- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-SSL命令
本章節下載: 14-SSL命令 (282.33 KB)
目 錄
1.1.1 certificate-chain-sending enable
1.1.4 display ssl client-policy
1.1.5 display ssl server-policy
1.1.6 pki-domain (SSL client policy view)
1.1.7 pki-domain (SSL server policy view)
1.1.13 ssl renegotiation disable
設備運行於FIPS模式時,本特性部分配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
certificate-chain-sending enable命令用來配置SSL協商時SSL服務器端發送完整的證書鏈。
undo certificate-chain-sending enable命令用來恢複缺省情況。
【命令】
certificate-chain-sending enable
undo certificate-chain-sending enable
【缺省情況】
SSL協商時,SSL服務器端隻發送本地證書,不發送證書鏈。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【使用指導】
僅當SSL客戶端沒有完整的證書鏈對服務器端的數字證書進行驗證時,請通過本命令要求SSL服務器端在握手協商時向對端發送完整的證書鏈,以保證SSL會話的正常建立。否則,建議關閉此功能,減輕協商階段的網絡開銷。
【舉例】
# 配置SSL協商時SSL服務器端發送完整的證書鏈。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] certificate-chain-sending enable
【相關命令】
· display ssl server-policy
ciphersuite命令用來配置SSL服務器端策略支持的加密套件。
undo ciphersuite命令用來恢複缺省情況。
【命令】
(非FIPS模式)
ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } *
(FIPS模式)
ciphersuite { ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 } *
undo ciphersuite
【缺省情況】
SSL服務器端策略支持所有的加密套件。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【參數】
dhe_rsa_aes_128_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA。
dhe_rsa_aes_128_cbc_sha256:密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。
dhe_rsa_aes_256_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha256:密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_cbc_sha256:密鑰交換算法采用ECDHE ECDSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_gcm_sha256:密鑰交換算法采用ECDHE ECDSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_ecdsa_aes_256_cbc_sha384:密鑰交換算法采用ECDHE ECDSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_ecdsa_aes_256_gcm_sha384:密鑰交換算法采用ECDHE ECDSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。
ecdhe_rsa_aes_128_cbc_sha256:密鑰交換算法采用ECDHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_rsa_aes_128_gcm_sha256:密鑰交換算法采用ECDHE RSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_rsa_aes_256_cbc_sha384:密鑰交換算法采用ECDHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_rsa_aes_256_gcm_sha384:密鑰交換算法采用ECDHE RSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。
exp_rsa_des_cbc_sha:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC2、MAC算法采用MD5。
exp_rsa_rc4_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC4、MAC算法采用MD5。
rsa_3des_ede_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha256:密鑰交換算法采用RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。
rsa_aes_128_gcm_sha256:密鑰交換算法采用RSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。
rsa_aes_256_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha256:密鑰交換算法采用RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA256。
rsa_aes_256_gcm_sha384:密鑰交換算法采用RSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。
rsa_des_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用SHA。
【使用指導】
為了提高安全性,SSL協議采用了如下算法:
