合成，windows则推荐用notepad++合成。

一个完整的HTTPS站点证书示例：

证书链不完整可能会导致部分浏览器（尤其是安卓系统自带的浏览器）校验不通过导致无法访问对应的网站。

串口登录方法

串口登录操作步骤：

1、建议使用绿盟原厂串口线，如果未出现登录login的提示，可能因为不是原厂串口线，不兼容造成的。并确保串口线、转换线等接口处连接正常。

2、选择串口登录程序：XP自带超级终端、其他系统可以安装secure CRT运行程序。

3、确认识别到的端口号：右键单击我的电脑—管理—设备管理器—端口，查看端口状态，确认您连接使用的是哪个端口（COM）。

4、新建连接任务，在相应的端口上建立连接任务。

5、根据向导进行设置：协议（Protocal）选择serial，点击【下一步】

6、选择相应端口（注意步骤3的端口确定操作），波特率（bits per second）选择115200（根据各设备选择，可参考各设备用户手册），其他不变保持默认，关闭流控选项。

5、点击下一步，按enter键，界面出现login提示符：则可以输入串口的用户名密码。（用户手册上可以确定具体产品的串口登录用户名密码）

6、登陆串口以后，出现提示选择语言的界面。选择中文，按enter键选择，进入串口功能菜单界面。

设备授权证书导入

设备授权证书导入

以下以NIDS设备为例，介绍绿盟设备授权证书导入方法。

NIDS的证书分为以下两类：

试用证书

试用证书过期后，将无法继续使用本系统。

正式证书

正式证书过期后，可以继续使用本系统，但无法进行系统升级。

1.查看证书状态

通过查看证书状态，用户可以了解NIDS产品支持的功能模块及其限用日期等信息。

步骤 1选择菜单系统 > 证书管理 > 证书管理，进入系统证书管理页面，如图1-1所示。

图1-1 查看证书状态信息

步骤 2查看证书状态信息。主要参数含义如表1-1所示。

表1-1 证书状态参数

配置项	描述
证书状态	显示“正常”，表示证书已正确导入，系统状态正确，可以正常使用本系统；显示“过期”，表示证书已超过有效使用期。
证书类型	NIDS设备中导入的证书的类型。试用证书过期后，将无法继续使用NIDS。正式证书过期后，可以继续使用NIDS，但无法进行系统升级。
产品型号	证书对应的产品型号。
序列号	证书的序列号。
功能模块	用户已购买的证书中支持的功能模块信息。
颁发对象	有权使用NIDS的用户。
本期服务起始日期/本期服务终止日期	显示证书的有效时间，有效时间从“本期服务起始日期”的0点到“本期服务终止日期”的24点。表格中说明正式证书的日期指的是产品升级授权服务日期，试用证书为产品的使用日期。正式证书到期后，产品可以正常使用，但不能升级；试用证书到期后，NIDS系统自动跳转到证书导入界面，且不能进行其他任何功能操作。正式证书和试用证书在证书日期内都可以升级，定制产品根据项目要求确定。正式证书终止日期前一个月提醒用户更新证书，并在过期后给出提醒信息；试用证书不予提醒。

----结束

2.导入证书

初次登录系统时，必须导入证书，否则无法使用NIDS设备。导入证书的操作步骤如下：

选择菜单系统 > 证书管理 > 证书管理，进入系统证书管理页面。
单击【导入证书】按钮，弹出导入证书页面，如图所示。
1. 导入证书

单击【浏览…】按钮，选取证书文件（*.lic），弹出证书信息确认对话框，如图所示。
1. 导入授权证书确认对话框

确认导入证书。

证书状态正确，单击【确定】按钮，完成导入，证书立即生效；
证书状态不正确，单击【取消】按钮，重新执行以上步骤。

----结束

设备常见登录方式

以下以NIDS设备为例，介绍海王捕鱼产品常见登录方式。具体可参考各产品用户手册。

NIDS主要支持以下两种管理方式：

Web管理

最直观的人机交互管理方式，提供最全面的功能管理界面。

Console管理

通过控制台以命令行方式对NIDS进行简单配置和管理。

1.Web管理

Web管理系统为管理员提供了更直观的人机交互方式，管理员通过Web管理界面实现对NIDS的管理和配置。下面详细介绍Web管理的用户、登录方法、页面布局以及常用操作。

