Для использования HTTPS при работе на коммутаторе через WEB необходимо выполнить следующее:
1. Сгенерировать самоподписанный сертификат на хосте
openssl req -x509 -newkey rsa:4096 -out cert.pem -days 365 -nodes
В примере используется OpenSSL, но возможно использовать и другие способ. Также в примере на хосте используется Linux, для Windows настройка хоста будет другая.
Для создания будет сгенерирован новый приватный ключ и сохранён в файл privkey.pem, сам сертификат окажется в файле cert.pem. -days задаёт срок действия сертификата, -nodes отключает шифрование приватного ключа.
2. Сгенерировать приватный ключ для SSL-сервера на коммутаторе
console# create ssl crypto key rsa
Это сгенерирует приватный RSA ключ размером 512 (можно выбрать 1024).
3. Сгенерировать запрос на сертификат от коммутатора
сonsole# create ssl cert-req algo rsa sn CERT
-----BEGIN CERTIFICATE REQUEST-----
MIIBTjCBuAIBADAPMQ0wCwYDVQQDDARDRVJUMIGfMA0GCSqGSIb3DQEBAQUAA4GN
ADCBiQKBgQC2/WAW/Hy6Ha3bwknMIAAuNPyi0Ex+/15glh3aT/yHxRwpgMzVuMi/
82p0RZ07KNPn9NGztHx2qkQN3KeOiE5UPc4pl9C9ZyQwEZe4rl7edjKZaS4QnS58
xL5rge/Lce/khasLII1gpwKbpB4ShSlkg5np6xIxMV9RpHp8QcO7ywIDAQABoAAw
DQYJKoZIhvcNAQEEBQADgYEAP+1AYZQb0xqtnbBYCuNyjOwRaOeau25dq+jejWVv
svQKQ5JIj8tHV34NLcFA4PoCQ+N6I426Kzal37Wdyw+nspka33i9hwgEB2hw5MN0
xEWdjYRM/YJ7dRtM688MRNfnNLy4IS5mWCihypSz3y8MJVLBBUbEDzG6bqrVpwLu
/HQ=
-----END CERTIFICATE REQUEST-----
Вывод команды нужно скопировать в файл на хосте (в примере файл iss_req.pem), перед этим данный файл нужно создать.
4. Подписать сертификат для коммутатора. Для этого на хосте необходимо выполнить:
openssl x509 -req -in iss_req.pem -out iss_cert.pem -days 365 -CA cert.pem -CAkey privkey.pem -set_serial 0xb46f9b8d881d18b4
После выполнения команды появится файл с сертификатом iss_cert.pem. Параметр set_serial может быть любым произвольным числом.
5. На коммутаторе ввести команду
console# create ssl server-cert
И скопировать в поле ввода всё содержимое файла с сертификатом на хосте (iss_cert.pem)
6. Включить HTTPS-сервер на коммутаторе
console(config)# ip http secure server
Процедура настройки завершена. Сертификат будет сохранён на коммутаторе в файле sslservcert и будет подтягиваться каждый раз при загрузке устройства.
Для отключения небезопасного протокола HTTP есть команда console(config)# set ip http disable