03-安全命令參考

17-SSL命令

1 SSL

僅vFW1000、vFW2000不支持SM1算法。

1.1 SSL配置命令

1.1.1 certificate-chain-sending enable

certificate-chain-sending enable命令用來配置SSL協商時SSL服務器端發送完整的證書鏈。

undo certificate-chain-sending enable命令用來恢複缺省情況。

【命令】

certificate-chain-sending enable

undo certificate-chain-sending enable

【缺省情況】

SSL協商時，SSL服務器端隻發送本地證書，不發送證書鏈。

【視圖】

SSL服務器端策略視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

僅當SSL客戶端沒有完整的證書鏈對服務器端的數字證書進行驗證時，請通過本命令要求SSL服務器端在握手協商時向對端發送完整的證書鏈，以保證SSL會話的正常建立。否則，建議關閉此功能，減輕協商階段的網絡開銷。

【舉例】

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] certificate-chain-sending enable

1.1.2 ciphersuite

ciphersuite命令用來配置SSL服務器端策略支持的加密套件。

undo ciphersuite命令用來恢複缺省情況。

【命令】

ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecc_sm2_sm1_sm3 | ecc_sm2_sm4_sm3 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_sm2_sm1_sm3 | ecdhe_sm2_sm4_sm3 | exp_rsa_des_cbc_sha | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_sm1_sha | rsa_sm1_sm3 | rsa_sm4_sha | rsa_sm4_sm3

| tls_aes_128_ccm_8_sha256 | tls_aes_128_ccm_sha256 | tls_aes_128_gcm_sha256 | tls_aes_256_gcm_sha384 | tls_chacha20_poly1305_sha256 } *<1-11>

undo ciphersuite

【缺省情況】

SSL服務端策略支持的加密套件為ECC_SM2_SM1_SM3、ECC_SM2_SM4_SM3、ECDHE_SM2_SM1_SM3、ECDHE_SM2_SM4_SM3、RSA_SM1_SHA、RSA_SM1_SM3、RSA_SM4_SHA、RSA_SM4_SM3、RSA_AES_128_CBC_SHA、RSA_AES_256_CBC_SHA、DHE_RSA_AES_128_CBC_SHA、DHE_RSA_AES_256_CBC_SHA、RSA_AES_128_CBC_SHA256、RSA_AES_256_CBC_SHA256、DHE_RSA_AES_128_CBC_SHA256、DHE_RSA_AES_256_CBC_SHA256、ECDHE_RSA_AES_128_CBC_SHA256、ECDHE_RSA_AES_256_CBC_SHA384、ECDHE_RSA_AES_128_GCM_SHA256、ECDHE_RSA_AES_256_GCM_SHA384、ECDHE_ECDSA_AES_128_CBC_SHA256、ECDHE_ECDSA_AES_256_CBC_SHA384、ECDHE_ECDSA_AES_128_GCM_SHA256、ECDHE_ECDSA_AES_256_GCM_SHA384、RSA_AES_128_GCM_SHA256、RSA_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_AES_128_CCM_SHA256、TLS_AES_128_CCM_8_SHA256。

【視圖】

SSL服務器端策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

dhe_rsa_aes_128_cbc_sha：密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA。

dhe_rsa_aes_128_cbc_sha256：密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。

dhe_rsa_aes_256_cbc_sha：密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA。

dhe_rsa_aes_256_cbc_sha256：密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA256。

ecc_sm2_sm1_sm3：密鑰交換算法采用ECC SM2、數據加密算法采用128位的SM1、MAC算法采用SM3。

ecc_sm2_sm4_sm3：密鑰交換算法采用ECC SM2、數據加密算法采用SM4、MAC算法采用SM3。

ecdhe_ecdsa_aes_128_cbc_sha256：密鑰交換算法采用ECDHE ECDSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。

ecdhe_ecdsa_aes_128_gcm_sha256：密鑰交換算法采用ECDHE ECDSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。

ecdhe_ecdsa_aes_256_cbc_sha384：密鑰交換算法采用ECDHE ECDSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA384。

ecdhe_ecdsa_aes_256_gcm_sha384：密鑰交換算法采用ECDHE ECDSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。

