- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-SSL命令
本章節下載: 11-SSL命令 (157.21 KB)
【命令】
ciphersuite [ rsa_aes_128_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha ] *
【視圖】
SSL服務器端策略視圖
【缺省級別】
2:係統級
【參數】
rsa_aes_128_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_des_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用SHA。
【描述】
ciphersuite命令用來配置SSL服務器端策略支持的加密套件。
缺省情況下,SSL服務器端策略支持所有的加密套件。
需要注意的是:
· 如果不指定任何參數,則SSL服務器端策略支持上述所有加密套件。
· 如果多次執行本命令,則新的配置覆蓋原有配置。
相關配置可參考命令display ssl server-policy。
【舉例】
# 指定SSL服務器端策略支持的加密套件為rsa_rc4_128_md5和rsa_rc4_128_sha。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] ciphersuite rsa_rc4_128_md5 rsa_rc4_128_sha
【命令】
client-verify enable
undo client-verify enable
【視圖】
SSL服務器端策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
client-verify enable命令用來配置SSL服務器端要求對SSL客戶端進行基於證書的身份驗證。undo client-verify enable命令用來恢複缺省情況。
缺省情況下,SSL服務器端不要求對SSL客戶端進行基於證書的身份驗證。
執行本命令後:
· 如果通過client-verify weaken命令使能了SSL客戶端弱認證功能,則由客戶端決定是否對客戶端進行身份驗證。客戶端選擇進行身份驗證時,隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器;客戶端選擇不進行身份驗證時,SSL客戶端可以直接訪問SSL服務器。
· 如果未使能SSL客戶端弱認證功能,則必須對客戶端進行身份驗證。隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器。
相關配置可參考命令client-verify weaken和display ssl server-policy。
【舉例】
# 配置服務器端要求對客戶端進行基於證書的身份驗證。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify enable
【命令】
client-verify weaken
undo client-verify weaken
【視圖】
SSL服務器端策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
client-verify weaken命令用來使能SSL客戶端弱認證功能。undo client-verify weaken命令用來恢複缺省情況。
缺省情況下,未使能SSL客戶端弱認證功能。
隻有通過client-verify enable命令配置SSL服務器端要求對SSL客戶端進行基於證書的身份驗證後,本命令才會生效。
· 使能SSL客戶端弱認證功能後,由客戶端決定是否對客戶端進行身份驗證。如果客戶端選擇進行身份驗證,則隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器;如果客戶端選擇不進行身份驗證,則SSL客戶端可以直接訪問SSL服務器。
· 如果未使能SSL客戶端弱認證功能,則必須對客戶端進行身份驗證。隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器。
相關配置可參考命令client-verify enable和display ssl server-policy。
【舉例】
# 使能SSL客戶端弱認證功能。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify enable
[Sysname-ssl-server-policy-policy1] client-verify weaken
【命令】
close-mode wait
undo close-mode wait
【視圖】
SSL服務器端策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
close-mode wait命令用來配置SSL連接的關閉模式為wait模式,即發送close-notify警告消息給客戶端後,等待客戶端的close-notify警告消息,在接收到客戶端的close-notify警告消息後才能關閉連接。undo close-mode wait命令用來恢複缺省情況。
缺省情況下,服務器發送close-notify警告消息給客戶端,不等待客戶端的close-notify警告消息,直接關閉連接。
相關配置可參考命令display ssl server-policy。
【舉例】
# 設定SSL連接的關閉模式為wait模式。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] close-mode wait
【命令】
display ssl client-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
policy-name:顯示指定的SSL客戶端策略的信息,為1~16個字符的字符串,不區分大小寫。
all:顯示所有SSL客戶端策略的信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ssl client-policy命令用來顯示SSL客戶端策略的信息。
【舉例】
# 顯示名為policy1的SSL客戶端策略信息。
<Sysname> display ssl client-policy policy1
SSL Client Policy: policy1
SSL Version: SSL 3.0
PKI Domain: 1
Prefer Ciphersuite:
RSA_RC4_128_SHA
Server-verify: enabled
表1-1 display ssl client-policy命令顯示信息描述表
|
字段 |
描述 |
|
SSL Client Policy |
SSL客戶端策略名 |