· 數據加密算法:用來對傳輸的數據進行加密,以保證數據傳輸的私密性。常用的數據加密算法通常為對稱密鑰算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用對稱密鑰算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· MAC(Message Authentication Code,消息驗證碼)算法:用來計算數據的MAC值,以防止發送的數據被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· 密鑰交換算法:用來實現密鑰交換,以保證對稱密鑰算法、MAC算法中使用的密鑰在SSL服務器端和SSL客戶端之間安全地傳遞。常用的密鑰交換算法通常為非對稱密鑰算法,如RSA。
通過本命令可以配置SSL服務器端策略支持的各種算法組合。例如,rsa_des_cbc_sha表示SSL服務器端策略支持的密鑰交換算法為RSA、數據加密算法為DES_CBC、MAC算法為SHA。
SSL服務器接收到SSL客戶端發送的客戶端加密套件後,將服務器支持的加密套件與SSL客戶端支持的加密套件比較。如果SSL服務器支持的加密套件中存在SSL客戶端支持的加密套件,則加密套件協商成功;否則,加密套件協商失敗。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 指定SSL服務器端策略支持如下加密套件:
· 密鑰交換算法為DHE RSA、數據加密算法為128位的AES_CBC、MAC算法為SHA
· 密鑰交換算法為RSA、數據加密算法為128位的AES_CBC、MAC算法為SHA
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] ciphersuite dhe_rsa_aes_128_cbc_sha rsa_aes_128_cbc_sha
【相關命令】
· display ssl server-policy
· prefer-cipher
client-verify命令用來配置SSL服務器端對SSL客戶端的身份驗證方案。
undo client-verify命令用來恢複缺省情況。
【命令】
client-verify { enable | optional }
undo client-verify
【缺省情況】
SSL服務器端不對SSL客戶端進行基於數字證書的身份驗證。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【參數】
enable:表示SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。
optional:表示SSL服務器端不強製要求對SSL客戶端進行基於數字證書的身份驗證,即身份驗證可選。
【使用指導】
SSL通過數字證書實現對對端的身份進行驗證。數字證書的詳細介紹,請參見“安全配置指導”中的“PKI”。
設備作為SSL服務器端,支持靈活的SSL客戶端認證方案,具體如下:
· 執行了client-verify enable命令的情況下,則SSL客戶端必須將自己的數字證書提供給服務器,以便服務器對客戶端進行基於數字證書的身份驗證。隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器。
· 執行了client-verify optional命令的情況下,若SSL客戶端未提供數字證書給服務器,SSL客戶端也能訪問SSL服務器;若SSL客戶端提供數字證書給服務器,隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器。
· 執行了undo client-verify命令的情況下,SSL服務器端不要求SSL客戶端提供數字證書,也不會對其進行基於數字證書的身份驗證,SSL客戶端可以直接訪問SSL服務器。
SSL服務器端在基於數字證書對SSL客戶端進行身份驗證時,除了對SSL客戶端發送的證書鏈進行驗證,還要檢查證書鏈中的除根CA證書外的每個證書是否均未被吊銷。
【舉例】
# 配置SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify enable
# 配置SSL服務器端對SSL客戶端進行基於數字證書的身份驗證是可選的。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify optional
# 配置SSL服務器端不要求對SSL客戶端進行基於數字證書的身份驗證。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] undo client-verify
【相關命令】
· display ssl server-policy
display ssl client-policy命令用來顯示SSL客戶端策略的信息。
【命令】
display ssl client-policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
policy-name:顯示指定的SSL客戶端策略的信息,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則顯示所有SSL客戶端策略的信息。
【舉例】
# 顯示名為policy1的SSL客戶端策略的信息。
<Sysname> display ssl client-policy policy1
SSL client policy: policy1
SSL version: SSL 3.0
PKI domain: client-domain
Preferred ciphersuite:
RSA_AES_128_CBC_SHA
Server-verify: enabled
表1-1 display ssl client-policy命令顯示信息描述表
|
字段 |
描述 |
|
SSL client policy |
SSL客戶端策略名 |
|
SSL version |
SSL客戶端策略使用的SSL協議版本 |
|
PKI domain |
SSL客戶端策略使用的PKI域 |
|
Preferred ciphersuite |
SSL客戶端策略支持的加密套件 |
|
Server-verify |
SSL客戶端策略的服務器端驗證模式,取值包括: · disabled:不要求對SSL服務器進行基於數字證書的身份驗證 · enabled:要求對SSL服務器進行基於數字證書的身份驗證 |
display ssl server-policy命令用來顯示SSL服務器端策略的信息。
【命令】
display ssl server-policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
policy-name:顯示指定的SSL服務器端策略的信息,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則顯示所有SSL服務器端策略的信息。
【舉例】
# 顯示名為policy1的SSL服務器端策略的信息。
<Sysname> display ssl server-policy policy1
SSL server policy: policy1
PKI domain: server-domain
Ciphersuites:
DHE_RSA_AES_128_CBC_SHA
RSA_AES_128_CBC_SHA