ecdhe_rsa_aes_128_cbc_sha256：密鑰交換算法采用ECDHE RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。

ecdhe_rsa_aes_128_gcm_sha256：密鑰交換算法采用ECDHE RSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。

ecdhe_rsa_aes_256_cbc_sha384：密鑰交換算法采用ECDHE RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA384。

ecdhe_rsa_aes_256_gcm_sha384：密鑰交換算法采用ECDHE RSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。

ecdhe_sm2_sm1_sm3：密鑰交換算法采用ECDHE SM2、數據加密算法采用128位的SM1、MAC算法采用SM3。

ecdhe_sm2_sm4_sm3：密鑰交換算法采用ECDHE SM2、數據加密算法采用SM4、MAC算法采用SM3。

exp_rsa_des_cbc_sha：滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。

rsa_3des_ede_cbc_sha：密鑰交換算法采用RSA、數據加密算法采用3DES_EDE_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha：密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha256：密鑰交換算法采用RSA、數據加密算法采用128位的AES_CBC、MAC算法采用SHA256。

rsa_aes_128_gcm_sha256：密鑰交換算法采用RSA、數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。

rsa_aes_256_cbc_sha：密鑰交換算法采用RSA、數據加密算法采用256位AES_CBC、MAC算法采用SHA。

rsa_aes_256_cbc_sha256：密鑰交換算法采用RSA、數據加密算法采用256位的AES_CBC、MAC算法采用SHA256。

rsa_aes_256_gcm_sha384：密鑰交換算法采用RSA、數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。

rsa_des_cbc_sha：密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。

rsa_sm1_sha：密鑰交換算法采用RSA、數據加密算法采用128位的SM1、MAC算法采用SHA。

rsa_sm1_sm3：密鑰交換算法采用RSA、數據加密算法采用128位的SM1、MAC算法采用SM3。

rsa_sm4_sha：密鑰交換算法采用RSA、數據加密算法采用SM4、MAC算法采用SHA。

rsa_sm4_sm3：密鑰交換算法采用RSA、數據加密算法采用SM4、MAC算法采用SM3。

tls_aes_128_ccm_sha256:數據加密算法采用AES 128 CCM、MAC算法采用SHA256。本加密套件為TLS1.3專屬加密套件，僅SSL VPN支持。

tls_aes_128_ccm_8_sha256:數據加密算法采用AES 128 CCM 8、MAC算法采用SHA256。本加密套件為TLS1.3專屬加密套件，僅SSL VPN支持。

tls_aes_128_gcm_sha256:數據加密算法采用128位的AES_GCM、MAC算法采用SHA256。本加密套件為TLS1.3專屬加密套件，僅SSL VPN支持。

tls_aes_256_gcm_sha384:數據加密算法采用256位的AES_GCM、MAC算法采用SHA384。本加密套件為TLS1.3專屬加密套件，僅SSL VPN支持。

tls_chacha20_poly1305_sha256:數據加密算法采用CHACHA20 POLY1305、MAC算法采用SHA256。本加密套件為TLS1.3專屬加密套件，僅SSL VPN支持。

<1-11>：表示前麵的參數最多可以輸入11次，即在一條命令中最多可以配置11個加密套件。

【使用指導】

為了提高安全性，SSL協議采用了如下算法：

· 數據加密算法：用來對傳輸的數據進行加密，以保證數據傳輸的私密性。常用的數據加密算法通常為對稱密鑰算法，如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用對稱密鑰算法時，要求SSL服務器端和SSL客戶端具有相同的密鑰。

· MAC（Message Authentication Code，消息驗證碼）算法：用來計算數據的MAC值，以防止發送的數據被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法時，要求SSL服務器端和SSL客戶端具有相同的密鑰。

· 密鑰交換算法：用來實現密鑰交換，以保證對稱密鑰算法、MAC算法中使用的密鑰在SSL服務器端和SSL客戶端之間安全地傳遞。常用的密鑰交換算法通常為非對稱密鑰算法，如RSA。

通過本命令可以配置SSL服務器端策略支持的各種算法組合。例如，rsa_des_cbc_sha表示SSL服務器端策略支持的密鑰交換算法為RSA、數據加密算法為DES_CBC、MAC算法為SHA。

