华为配置交换机网管登录基础(文件缺省配置设备证书)「华为交换机缺省用户名密码」

Web网管方式通过图形化的操作界面，实现对设备直观方便地管理与维护。
配置通过Web网管登录设备前，需要确保终端PC和设备之间路由可达。
配置通过Web网管登录设备的常用功能增加新的Web用户或者修改用户信息时，配置步骤如下：开启HTTP服务。
创建Web用户及其登录密码。
配置Web用户的接入类型和用户级别。
操作步骤1、开启HTTP服务。

<HUAWEI> system-view[HUAWEI] http server enable    //缺省情况下，设备的HTTP IPv4服务功能已开启，HTTP IPv6服务功能为关闭状态[HUAWEI] http server-source -i MEth0/0/1    //缺省情况下，设备默认将管理IP地址192.168.1.253配置在管理网口或VLANIF1接口下，并将该接口设置为HTTP服务器端的源接口，且设备默认未指定HTTP服务器端的IPv6源地址。
Warning: The operation will reboot the HTTP server. Continue? [Y/N]:y                                                               Info: Succeeded in setting the source interface of the HTTP server to MEth0/0/1.                                                    Info: Succeeded in starting the HTTP secure server.                                                                                 Warning: HTTP is not a secure protocol, and it is recommended to use HTTPS.                                                         Info: Succeeded in starting the HTTP server.                  [HUAWEI] quit

2、创建Web用户及其登录密码。
[HUAWEI] aaa[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 //创建本地3、配置Web用户的接入类型和用户级别。

[HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户admin123的级别为15Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y[HUAWEI-aaa] local-user admin123 service-type http    //配置本地用户admin123的接入类型为HTTP[HUAWEI-aaa] quit

4、查看HTTPS服务器信息。

[HUAWEI] display http server   HTTP Server Status              : enabled   HTTP Server Port                : 80(80)   HTTP Timeout Interval           : 20   Current Online Users            : 3   Maximum Users Allowed           : 5   HTTP Secure-server Status       : enabled   HTTP Secure-server Port         : 443(443)   HTTP SSL Policy                 : ssl_server   HTTP IPv6 Server Status         : disabled   HTTP IPv6 Server Port           : 80(80)   HTTP IPv6 Secure-server Status  : disabled   HTTP IPv6 Secure-server Port    : 443(443)   HTTP server source interface    : MEth0/0/1

缺省情况下，HTTP采用随机生成的自签名证书支持HTTPS。
由于自签名证书存在安全风险，因此建议用户替换为官方授信的数字证书，替换方法请参见加载数字证书文件和绑定SSL策略。
5、通过Web登录设备。
完成Web登录设备的常用功能配置后，在用户终端PC上打开浏览器，在地址栏中输入“https://IP address”，按回车键后将进入Web网管登录界面。
如图2所示，输入之前配置的Web用户名和密码，并选择Web网管系统的语言。
图2 Web网管登录界面第一次登录Web网管的账号，在登录过程中会跳转到密码修改界面，必须修改密码。
用户密码即将过期或者已经过期时，网管页面也会跳转到密码修改界面。
此时用户必须修改密码，才能进入Web网管系统主页面。
为提升密码安全性，密码至少同时包含小写字母、大写字母、数字、特殊符号（例如“!”、“$”、“#”和“%”等）这四种形式中的两种，并且不能包括空格和单引号。
配置通过Web网管登录设备的其他功能加载Web网页文件设备的系统软件中已经集成了Web网页文件并完成了加载，一般不需要单独再操作。
如果用户需要对Web网页文件进行升级，可以登录华为公司的官方网站下载独立的Web网页文件，上传到设备并进行加载。
1、上传Web网页文件到设备。
Web网页文件获取路径：请先登录华为公司企业业务支持网站（http://support.huawei.com/enterprise）根据产品型号和版本名称，在“VR版本公共补丁”中点击某一补丁版本，下载所需的Web网页文件，名称为“产品-软件版本号.Web网管文件版本号.web.7z”。
每个Web网页文件对应一个签名文件，签名文件和Web网页文件下载方法相同。
上传必要文件到设备的配置方式，请参见文件管理。
2、加载Web网页文件。
<HUAWEI> system-view[HUAWEI] http server load web.7z3、开启HTTPS服务。
[HUAWEI] http secure-server enable //缺省情况下，设备的HTTPS IPv4服务功能已开启，HTTPS IP加载数字证书文件和绑定SSL策略1、上传服务器数字证书、私钥文件到设备。
证书中的Subject: CN字段需要与登录设备的域名信息匹配。
可通过SFTP等方式上传服务器数字证书文件和私钥文件，且要保存至security目录。
如果设备上没有security目录，可以通过命令mkdir security创建。
文件上传的具体操作过程请参见文件管理。
上传完成后，请在用户视图下执行命令dir，对比上传到设备的服务器数字证书文件和私钥文件大小是否与文件服务器上的一致。
如果不一致，可能是在文件上传过程中出现异常，请重新上传。
2、创建SSL策略，并加载数字证书，此处以加载PEM格式证书为例。

[HUAWEI] ssl policy http_server[HUAWEI-ssl-policy-http_server] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher YsHsjx_202206[HTTPS-Server-ssl-policy-http_server] quit