Session cache size: 600
Caching timeout: 3600 seconds
Client-verify: Enabled
Certificate chain sending: Enabled
表1-2 display ssl server-policy命令顯示信息描述表
|
字段 |
描述 |
|
SSL server policy |
SSL服務器端策略名 |
|
PKI domain |
SSL服務器端策略使用的PKI域 |
|
Ciphersuites |
SSL服務器端策略支持的加密套件 |
|
Session cache size |
SSL服務器端可以緩存的最大會話數目 |
|
Caching timeout |
SSL服務器端會話緩存超時時間(單位為秒) |
|
Client-verify |
SSL服務器端策略的客戶端驗證模式,取值包括: · Disabled:不要求對客戶端進行基於數字證書的身份驗證 · Enabled:要求對客戶端進行基於數字證書的身份驗證 · Optional:SSL服務器端對SSL客戶端進行基於數字證書的身份驗證是可選的 |
|
Certificate chain sending |
SSL服務器端是否發送完整證書鏈: · Disabled:不發送完整證書鏈 · Enabled:發送完整證書鏈 |
pki-domain命令用來配置SSL客戶端策略所使用的PKI域。
undo pki-domain命令用來恢複缺省情況。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情況】
未指定SSL客戶端策略所使用的PKI域。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:PKI域的域名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
如果通過本命令指定了SSL客戶端策略使用的PKI域,則引用該客戶端策略的SSL客戶端將通過該PKI域獲取客戶端的數字證書。
【舉例】
# 配置SSL客戶端策略所使用的PKI域為client-domain。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] pki-domain client-domain
【相關命令】
· display ssl client-policy
· pki domain(安全命令參考/PKI)
pki-domain命令用來配置SSL服務器端策略所使用的PKI域。
undo pki-domain命令用來恢複缺省情況。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情況】
未指定SSL服務器端策略所使用的PKI域。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:PKI域的域名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
如果通過本命令指定了SSL服務器端策略使用的PKI域,則引用該服務器端策略的SSL服務器將通過該PKI域獲取服務器端的數字證書。
【舉例】
# 配置SSL服務器端策略所使用的PKI域為server-domain。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] pki-domain server-domain
【相關命令】
· display ssl server-policy
· pki domain(安全命令參考/PKI)
prefer-cipher命令用來配置SSL客戶端策略支持的加密套件。
undo prefer-cipher命令用來恢複缺省情況。
【命令】
(非FIPS模式)
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }
undo prefer-cipher
(FIPS模式)
prefer-cipher { ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 }
undo prefer-cipher
【缺省情況】
(非FIPS模式)
SSL客戶端策略支持的加密套件為rsa_rc4_128_md5。
(FIPS模式)
SSL客戶端策略支持的加密套件為rsa_aes_128_cbc_sha。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
【參數】
dhe_rsa_aes_128_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA。
dhe_rsa_aes_128_cbc_sha256:密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。
dhe_rsa_aes_256_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha256:密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_cbc_sha256:密鑰交換算法采用ECDHE ECDSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_gcm_sha256:密鑰交換算法采用ECDHE ECDSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_ecdsa_aes_256_cbc_sha384:密鑰交換算法采用ECDHE ECDSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_ecdsa_aes_256_gcm_sha384:密鑰交換算法采用ECDHE ECDSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。
ecdhe_rsa_aes_128_cbc_sha256:密鑰交換算法采用ECDHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_rsa_aes_128_gcm_sha256:密鑰交換算法采用ECDHE RSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_rsa_aes_256_cbc_sha384:密鑰交換算法采用ECDHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_rsa_aes_256_gcm_sha384:密鑰交換算法采用ECDHE RSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。
exp_rsa_des_cbc_sha:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC2、MAC算法采用MD5。