1.1 Web用户

NIDS在Web管理界面下，有两类用户：

操作员

具有对系统的Web界面进行管理、配置的功能。

审计员

具有查看系统日志的功能。

各产品缺省系统操作员、审计员用户名及初始密码可参考对应用户手册。

1.2 Web登录

本节以IE浏览器为例，介绍登录NIDS的Web管理系统的详细步骤。

步骤 1确认客户端主机可以和NIDS正常通讯（如果通过防火墙，请将443端口打开）。

步骤 2打开IE浏览器，用HTTPS方式连接NIDS的管理IP地址，例如https://192.168.1.1。

步骤 3回车后出现安全警报信息，如图1-1所示。

图1-1 登录时的安全警报界面

海王捕鱼

步骤 4单击“继续浏览此网站（不推荐）”，接受NIDS许可证加密的通道，跳转到NIDS的Web登录页面，如图1-2所示。

图1-2 Web管理登录界面

海王捕鱼

步骤 5输入正确的用户名和密码。

步骤 6单击【登录】按钮，进入Web管理页面。

----结束

说明	登录本系统之前，请检查浏览器是否设置了禁止弹出窗口属性或者禁止javascript；如果是，请撤销此设置。建议使用Firefox最新版本浏览器或IE7.0及以上版本浏览器，屏幕分辨设置为1024*768或更高。初次使用本系统时可用默认的缺省操作员登录，登录后必须修改用户密码。管理员登录后，如果不活动的时间超过5分钟，系统将超时并自动退回到登录页面，请重新登录继续使用。登录失败的原因有可能是：①用户名输入错误；②密码输入错误；③未区分大小写；④帐户被禁用或删除。

2.Console管理

通过Console口连接可以访问NIDS引擎的串口管理界面，在此处提供给管理员一些系统初始配置、状态检测和恢复初始化配置等功能，Web管理界面中无法进行管理的部分，可以在此进行管理操作。下面详细介绍控制台用户以及如何通过控制台登录NIDS的串口管理界面。

2.1控制台用户

各产品控制台管理员默认用户名及密码可参考对应用户手册。

2.2控制台登录

Console用户登录NIDS之前，需进行以下准备工作：

工作计算机1台
串口线1根（包含在出厂配件中）
能够连接串口的终端软件
用串口线连接NIDS和工作计算机的串口

下面以SecureCRT软件为例，介绍登录NIDS串口管理界面的详细步骤。

步骤 1单击SecureCRT.exe，打开SecureCRT工具。

步骤 2配置快速链接信息，协议配置为Serial，波特率为115200，数据位8，其他参数保持默认，如图1-6所示。

图1-1 配置快速连接

海王捕鱼

步骤 3单击【连接】按钮后按回车键，进入登录界面，如图1-7所示。

图1-1 登录界面

海王捕鱼

步骤 4输入控制台管理员的用户名和密码。

用户名和密码正确即可成功登录NIDS，首先进入控制台管理的语言选择界面，如图1-5所示。

图1-3 语言选择

海王捕鱼

提示	连接后将终端类型设为VT100，可以获得最佳显示效果。

步骤 5选择1.中文后按回车键，进入Console管理中文菜单页面，如图1-6所示。

图1-4 Console管理主菜单

海王捕鱼

----结束

在串口管理界面中只能用键盘进行操作，键盘操作按键含义如表1-1所示。

表1-1 Console口按键说明

表1-1

键盘	含义
↑	①切换到输入框 ②上移
↓	①切换到【确定】 ②下移
←	①切换到【确定】 ②左移
→	①切换到【取消】 ②右移
Esc	直接取消
Enter	直接确认
Tab	在输入框、【确定】、【取消】之间切换
BackSpace	删除当前光标所在位置的前一字符