SSL服務器接收到SSL客戶端發送的客戶端加密套件後，將服務器支持的加密套件與SSL客戶端支持的加密套件比較。如果SSL服務器支持的加密套件中存在SSL客戶端支持的加密套件，則加密套件協商成功；否則，加密套件協商失敗。協商時可以以服務器端配置的加密套件順序進行匹配，也可以以客戶端支持的加密套件順序進行匹配，具體選擇哪一種方法取決於ciphersuite server-preferred enable命令的配置。

加密套件的配置順序即為加密套件的優先級順序。

執行本命令時，一次最多可以指定11個加密套件。如果多次執行本命令，那麼SSL服務器端策略支持的加密套件是指定的加密套件的合集。

【舉例】

# 指定SSL服務器端策略支持如下加密套件：

· 密鑰交換算法為DHE RSA、數據加密算法為128位的AES_CBC、MAC算法為SHA

· 密鑰交換算法為RSA、數據加密算法為128位的AES_CBC、MAC算法為SHA

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] ciphersuite dhe_rsa_aes_128_cbc_sha rsa_aes_128_cbc_sha

【相關命令】

· display ssl server-policy

· prefer-cipher

· ciphersuite server-preferred enable

1.1.3 ciphersuite server-preferred enable

ciphersuite server-preferred enable命令用來開啟SSL服務器與客戶端進行算法協商時按照服務器端配置的加密套件順序進行匹配的功能。

undo ciphersuite server-preferred enable命令用來關閉SSL服務器與客戶端進行算法協商時按照服務器端配置的加密套件順序進行匹配的功能。

【命令】

ciphersuite server-preferred enable

undo ciphersuite server-preferred enable

【缺省情況】

SSL服務器與客戶端進行算法協商時按照客戶端支持的加密套件的順序進行匹配。

【視圖】

SSL服務器端策略視圖

【缺省用戶角色】

network-admin

context-admin

【使用指導】

缺省情況下，SSL服務器與客戶端進行SSL協商時按照客戶端支持的加密套件的順序來進行匹配，即按照優先級從高到低的順序，依次選取SSL客戶端的加密套件，然後從SSL服務器端查找與之匹配的加密套件，直到匹配成功。如果沒有任何一個加密套件匹配成功，則協商失敗。

配置ciphersuite server-preferred enable命令後，SSL服務器與客戶端進行SSL協商時按照服務器端配置的加密套件的順序來進行匹配，即按照優先級從高到低的順序，依次選取SSL服務器的加密套件，然後從SSL客戶端查找與之匹配的加密套件，直到匹配成功。如果沒有任何一個加密套件匹配成功，則協商失敗。

【舉例】

# 配置SSL服務器與SSL客戶端進行算法協商時按照服務器端配置的加密套件順序進行匹配。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] ciphersuite server-preferred enable

【相關命令】

· ciphersuite

· display ssl server-policy

· prefer-cipher

1.1.4 client-verify

client-verify命令用來配置SSL服務器端對SSL客戶端的身份驗證方案。

undo client-verify命令用來恢複缺省情況。

【命令】

client-verify { enable | optional }

undo client-verify

【缺省情況】

SSL服務器端不對SSL客戶端進行基於數字證書的身份驗證。

【視圖】

SSL服務器端策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

enable：表示SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。

optional：表示SSL服務器端不強製要求對SSL客戶端進行基於數字證書的身份驗證，即身份驗證可選。

【使用指導】

SSL通過數字證書實現對對端的身份進行驗證。數字證書的詳細介紹，請參見“安全配置指導”中的“PKI”。

設備作為SSL服務器端，支持靈活的SSL客戶端認證方案，具體如下：

· 執行了client-verify enable命令的情況下，則SSL客戶端必須將自己的數字證書提供給服務器，以便服務器對客戶端進行基於數字證書的身份驗證。隻有身份驗證通過後，SSL客戶端才能訪問SSL服務器。

· 執行了client-verify optional命令的情況下，若SSL客戶端未提供數字證書給服務器，SSL客戶端也能訪問SSL服務器；若SSL客戶端提供數字證書給服務器，隻有身份驗證通過後，SSL客戶端才能訪問SSL服務器。