exp_rsa_rc4_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC4、MAC算法采用MD5。
rsa_3des_ede_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha256:密鑰交換算法采用RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。
rsa_aes_128_gcm_sha256:密鑰交換算法采用RSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。
rsa_aes_256_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha256:密鑰交換算法采用RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA256。
rsa_aes_256_gcm_sha384:密鑰交換算法采用RSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。
rsa_des_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用SHA。
【使用指導】
為了提高安全性,SSL協議采用了如下算法:
· 數據加密算法:用來對傳輸的數據進行加密,以保證數據傳輸的私密性。常用的數據加密算法通常為對稱密鑰算法。使用對稱密鑰算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· MAC(Message Authentication Code,消息驗證碼)算法:用來計算數據的MAC值,以防止發送的數據被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· 密鑰交換算法:用來實現密鑰交換,以保證對稱密鑰算法、MAC算法中使用的密鑰在SSL服務器端和SSL客戶端之間安全地傳遞。常用的密鑰交換算法通常為非對稱密鑰算法,如RSA。
通過本命令可以配置SSL客戶端策略支持的算法組合。例如,rsa_des_cbc_sha表示SSL客戶端支持的密鑰交換算法為RSA、數據加密算法為DES_CBC、MAC算法為SHA。
SSL客戶端將本端支持的加密套件發送給SSL服務器,SSL服務器將自己支持的加密套件與SSL客戶端支持的加密套件比較。如果SSL服務器支持的加密套件中存在SSL客戶端支持的加密套件,則加密套件協商成功;否則,加密套件協商失敗。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置SSL客戶端策略支持的加密套件為:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha
【相關命令】
· ciphersuite
· display ssl client-policy
security-enhanced level命令用來配置設備的安全增強級別。
undo security-enhanced level命令用來恢複缺省情況。
【命令】
security-enhanced level level-value
undo security-enhanced level
【缺省情況】
設備的安全增強級別為1。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
level-value:設備的安全增強級別,取值為1或2。
【使用指導】
設備的安全增強級別有兩個,分別為1和2,2的安全級別較高。當設備的安全級別為2時,對SSL應用有如下限製:
· SSL客戶端策略和SSL服務器端策略不支持DES、3DES、MD5、RC4和RC2類型的加密套件。
· SSL客戶端策略和服務器端策略均不支持使用低於TLS1.1的SSL協議版本。
· 不支持開啟SSL重協商功能。
用戶可以根據自身對安全增強級別的需求,通過本命令來配置調整設備的安全增強級別。
安全增強級別切換之後,對於引用SSL策略的服務(如HTTP和SSL VPN服務),需要重啟相關服務,以更新引用的SSL策略。
【舉例】
# 配置設備的安全增強級別為2。
<Sysname> system-view
[Sysname] security-enhanced level 2
server-verify enable命令用來配置對服務器端進行基於數字證書的身份驗證。
undo server-verify enable命令用來取消對服務器端進行基於數字證書的身份驗證,默認SSL服務器身份合法。
【命令】
server-verify enable
undo server-verify enable
【缺省情況】
SSL客戶端需要對SSL服務器端進行基於數字證書的身份驗證。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
【使用指導】
SSL通過數字證書實現對對端的身份進行驗證。數字證書的詳細介紹,請參見“安全配置指導”中的“PKI”。
如果執行了server-verify enable命令,則SSL服務器端需要將自己的數字證書提供給客戶端,以便客戶端對服務器端進行基於數字證書的身份驗證。隻有身份驗證通過後,SSL客戶端才會訪問該SSL服務器。
【舉例】
# 配置SSL客戶端需要對SSL服務器端進行基於數字證書的身份驗證。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] server-verify enable
【相關命令】
· display ssl client-policy
session命令用來配置SSL服務器上緩存的最大會話數目和SSL會話緩存的超時時間。
undo session命令用來恢複缺省情況。
【命令】
session { cachesize size | timeout time } *
undo session { cachesize | timeout } *
【缺省情況】
SSL服務器上緩存的最大會話數目為500個,SSL會話緩存的超時時間為3600秒。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【參數】
cachesize size:指定SSL服務器上緩存的最大會話數目。size為緩存的最大會話數目,取值範圍為100~20480。
timeout time:指定SSL會話緩存的超時時間。time為會話緩存超時時間,取值範圍為1~4294967295,單位為秒。
【使用指導】
通過SSL握手協議協商會話參數並建立會話的過程比較複雜。為了簡化SSL握手過程,SSL允許重用已經協商出的會話參數建立會話。為此,SSL服務器上需要保存已有的會話信息。保存的會話信息的數目和保存時間具有一定的限製:
· 如果緩存的會話數目達到最大值,SSL將拒絕緩存新協商出的會話。
· 會話保存的時間超過設定的時間後,SSL將刪除該會話的信息。
【舉例】
# 配置SSL服務器上緩存的最大會話數目為600個,SSL會話緩存超時時間為1800秒。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] session cachesize 600 timeout 1800
【相關命令】
