• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

16-安全命令参考

目录

13-SSL命令

本章节下载 13-SSL命令  (292.05 KB)

13-SSL命令


1 SSL

1.1  SSL配置命令

1.1.1  certificate-chain-sending enable

certificate-chain-sending enable命令用来配置SSL协商时SSL服务器端发送完整的证书链。

undo certificate-chain-sending enable命令用来恢复缺省情况。

【命令】

certificate-chain-sending enable

undo certificate-chain-sending enable

【缺省情况】

SSL协商时,SSL服务器端只发送本地证书,不发送证书链。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【使用指导】

仅当SSL客户端没有完整的证书链对服务器端的数字证书进行验证时,请通过本命令要求SSL服务器端在握手协商时向对端发送完整的证书链,以保证SSL会话的正常建立。否则,建议关闭此功能,减轻协商阶段的网络开销。

【举例】

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] certificate-chain-sending enable

1.1.2  ciphersuite

ciphersuite命令用来配置SSL服务器端策略支持的加密套件。

undo ciphersuite命令用来恢复缺省情况。

【命令】

ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecc_sm2_sm1_sm3 | ecc_sm2_sm4_sm3 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_sm2_sm1_sm3 | ecdhe_sm2_sm4_sm3 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 |rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_sm1_sha | rsa_sm1_sm3 | rsa_sm4_sha | rsa_sm4_sm3 | rsa_rc4_128_md5 | rsa_rc4_128_sha } *<1-11>

undo ciphersuite

【缺省情况】

SSL服务器端策略支持所有的加密套件。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA。

dhe_rsa_aes_128_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA。

dhe_rsa_aes_256_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。

ecc_sm2_sm1_sm3:密钥交换算法采用ECC SM2、数据加密算法采用128位的SM1、MAC算法采用SM3。

ecc_sm2_sm4_sm3:密钥交换算法采用ECC SM2、数据加密算法采用SM4、MAC算法采用SM3。

ecdhe_ecdsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

ecdhe_ecdsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。

ecdhe_ecdsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。

ecdhe_ecdsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。

ecdhe_rsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

ecdhe_rsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。

ecdhe_rsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。

ecdhe_rsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。

ecdhe_sm2_sm1_sm3:密钥交换算法采用ECDHE SM2、数据加密算法采用128位的SM1、MAC算法采用SM3。

ecdhe_sm2_sm4_sm3:密钥交换算法采用ECDHE SM2、数据加密算法采用SM4、MAC算法采用SM3。

exp_rsa_des_cbc_sha:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

exp_rsa_rc2_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5。

exp_rsa_rc4_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5。

rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

rsa_aes_128_gcm_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。

rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。

rsa_aes_256_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。

rsa_aes_256_gcm_sha384:密钥交换算法采用RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。

rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。

rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。

rsa_sm1_sha:密钥交换算法采用RSA、数据加密算法采用128位的SM1、MAC算法采用SHA。

rsa_sm1_sm3:密钥交换算法采用RSA、数据加密算法采用128位的SM1、MAC算法采用SM3。

rsa_sm4_sha:密钥交换算法采用RSA、数据加密算法采用SM4、MAC算法采用SHA。

rsa_sm4_sm3:密钥交换算法采用RSA、数据加密算法采用SM4、MAC算法采用SM3。

<1-11>:表示前面的参数最多可以输入11次,即在一条命令中最多可以配置11个加密套件。

【使用指导】

为了提高安全性,SSL协议采用了如下算法:

·     数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性。常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥。

·     MAC(Message Authentication Code,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥。

·     密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递。常用的密钥交换算法通常为非对称密钥算法,如RSA。

通过本命令可以配置SSL服务器端策略支持的各种算法组合。例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA。

SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较。如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败。协商时可以以服务器端配置的加密套件顺序进行匹配,也可以以客户端支持的加密套件顺序进行匹配,具体选择哪一种方法取决于ciphersuite server-preferred enable命令的配置。