· 執行了undo client-verify命令的情況下，SSL服務器端不要求SSL客戶端提供數字證書，也不會對其進行基於數字證書的身份驗證，SSL客戶端可以直接訪問SSL服務器。

SSL服務器端在基於數字證書對SSL客戶端進行身份驗證時，除了對SSL客戶端發送的證書鏈進行驗證，還要檢查證書鏈中的除根CA證書外的每個證書是否均未被吊銷。

【舉例】

# 配置SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] client-verify enable

# 配置SSL服務器端對SSL客戶端進行基於數字證書的身份驗證是可選的。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] client-verify optional

# 配置SSL服務器端不要求對SSL客戶端進行基於數字證書的身份驗證。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] undo client-verify

【相關命令】

· display ssl server-policy

1.1.5 display ssl client-policy

display ssl client-policy命令用來顯示SSL客戶端策略的信息。

【命令】

display ssl client-policy [ policy-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【參數】

policy-name：顯示指定的SSL客戶端策略的信息，為1～31個字符的字符串，不區分大小寫。如果不指定本參數，則顯示所有SSL客戶端策略的信息。

【舉例】

# 顯示名為policy1的SSL客戶端策略的信息。

<Sysname> display ssl client-policy policy1

SSL client policy: policy1

SSL version: SSL 3.0

PKI domain: client-domain

Preferred ciphersuite:

RSA_AES_128_CBC_SHA

Server-verify: enabled

# 顯示名為policy2的SSL客戶端策略的信息。

<Sysname> display ssl client-policy policy2

SSL client policy: policy2

SSL version: TLS 1.3

PKI domain:

Preferred ciphersuite:

TLS_AES_128_GCM_SHA256

TLS_CHACHA20_POLY1305_SHA256

TLS_AES_256_GCM_SHA384

TLS_AES_128_CCM_8_SHA256

TLS_AES_128_CCM_SHA256

Server-verify: enable

表1-1 display ssl client-policy命令顯示信息描述表

字段	描述
SSL client policy	SSL客戶端策略名
SSL version	SSL客戶端策略使用的SSL協議版本： · SSL3.0。 · TLS1.0 · TLS1.1 · TLS1.2 · TLS1.3（僅SSL VPN支持） · GM-TLS1.1
PKI domain	SSL客戶端策略使用的PKI域
Preferred ciphersuite	SSL客戶端策略支持的加密套件
Server-verify	SSL客戶端策略的服務器端驗證模式，取值包括： · disabled：不要求對SSL服務器進行基於數字證書的身份驗證 · enabled：要求對SSL服務器進行基於數字證書的身份驗證

1.1.6 display ssl server-policy

display ssl server-policy命令用來顯示SSL服務器端策略的信息。

【命令】

display ssl server-policy [ policy-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【參數】

policy-name：顯示指定的SSL服務器端策略的信息，為1～31個字符的字符串，不區分大小寫。如果不指定本參數，則顯示所有SSL服務器端策略的信息。

【舉例】

# 顯示名為policy1的SSL服務器端策略的信息。

<Sysname> display ssl server-policy policy1

SSL server policy: policy1

Version info:

SSL3.0: Disabled

TLS1.0: Enabled

TLS1.1: Disabled

TLS1.2: Enabled

TLS1.3: Enabled

GM-TLS1.1: Disabled

PKI domains: server-domain

Ciphersuites:

DHE_RSA_AES_128_CBC_SHA

RSA_AES_128_CBC_SHA

TLS_AES_128_GCM_SHA256

TLS_CHACHA20_POLY1305_SHA256

TLS_AES_256_GCM_SHA384

TLS_AES_128_CCM_8_SHA256

TLS_AES_128_CCM_SHA256

Session cache size: 600

Caching timeout: 3600 seconds

Client-verify: Enabled

Ciphersuite server-perferred: Disabled

表1-2 display ssl server-policy命令顯示信息描述表

字段	描述
SSL server policy	SSL服務器端策略名
Version info	SSL服務器端實際使用的版本： · SSL3.0 · TLS1.0 · TLS1.1 · TLS1.2 · TLS1.3（僅SSL VPN支持） · GM-TLS1.1 SSL服務器端是否允許使用版本： · Enabled：允許使用 · Disabled：不允許使用
PKI domains	SSL服務器端策略使用的PKI域
Ciphersuites	SSL服務器端策略支持的加密套件
Session cache size	SSL服務器端可以緩存的最大會話數目
Caching timeout	SSL服務器端會話緩存超時時間（單位為秒）
Client-verify	SSL服務器端策略的客戶端驗證模式，取值包括： · Disabled：不要求對客戶端進行基於數字證書的身份驗證 · Enabled：要求對客戶端進行基於數字證書的身份驗證 · Optional：SSL服務器端對SSL客戶端進行基於數字證書的身份驗證是可選的
Ciphersuite server-preferred	SSL服務器與SSL客戶端進行算法協商時，是否按照服務器端配置的加密套件順序進行匹配： · Enabled：按照服務器端配置的加密套件順序進行匹配 · Disabled：不按照服務器端配置的加密套件順序進行匹配，而是按照客戶端支持的加密套件順序進行匹配

1.1.7 pki-domain (SSL client policy view)

pki-domain命令用來配置SSL客戶端策略所使用的PKI域。

undo pki-domain命令用來恢複缺省情況。

【命令】

pki-domain domain-name

undo pki-domain

【缺省情況】

未指定SSL客戶端策略所使用的PKI域。

【視圖】

SSL客戶端策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

domain-name：PKI域的域名，為1～31個字符的字符串，不區分大小寫。

【使用指導】

如果通過本命令指定了SSL客戶端策略使用的PKI域，則引用該客戶端策略的SSL客戶端將通過該PKI域獲取客戶端的數字證書。

【舉例】

# 配置SSL客戶端策略所使用的PKI域為client-domain。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] pki-domain client-domain

【相關命令】

· display ssl client-policy

· pki domain（安全命令參考/PKI）

1.1.8 pki-domain (SSL server policy view)

pki-domain命令用來配置SSL服務器端策略所使用的PKI域。

undo pki-domain命令用來恢複缺省情況。

【命令】

pki-domain domain-name&<1-2>

undo pki-domain

【缺省情況】

未指定SSL服務器端策略所使用的PKI域。

【視圖】

SSL服務器端策略視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

domain-name：PKI域的域名，為1～31個字符的字符串，不區分大小寫。&<1-2>表示前麵的參數最少輸入1次，最多可以輸入2次。

【使用指導】

如果通過本命令指定了SSL服務器端策略使用的PKI域，則引用該服務器端策略的SSL服務器將通過該PKI域獲取服務器端的數字證書。

在配置SSL VPN服務、負載均衡以及代理策略等業務時，存在需要在服務器端部署兩個證書的情況。此時可以使用本命令一次指定兩個PKI域，使SSL服務器端策略能夠同時關聯兩個數字證書。如果兩個數字證書類型相同，則隻有第一個指定的PKI域下的證書生效。

多次執行本命令時，最後一次執行的命令生效。

【舉例】

# 配置SSL服務器端策略所使用的PKI域為server-domain。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] pki-domain server-domain

【相關命令】

· display ssl server-policy

· pki domain（安全命令參考/PKI）

1.1.9 prefer-cipher

prefer-cipher命令用來配置SSL客戶端策略支持的加密套件。

undo prefer-cipher命令用來恢複缺省情況。

【命令】

prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecc_sm2_sm1_sm3 | ecc_sm2_sm4_sm3 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_sm2_sm1_sm3 | ecdhe_sm2_sm4_sm3 | exp_rsa_des_cbc_sha | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_sm1_sha | rsa_sm1_sm3 | rsa_sm4_sha | rsa_sm4_sm3

tls_aes_128_ccm_8_sha256 | tls_aes_128_ccm_sha256 | tls_aes_128_gcm_sha256 | tls_aes_256_gcm_sha384 | tls_chacha20_poly1305_sha256 } *<1-11>

undo prefer-cipher

【缺省情況】

SSL客戶端策略支持的加密套件為dhe_rsa_aes_256_cbc_sha、rsa_aes_256_cbc_sha、dhe_rsa_aes_128_cbc_sha、rsa_aes_128_cbc_sha。