· display ssl server-policy
ssl client-policy命令用來創建SSL客戶端策略,並進入SSL客戶端策略視圖。如果指定的SSL客戶端策略已經存在,則直接進入SSL客戶端策略視圖。
undo ssl client-policy命令用來刪除指定的SSL客戶端策略。
【命令】
ssl client-policy policy-name
undo ssl client-policy policy-name
【缺省情況】
不存在SSL客戶端策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:SSL客戶端策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
SSL客戶端策略視圖下可以配置SSL客戶端啟動時使用的SSL參數,如使用的PKI域、支持的加密套件等。隻有與應用層協議,如DDNS(Dynamic Domain Name System,動態域名係統),關聯後,SSL客戶端策略才能生效。
【舉例】
# 創建SSL客戶端策略policy1,並進入SSL客戶端策略視圖。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1]
【相關命令】
· display ssl client-policy
ssl renegotiation disable命令用來關閉SSL重協商。
undo ssl renegotiation disable命令用來恢複缺省情況。
【命令】
ssl renegotiation disable
undo ssl renegotiation disable
【缺省情況】
允許SSL重協商。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
關閉SSL重協商是指,不允許複用已有的SSL會話進行SSL快速協商,每次SSL協商必須進行完整的SSL握手過程。關閉SSL重協商會導致係統付出更多的計算開銷,但可以避免潛在的風險,安全性更高。
通常情況下,不建議關閉SSL重協商。本命令僅用於用戶明確要求關閉重協商的場景。
【舉例】
# 關閉SSL重協商。
<Sysname> system-view
[Sysname] ssl renegotiation disable
ssl server-policy命令用來創建SSL服務器端策略,並進入SSL服務器端策略視圖。如果指定的SSL服務器端策略已經存在,則直接進入SSL服務器端策略視圖。
undo ssl server-policy命令用來刪除指定的SSL服務器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy policy-name
【缺省情況】
不存在SSL服務器端策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:SSL服務器端策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
SSL服務器端策略視圖下可以配置SSL服務器啟動時使用的SSL參數,如使用的PKI域、支持的加密套件等。隻有與HTTPS等應用關聯後,SSL服務器端策略才能生效。
【舉例】
# 創建SSL服務器端策略policy1,並進入SSL服務器端策略視圖。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1]
【相關命令】
· display ssl server-policy
ssl version disable命令用來禁止SSL服務器使用指定的SSL版本進行SSL協商。
undo ssl version disable命令用來恢複缺省情況。
【命令】
(非FIPS模式)
ssl version { ssl3.0 | tls1.0 | tls1.1 } * disable
undo ssl version { ssl3.0 | tls1.0 | tls1.1 } * disable
(FIPS模式)
ssl version { tls1.0 | tls1.1 } * disable
undo ssl version { tls1.0 | tls1.1 } * disable
【缺省情況】
(非FIPS模式)
SSL服務器允許使用SSL3.0、TLS1.0、TLS1.1和TLS1.2版本進行協商。
(FIPS模式)
SSL服務器允許使用TLS1.0、TLS1.1和TLS1.2版本進行協商。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
ssl3.0:SSL協商的版本為SSL3.0。
tls1.0:SSL協商的版本為TLS1.0。
tls1.1:SSL協商的版本為TLS1.1。
【使用指導】
當對係統安全性有較高要求時可以禁止SSL服務器使用SSL3.0、TLS1.0和TLS1.1版本進行協商。
需要注意的是,如果通過本命令關閉了指定版本的SSL協商功能,並不會同時關閉比其更低版本的SSL協商功能,例如,ssl version tls1.1 disable命令僅表示關閉了TLS1.1版本的SSL協商功能,不會同時關閉TLS1.0版本。
【舉例】
# 關閉SSL 3.0。
<Sysname> system-view
[Sysname] ssl version ssl3.0 disable
version命令用來配置SSL客戶端策略使用的SSL協議版本。
undo version命令恢複缺省情況。
【命令】
(非FIPS模式)
version { ssl3.0 | tls1.0 | tls1.1 | tls1.2 }
undo version
(FIPS模式)
version { tls1.0 | tls1.1 | tls1.2 }
undo version
【缺省情況】
SSL客戶端策略使用的SSL協議版本為TLS 1.0。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
【參數】
ssl3.0:SSL客戶端策略使用的SSL協議版本為SSL 3.0。
tls1.0:SSL客戶端策略使用的SSL協議版本為TLS 1.0。
tls1.1:SSL客戶端策略使用的SSL協議版本為TLS1.1。
tls1.2:SSL客戶端策略使用的SSL協議版本為TLS1.2。
【使用指導】
對安全性要求較高的環境下,建議為不要為SSL客戶端指定SSL3.0 版本。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置SSL客戶端策略使用的SSL協議版本為TLS 1.0。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] version tls1.0
【相關命令】
· display ssl client-policy
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