执行本命令时,一次最多可以指定11个加密套件。如果多次执行本命令,那么SSL服务器端策略支持的加密套件是指定的加密套件的合集。

【举例】

# 指定SSL服务器端策略支持如下加密套件:

·     密钥交换算法为DHE RSA、数据加密算法为128位的AES_CBC、MAC算法为SHA

·     密钥交换算法为RSA、数据加密算法为128位的AES_CBC、MAC算法为SHA

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] ciphersuite dhe_rsa_aes_128_cbc_sha rsa_aes_128_cbc_sha

【相关命令】

·     display ssl server-policy

·     prefer-cipher

1.1.3  ciphersuite server-preferred enable

ciphersuite server-preferred enable命令用来开启SSL服务器与客户端进行算法协商时按照服务器端配置的加密套件顺序进行匹配的功能。

undo ciphersuite server-preferred enable命令用来关闭SSL服务器与客户端进行算法协商时按照服务器端配置的加密套件顺序进行匹配的功能。

【命令】

ciphersuite server-preferred enable

undo ciphersuite server-preferred enable

【缺省情况】

SSL服务器与客户端进行算法协商时按照客户端支持的加密套件的顺序进行匹配。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,SSL服务器与客户端进行SSL协商时按照客户端支持的加密套件的顺序来进行匹配,即按照优先级从高到低的顺序,依次选取SSL客户端的加密套件,然后从SSL服务器端查找与之匹配的加密套件,直到匹配成功。如果没有任何一个加密套件匹配成功,则协商失败。

配置ciphersuite server-preferred enable命令后,SSL服务器与客户端进行SSL协商时按照服务器端配置的加密套件的顺序来进行匹配,即按照优先级从高到低的顺序,依次选取SSL服务器的加密套件,然后从SSL客户端查找与之匹配的加密套件,直到匹配成功。如果没有任何一个加密套件匹配成功,则协商失败。

【举例】

# 配置SSL服务器与SSL客户端进行算法协商时按照服务器端配置的加密套件顺序进行匹配。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] ciphersuite server-preferred enable

【相关命令】

·     ciphersuite

·     display ssl server-policy

·     prefer-cipher

1.1.4  client-verify

client-verify命令用来配置SSL服务器端对SSL客户端的身份验证方案。

undo client-verify命令用来恢复缺省情况。

【命令】

client-verify { enable | optional }

undo client-verify [ enable ]

【缺省情况】

SSL服务器端不对SSL客户端进行基于数字证书的身份验证。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

enable:表示SSL服务器端要求对SSL客户端进行基于数字证书的身份验证。

optional:表示SSL服务器端不强制要求对SSL客户端进行基于数字证书的身份验证,即身份验证可选。

【使用指导】

SSL通过数字证书实现对对端的身份进行验证。数字证书的详细介绍,请参见“安全配置指导”中的“PKI”。

设备作为SSL服务器端,支持灵活的SSL客户端认证方案,具体如下:

·     执行了client-verify enable命令的情况下,则SSL客户端必须将自己的数字证书提供给服务器,以便服务器对客户端进行基于数字证书的身份验证。只有身份验证通过后,SSL客户端才能访问SSL服务器。

·     执行了client-verify optional命令的情况下,若SSL客户端未提供数字证书给服务器,SSL客户端也能访问SSL服务器;若SSL客户端提供数字证书给服务器,只有身份验证通过后,SSL客户端才能访问SSL服务器。

·     执行了undo client-verify [ enable ]命令的情况下,SSL服务器端不要求SSL客户端提供数字证书,也不会对其进行基于数字证书的身份验证,SSL客户端可以直接访问SSL服务器。

SSL服务器端在基于数字证书对SSL客户端进行身份验证时,除了对SSL客户端发送的证书链进行验证,还要检查证书链中的除根CA证书外的每个证书是否均未被吊销。

【举例】

# 配置SSL服务器端要求对SSL客户端进行基于数字证书的身份验证。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] client-verify enable

# 配置SSL服务器端对SSL客户端进行基于数字证书的身份验证是可选的。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] client-verify optional

# 配置SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] undo client-verify

【相关命令】

·     display ssl server-policy

1.1.5  display ssl client-policy

display ssl client-policy命令用来显示SSL客户端策略的信息。

【命令】

display ssl client-policy [ policy-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有SSL客户端策略的信息。