|
SSL Version |
SSL客戶端策略使用的協議版本號,取值包括SSL 3.0和TLS 1.0 |
|
PKI Domain |
SSL客戶端策略使用的PKI域 |
|
Prefer Ciphersuite |
SSL客戶端策略的首選加密套件 |
|
Server-verify |
SSL客戶端策略的服務器驗證模式,取值包括: · disabled:不需要對服務器端進行身份驗證 · enabled:需要對服務器端進行身份驗證 |
【命令】
display ssl server-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
policy-name:顯示指定的SSL服務器端策略的信息,為1~16個字符的字符串,不區分大小寫。
all:顯示所有SSL服務器端策略的信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ssl server-policy命令用來顯示SSL服務器端策略的信息。
【舉例】
# 顯示名為policy1的SSL服務器端策略的信息。
<Sysname> display ssl server-policy policy1
SSL Server Policy: policy1
PKI Domain: domain1
Ciphersuite:
RSA_RC4_128_MD5
RSA_RC4_128_SHA
RSA_DES_CBC_SHA
RSA_AES_128_CBC_SHA
Handshake Timeout: 3600
Close-mode: wait disabled
Session Timeout: 3600
Session Cachesize: 500
Client-verify: disabled
Client-verify weaken: disabled
表1-2 display ssl server-policy命令顯示信息描述表
|
字段 |
描述 |
|
SSL Server Policy |
SSL服務器端策略名 |
|
PKI Domain |
SSL服務器端策略使用的PKI域 如果顯示為空,則表示未指定SSL服務器端策略使用的PKI域,SSL服務器自己生成證書,而無需從CA獲取證書 |
|
Ciphersuite |
SSL服務器端策略支持的加密套件 |
|
Handshake Timeout |
SSL服務器端策略的握手連接保持時間,單位為秒 |
|
Close-mode |
SSL服務器端策略的關閉模式,取值包括: · wait disabled:SSL連接的關閉模式為非wait模式,即服務器發送close-notify警告消息給客戶端,不等待客戶端的close-notify警告消息,直接關閉連接 · wait enabled:SSL連接的關閉模式為wait模式,即發送close-notify警告消息給客戶端後,等待客戶端的close-notify警告消息,在接收到客戶端的close-notify警告消息後才能關閉連接 |
|
Session Timeout |
SSL服務器端策略會話緩存的超時時間,單位為秒 |
|
Session Cachesize |
SSL服務器端策略可以緩存的最大會話數目 |
|
Client-verify |
SSL服務器端策略的客戶端驗證模式,取值包括: · disabled:不要求對客戶端進行身份驗證 · enabled:要求對客戶端進行身份驗證 |
|
Client-verify weaken |
是否使能SSL客戶端弱認證功能,取值包括 · disabled:未使能該功能 · enabled:使能該功能 |
【命令】
handshake timeout time
undo handshake timeout
【視圖】
SSL服務器端策略視圖
【缺省級別】
2:係統級
【參數】
time:握手連接的保持時間,取值範圍為180~7200,單位為秒。
【描述】
handshake timeout命令用來配置SSL服務器端策略的握手連接保持時間。undo handshake timeout命令用來恢複缺省情況。
缺省情況下,SSL服務器端策略的握手連接保持時間為3600秒。
如果SSL服務器在握手連接保持時間內沒有收到SSL客戶端的報文,則SSL服務器將終止當前的SSL握手過程。
相關配置可參考命令display ssl server-policy。
【舉例】
# 配置SSL服務器端策略的握手連接保持時間為3000秒。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] handshake timeout 3000
【命令】
pki-domain domain-name
undo pki-domain
【視圖】
SSL服務器端策略視圖/SSL客戶端策略視圖
【缺省級別】
2:係統級
【參數】
domain-name:PKI域的域名,為1~15個字符的字符串,不區分大小寫。
【描述】
pki-domain命令用來配置SSL服務器端策略或SSL客戶端策略所使用的PKI域。undo pki-domain命令恢複缺省情況。
缺省情況下,沒有配置SSL服務器端策略和SSL客戶端策略所使用PKI域。
需要注意的是,如果沒有配置SSL服務器端策略所使用的PKI域,則SSL服務器自己生成證書,而無需從CA獲取證書。
相關配置可參考命令display ssl server-policy和display ssl client-policy。
【舉例】
# 配置SSL服務器端策略所使用的PKI域為server-domain。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] pki-domain server-domain
# 配置SSL客戶端策略所使用的PKI域為client-domain。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] pki-domain client-domain
【命令】
prefer-cipher { rsa_aes_128_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }
undo prefer-cipher
【視圖】
SSL客戶端策略視圖
【缺省級別】
2:係統級
【參數】
rsa_aes_128_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC算法、MAC算法采用SHA。
rsa_des_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用DES_CBC算法、MAC算法采用SHA。
rsa_rc4_128_md5:密鑰交換算法采用RSA、數據加密算法采用128位的RC4算法、MAC算法采用MD5。
rsa_rc4_128_sha:密鑰交換算法采用RSA、數據加密算法采用128位的RC4算法、MAC算法采用SHA。