3、绑定SSL策略并开启HTTPS服务。
[HUAWEI] http secure-server ssl-policy http_server[HUAWEI] http secure-server enable4、查看加载的数字证书详细信息。

[HUAWEI] display ssl policy       SSL Policy Name: http_server     Policy Applicants: Config-Webs         Key-pair Type: DSA Certificate File Type: PEM      Certificate Type: certificate  Certificate Filename: 1_servercert_pem_dsa.pem     Key-file Filename: 1_serverkey_pem_dsa.pem             Auth-code:                    MAC:              CRL File:       Trusted-CA File:           Issuer Name:   Validity Not Before:    Validity Not After:

命令行功能说明详细的命令行功能说明请参见《命令参考》手册。
表1 常用功能命令功能配置命令说明新增AAA本地用户名和密码local-user user-name password irreversible-cipher password缺省情况下，没有创建本地用户。
配置AAA本地用户的接入类型local-user user-name service-type http缺省情况下，本地用户关闭所有的接入类型。
配置本地用户的级别local-user user-name privilege level level缺省情况下，本地用户的级别为0。
加载Web网页文件http server load { file-name | default }缺省情况下，设备已加载系统软件中集成的Web网页文件。
创建SSL策略并进入SSL策略视图ssl policy policy-name缺省为未创建SSL策略。
设备绑定SSL策略http secure-server ssl-policy policy-name缺省情况下，HTTP服务器已配置默认的SSL策略。
开启HTTPS服务http [ ipv6 ] secure-server enable缺省情况下，设备的HTTPS IPv4服务功能是开启的，HTTPS IPv6服务功能是关闭的。
指定HTTP服务器端的源接口或IPv6源地址http server-source -i interface-type interface-numberhttp ipv6 server-source -a ipv6_address [ -vpn-instance vpn_name ]缺省情况下，HTTP服务器端的源接口为管理网口或VLANIF1，未指定HTTP服务器端的IPv6源地址。
表2 其他功能命令功能配置命令说明对Web网页文件合法性进行校验check file-integrity filename signature-filename校验失败的文件不能作为系统软件、补丁软件、Web文件或mod文件使用。
HTTPS服务器的端口号http [ ipv6 ] secure-server port port-number缺省为443。
HTTPS会话的超时时间http timeout timeout缺省为20分钟。
创建SSL算法套定制策略ssl cipher-suite-list customization-policy-name缺省为安全算法。
设备也支持算法套定制功能，通过该命令定制算法套。
在SSL算法套定制策略视图定制策略中支持的算法套set cipher-suite { tls12_ck_dss_aes_128_gcm_sha256 | tls12_ck_dss_aes_256_gcm_sha384 | tls12_ck_rsa_aes_128_gcm_sha256 | tls12_ck_rsa_aes_256_gcm_sha384 }缺省为没有配置算法套。
系统软件中不包含tls12_ck_rsa_aes_256_cbc_sha256、tls1_ck_dhe_dss_with_aes_128_sha、tls1_ck_dhe_dss_with_aes_256_sha、tls1_ck_dhe_rsa_with_aes_128_sha、tls1_ck_dhe_rsa_with_aes_256_sha、tls1_ck_rsa_with_aes_128_sha和tls1_ck_rsa_with_aes_256_sha参数，如需使用，需要安装WEAKEA插件，但是该算法安全性低。
为了保证更好的安全性，建议使用其它算法。
WEAKEA插件安装方法请参见WEAKEA插件使用指南。
设置SSL策略所采用的最低SSL版本ssl minimum version { tls1.1 | tls1.2 | tls1.3 }缺省为TLS1.2。
系统软件中不包含tls1.0参数，如需使用，需要安装WEAKEA插件，但是该算法安全性低。
为了保证更好的安全性，建议配置tls1.2参数。
WEAKEA插件安装方法请参见WEAKEA插件使用指南。
SSL策略中绑定指定的SSL算法套定制策略binding cipher-suite-customization customization-policy-name缺省为默认的算法套。
绑定的SSL算法套定制策略中如果仅有一种类型的算法（RSA或DSS），SSL策略需要加载对应类型的证书，确保SSL协商时能成功。
加载PEM格式的数字证书/证书链并指定私钥文件certificate load pem-cert cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-codecertificate load pem-chain cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code一个SSL策略只能加载一个证书或者证书链（证书链是指从终端实体证书到根证书的一系列可信任证书构成的证书序列）。
如果已经加载了证书或者证书链，加载新证书或者证书链之前必须先执行命令undo certificate load卸载旧证书或者证书链。
请根据证书类型，选择相应的配置。
加载PEM格式的数字证书或证书链时，根据从CA处获取的是数字证书还是证书链，两条命令选择一条执行。
命令1为加载PEM格式的数字证书并指定私钥文件。
命令2为加载PEM格式的证书链并指定私钥文件。
加载ASN1格式的数字证书并指定私钥文件certificate load asn1-cert cert-filename key-pair { dsa | rsa } key-file key-filename加载PFX格式的数字证书并指定私钥文件certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code强制指定的Web用户下线free http user-id user-id设备最多只支持5个Web用户同时在线。
设置Web网管欢迎语web welcome-message message_查看当前在线Web用户信息display http user [ username username ]_