【举例】

# 显示名为policy1的SSL客户端策略的信息。

<Sysname> display ssl client-policy policy1

 SSL client policy: policy1

     SSL version: SSL 3.0

     PKI domain: client-domain

     Preferred ciphersuite:

         RSA_AES_128_CBC_SHA

     Server-verify: enabled

表1-1 display ssl client-policy命令显示信息描述表

字段

描述

SSL client policy

SSL客户端策略名

SSL version

SSL客户端策略使用的SSL协议版本

PKI domain

SSL客户端策略使用的PKI域

Preferred ciphersuite

SSL客户端策略支持的加密套件

Server-verify

SSL客户端策略的服务器端验证模式,取值包括:

·     disabled:不要求对SSL服务器进行基于数字证书的身份验证

·     enabled:要求对SSL服务器进行基于数字证书的身份验证

 

1.1.6  display ssl server-policy

display ssl server-policy命令用来显示SSL服务器端策略的信息。

【命令】

display ssl server-policy [ policy-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有SSL服务器端策略的信息。

【举例】

# 显示名为policy1的SSL服务器端策略的信息。

<Sysname> display ssl server-policy policy1

 SSL server policy: policy1

     Version info:

         SSL3.0: Disabled

         TLS1.0: Enabled

         TLS1.1: Disabled

         TLS1.2: Enabled

         TLS1.3: Enabled

     PKI domains: server-domain, server-secdomain

     Ciphersuites:

         DHE_RSA_AES_128_CBC_SHA

         RSA_AES_128_CBC_SHA

         TLS_AES_128_GCM_SHA256

         TLS_CHACHA20_POLY1305_SHA256

         TLS_AES_256_GCM_SHA384

         TLS_AES_128_CCM_8_SHA256

         TLS_AES_128_CCM_SHA256

     Session cache size: 600

     Caching timeout: 3600 seconds

     Client-verify: Enabled

     Ciphersuite server-perferred: Disabled

     Server name: 123.xyz.com

表1-2 display ssl server-policy命令显示信息描述表

字段

描述

SSL server policy

SSL服务器端策略名

Version info

SSL服务器端使用的版本:

·     SSL3.0

·     TLS1.0

·     TLS1.1

·     TLS1.2

·     TLS1.3

·     GM-TLS1.1

SSL服务器端是否允许使用版本:

·     Enabled:允许使用

·     Disabled:不允许使用

PKI domains

SSL服务器端策略使用的PKI域

Ciphersuites

SSL服务器端策略支持的加密套件

Session cache size

SSL服务器端可以缓存的最大会话数目

Caching timeout

SSL服务器端会话缓存超时时间(单位为秒)

Client-verify

SSL服务器端策略的客户端验证模式,取值包括:

·     Disabled:不要求对客户端进行基于数字证书的身份验证

·     Enabled:要求对客户端进行基于数字证书的身份验证

·     Optional:SSL服务器端对SSL客户端进行基于数字证书的身份验证是可选的

Server name

SSL服务器端策略关联的服务器名称

 

1.1.7  pki-domain (SSL client policy view)

pki-domain命令用来配置SSL客户端策略所使用的PKI域。

undo pki-domain命令用来恢复缺省情况。

【命令】

pki-domain domain-name

undo pki-domain

【缺省情况】

未指定SSL客户端策略所使用的PKI域。

【视图】

SSL客户端策略视图

【缺省用户角色】

network-admin

【参数】

domain-name:PKI域的域名,为1~31个字符的字符串,不区分大小写。

【使用指导】

如果通过本命令指定了SSL客户端策略使用的PKI域,则引用该客户端策略的SSL客户端将通过该PKI域获取客户端的数字证书。

【举例】

# 配置SSL客户端策略所使用的PKI域为client-domain。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] pki-domain client-domain

【相关命令】

·     display ssl client-policy

·     pki domain(安全命令参考/PKI)