【描述】
prefer-cipher命令用來配置SSL客戶端策略的首選加密套件。undo prefer-cipher命令用來恢複缺省情況。
缺省情況下,SSL客戶端策略的首選加密套件為rsa_rc4_128_md5。
相關配置可參考命令display ssl client-policy。
【舉例】
# 配置SSL客戶端策略的首選加密套件為rsa_aes_128_cbc_sha。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha
【命令】
server-verify enable
undo server-verify enable
【視圖】
SSL客戶端策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
server-verify enable命令用來使能基於證書的SSL服務器身份驗證,即在SSL握手過程中,客戶端需要對服務器端進行基於證書的身份驗證。undo server-verify enable命令用來關閉基於證書的SSL服務器身份驗證功能,默認SSL服務器身份合法。
缺省情況下,需要進行基於證書的SSL服務器身份驗證。
相關配置可參考命令display ssl client-policy。
【舉例】
# 配置握手過程中,客戶端需要對服務器端進行基於證書的身份驗證。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] server-verify enable
【命令】
session { cachesize size | timeout time } *
undo session { cachesize | timeout } *
【視圖】
SSL服務器端策略視圖
【缺省級別】
2:係統級
【參數】
cachesize size:緩存的最大會話數目,size取值範圍為100~1000。
timeout time:會話緩存的超時時間,time取值範圍為1800~72000,單位為秒。
【描述】
session命令用來配置緩存的最大會話數目和會話緩存的超時時間。undo session命令用來恢複緩存的最大會話數目或會話緩存超時時間為缺省情況。
缺省情況下,緩存的最大會話數目為500個,會話緩存的超時時間為3600秒。
通過SSL握手協議協商會話參數並建立會話的過程比較複雜。為了簡化SSL握手過程,SSL允許重用已經協商過的會話參數建立會話。為此,SSL服務器上需要保存已有的會話信息。保存的會話信息的數目和保存時間具有一定的限製:
· 如果緩存的會話數目達到最大值,SSL將拒絕緩存新的會話;
· 會話保存的時間超過設定的時間後,SSL將刪除該會話的信息。
相關配置可參考命令display ssl server-policy。
【舉例】
# 配置會話緩存的超時時間為4000秒,緩存的最大會話數目為600個。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] session timeout 4000 cachesize 600
【命令】
ssl client-policy policy-name
undo ssl client-policy { policy-name | all }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
policy-name:SSL客戶端策略名,為1~16個字符的字符串,不區分大小寫,該字符串不能是“a”,“al”和“all”。
all:所有SSL客戶端策略。
【描述】
ssl client-policy命令用來創建SSL客戶端策略,並進入SSL客戶端策略視圖。undo ssl client-policy命令用來刪除已創建的SSL客戶端策略。
相關配置可參考命令display ssl client-policy。
【舉例】
# 創建名為policy1的SSL客戶端策略,並進入該SSL客戶端策略視圖。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1]
【命令】
ssl server-policy policy-name
undo ssl server-policy { policy-name | all }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
policy-name:SSL服務器端策略名,為1~16個字符的字符串,不區分大小寫,該字符串不能是“a”,“al”和“all”。
all:所有的SSL服務器端策略。
【描述】
ssl server-policy命令用來創建SSL服務器端策略,並進入SSL服務器端策略視圖。undo ssl server-policy命令用來刪除已創建的SSL服務器端策略。
需要注意的是,SSL服務器端策略與應用層協議關聯後,無法刪除該策略。
相關配置可參考命令display ssl server-policy。
【舉例】
# 創建名為policy1的SSL服務器端策略,並進入該SSL服務器端策略視圖。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1]
【命令】
ssl version ssl3.0 disable
undo ssl version ssl3.0 disable
【視圖】
【缺省級別】
2:係統級
【參數】
無
【描述】
ssl version ssl3.0 disable命令用來關閉設備SSL 3.0版本
undo ssl version ssl3.0 disable命令用來恢複缺省情況
缺省情況下,允許設備使用SSL 3.0版本
【舉例】
# 關閉設備SSL 3.0版本。
[Sysname] ssl version ssl3.0 disable
對於SSL服務器端,開啟或關閉設備SSL 3.0版本配置,需要重新啟動SSL服務才能生效。
【命令】
version { ssl3.0 | tls1.0 }
undo version
【視圖】
SSL客戶端策略視圖
【缺省級別】
2:係統級
【參數】
ssl3.0:版本號為SSL 3.0。
tls1.0:版本號為TLS 1.0。
【描述】
version命令用來配置SSL客戶端策略使用的SSL協議版本。undo version命令恢複缺省情況。
缺省情況下,SSL客戶端策略使用的SSL協議版本號為TLS 1.0。
相關配置可參考命令display ssl client-policy。
【舉例】
# 配置SSL客戶端策略使用的SSL協議版本號為SSL 3.0。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] version ssl3.0
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