1.1.8  pki-domain (SSL server policy view)

pki-domain命令用来配置SSL服务器端策略所使用的PKI域。

undo pki-domain命令用来恢复缺省情况。

【命令】

pki-domain domain-name&<1-2>

undo pki-domain

【缺省情况】

未指定SSL服务器端策略所使用的PKI域。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

domain-name:PKI域的域名,为1~31个字符的字符串,不区分大小写。&<1-2>表示前面的参数最少输入1次,最多可以输入2次。

【使用指导】

如果通过本命令指定了SSL服务器端策略使用的PKI域,则引用该服务器端策略的SSL服务器将通过该PKI域获取服务器端的数字证书。

在配置负载均衡以及代理策略等业务时,存在需要在服务器端部署两个证书的情况。此时可以使用本命令一次指定两个PKI域,使SSL服务器端策略能够同时关联两个数字证书。如果要关联两个数字证书,必须保证关联的两个PKI域下的证书的公钥算法为不同的类型。否则,只有第一个指定的PKI域下的证书生效。

多次执行本命令时,最后一次执行的命令生效。

【举例】

# 配置SSL服务器端策略所使用的PKI域为server-domain。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] pki-domain server-domain

【相关命令】

·     display ssl server-policy

·     pki domain(安全命令参考/PKI)

1.1.9  prefer-cipher

prefer-cipher命令用来配置SSL客户端策略支持的加密套件。

undo prefer-cipher命令用来恢复缺省情况。

【命令】

prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecc_sm2_sm1_sm3 | ecc_sm2_sm4_sm3 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_sm2_sm1_sm3 | ecdhe_sm2_sm4_sm3 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_sm1_sha | rsa_sm1_sm3 | rsa_sm4_sha | rsa_sm4_sm3 | rsa_rc4_128_md5 | rsa_rc4_128_sha } *<1-11>

undo prefer-cipher

【缺省情况】

SSL客户端策略支持的加密套件为dhe_rsa_aes_256_cbc_sharsa_aes_256_cbc_shadhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sharsa_3des_cbc_sha

【视图】

SSL客户端策略视图

【缺省用户角色】

network-admin

【参数】

dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA。

dhe_rsa_aes_128_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA。

dhe_rsa_aes_256_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。

ecc_sm2_sm1_sm3:密钥交换算法采用ECC SM2、数据加密算法采用128位的SM1、MAC算法采用SM3。

ecc_sm2_sm4_sm3:密钥交换算法采用ECC SM2、数据加密算法采用SM4、MAC算法采用SM3。

ecdhe_ecdsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

ecdhe_ecdsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。

ecdhe_ecdsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。

ecdhe_ecdsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。

ecdhe_rsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

ecdhe_rsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。

ecdhe_rsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。

ecdhe_rsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。

ecdhe_sm2_sm1_sm3:密钥交换算法采用ECDHE SM2、数据加密算法采用128位的SM1、MAC算法采用SM3。

ecdhe_sm2_sm4_sm3:密钥交换算法采用ECDHE SM2、数据加密算法采用SM4、MAC算法采用SM3。

exp_rsa_des_cbc_sha:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

exp_rsa_rc2_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5。

exp_rsa_rc4_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5。

rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

rsa_aes_128_gcm_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。

rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。

rsa_aes_256_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。

rsa_aes_256_gcm_sha384:密钥交换算法采用RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。

rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。

rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。

rsa_sm1_sha:密钥交换算法采用RSA、数据加密算法采用128位的SM1、MAC算法采用SHA。

rsa_sm1_sm3:密钥交换算法采用RSA、数据加密算法采用128位的SM1、MAC算法采用SM3。

rsa_sm4_sha:密钥交换算法采用RSA、数据加密算法采用SM4、MAC算法采用SHA。

rsa_sm4_sm3:密钥交换算法采用RSA、数据加密算法采用SM4、MAC算法采用SM3。

<1-11>:表示前面的参数最多可以输入11次,即在一条命令中最多可以配置11个加密套件。

【使用指导】

为了提高安全性,SSL协议采用了如下算法:

·     数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性。常用的数据加密算法通常为对称密钥算法。使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥。

·     MAC(Message Authentication Code,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥。

·     密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递。常用的密钥交换算法通常为非对称密钥算法,如RSA。

通过本命令可以配置SSL客户端策略支持的算法组合。例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA。

SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较。如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败。

执行本命令时,一次最多可以指定11个加密套件。如果多次执行本命令,那么SSL客户端策略支持的加密套件是指定的加密套件的合集。

【举例】

# 配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha

【相关命令】

·     ciphersuite

·     display ssl client-policy

1.1.10  server-name

server-name命令用来配置SSL服务器端策略关联的服务器名称。

undo server-name命令用来恢复缺省情况。

【命令】

server-name server-name

undo server-name

【缺省情况】

未配置SSL服务器端策略关联的服务器名称。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

server-name:服务器名称,为1~255个字符的字符串,不区分大小写。

【使用指导】

随着服务器对虚拟主机的支持,每台服务器上可以使用相同的IP地址的不同域名对外提供HTTPS服务,但由于服务器无法知道客户端发起的HTTPS请求对应哪个服务器域名,因此无法根据域名查找到对应的数字证书返回给客户端,导致客户端对服务器的身份验证失败。SNI(Server Name Indication,服务器名称指示)就是用来解决这个问题的。客户端在发起的HTTPS请求报文中携带SNI信息,服务器端根据收到的SNI信息找到与之绑定的SSL服务器端策略,将HTTPS服务与匹配的服务器端策略关联。通过SSL服务器端策略视图下指定的PKI域,SSL服务器可以在与客户端通信时,获取到要使用的数字证书。

同一个SSL服务器端策略只能关联一个服务器名称,一个服务器名称可以被多个SSL服务器端策略关联。

配置的server-name与客户端携带的SNI信息遵循如下匹配规则:

·     精确匹配:即配置完整的服务器名称匹配客户端请求报文中携带的SNI。例如,服务器端配置的与SSL服务器端策略关联的服务器名为abc.xyz.com,其含义为只能匹配abc.xyz.com的SNI,如果报文中携带的SNI为dfabc.xyz.com,则匹配失败。

·     模糊匹配:即配置带有通配符的服务器名称匹配客户端请求报文中携带的SNI,例如,服务器端配置的与SSL服务器端策略关联的服务器名为*abc.xyz.com,其含义为匹配所有以abc.xyz.com结尾的SNI,如果报文中携带的SNI为dfabc.xyz.com,可以匹配成功。

【举例】

# 配置SSL服务器端策略关联的服务器名称为123.xyz.com。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] server-name 123.xyz.com

1.1.11  server-verify enable

server-verify enable命令用来配置对服务器端进行基于数字证书的身份验证。

undo server-verify enable命令用来取消对服务器端进行基于数字证书的身份验证,默认SSL服务器身份合法。

【命令】

server-verify enable

undo server-verify enable

【缺省情况】

SSL客户端需要对SSL服务器端进行基于数字证书的身份验证。

【视图】

SSL客户端策略视图

【缺省用户角色】

network-admin

【使用指导】

SSL通过数字证书实现对对端的身份进行验证。数字证书的详细介绍,请参见“安全配置指导”中的“PKI”。

如果执行了server-verify enable命令,则SSL服务器端需要将自己的数字证书提供给客户端,以便客户端对服务器端进行基于数字证书的身份验证。只有身份验证通过后,SSL客户端才会访问该SSL服务器。

【举例】

# 配置SSL客户端需要对SSL服务器端进行基于数字证书的身份验证。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] server-verify enable

【相关命令】

·     display ssl client-policy

1.1.12  session

session命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间。

undo session命令用来恢复缺省情况。

【命令】

session { cachesize size | timeout time } *

undo session { cachesize | timeout } *

【缺省情况】

SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

cachesize size:指定SSL服务器上缓存的最大会话数目。size为缓存的最大会话数目,取值范围为100~20480。

timeout time:指定SSL会话缓存的超时时间。time为会话缓存超时时间,取值范围为1~4294967295,单位为秒。

【使用指导】

通过SSL握手协议协商会话参数并建立会话的过程比较复杂。为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话。为此,SSL服务器上需要保存已有的会话信息。保存的会话信息的数目和保存时间具有一定的限制:

·     如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话。

·     会话保存的时间超过设定的时间后,SSL将删除该会话的信息。

【举例】

# 配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] session cachesize 600 timeout 1800

【相关命令】

·     display ssl server-policy

1.1.13  ssl client-policy

ssl client-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图。如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图。

undo ssl client-policy命令用来删除指定的SSL客户端策略。

【命令】

ssl client-policy policy-name

undo ssl client-policy policy-name

【缺省情况】

不存在SSL客户端策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写。

【使用指导】

SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如使用的PKI域、支持的加密套件等。只有与应用层协议,如DDNS(Dynamic Domain Name System,动态域名系统),关联后,SSL客户端策略才能生效。

【举例】

# 创建SSL客户端策略policy1,并进入SSL客户端策略视图。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1]

【相关命令】

·     display ssl client-policy

1.1.14  ssl renegotiation disable

ssl renegotiation disable命令用来关闭SSL重协商。

undo ssl renegotiation disable命令用来恢复缺省情况。

【命令】

ssl renegotiation disable

undo ssl renegotiation disable

【缺省情况】

允许SSL重协商。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程。关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高。

通常情况下,不建议关闭SSL重协商。本命令仅用于用户明确要求关闭重协商的场景。

【举例】

# 关闭SSL重协商。

<Sysname> system-view

[Sysname] ssl renegotiation disable

1.1.15  ssl server-policy

ssl server-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图。如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图。

undo ssl server-policy命令用来删除指定的SSL服务器端策略。

【命令】

ssl server-policy policy-name

undo ssl server-policy policy-name

【缺省情况】

不存在SSL服务器端策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写。

【使用指导】

SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用的PKI域、支持的加密套件等。只有与HTTPS等应用关联后,SSL服务器端策略才能生效。

【举例】

# 创建SSL服务器端策略policy1,并进入SSL服务器端策略视图。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1]

【相关命令】

·     display ssl server-policy

1.1.16  ssl version disable

ssl version disable命令用来禁止SSL服务器使用指定的SSL版本进行SSL协商。

undo ssl version disable命令用来恢复缺省情况。

【命令】

ssl version { gm-tls1.1 | ssl3.0 | tls1.0 | tls1.1 | tls1.2 | tls1.3 } * disable

undo ssl version { gm-tls1.1 | ssl3.0 | tls1.0 | tls1.1 | tls1.2 | tls1.3 } * disable

【缺省情况】

SSL服务器允许使用SSL3.0、TLS1.0、TLS1.1、TLS1.2和TLS1.3版本进行协商。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

gm-tls1.1:SSL协商的版本为GM-TLS1.1。

ssl3.0:SSL协商的版本为SSL3.0。

tls1.0:SSL协商的版本为TLS1.0。

tls1.1:SSL协商的版本为TLS1.1。

tls1.2:SSL协商的版本为TLS1.2。

tls1.3:SSL协商的版本为TLS1.3。

【使用指导】

通过本命令禁止SSL服务器使用的SSL版本时,请至少允许SSL服务器使用一个SSL版本进行协商。

同时配置本命令和SSL服务器端策略视图下的version disable命令时,系统视图的配置对所有SSL服务器端策略都有效,而SSL服务器端策略内的配置只对当前SSL服务器端策略有效。对于一个SSL服务器端策略来说,优先采用该SSL服务器端策略内的配置,只有该SSL服务器端策略内未进行配置时,才采用全局的配置。

需要注意的是,如果通过本命令关闭了指定版本的SSL协商功能,并不会同时关闭比其更低版本的SSL协商功能,例如,ssl version tls1.1 disable命令仅表示关闭了TLS1.1版本的SSL协商功能,不会同时关闭TLS1.0版本。

【举例】

# 关闭TLS1.0。

<Sysname> system-view

[Sysname] ssl version tls1.0 disable

1.1.17  version

version命令用来配置SSL客户端策略使用的SSL协议版本。

undo version命令恢复缺省情况。

【命令】

version { gm-tls1.1 | ssl3.0 | tls1.0 | tls1.1 | tls1.2 | tls1.3 }

undo version

【缺省情况】

SSL客户端策略使用的SSL协议版本为TLS 1.0。

【视图】

SSL客户端策略视图

【缺省用户角色】

network-admin

【参数】

gm-tls1.1:SSL协商的版本为GM-TLS1.1。

ssl3.0:SSL客户端策略使用的SSL协议版本为SSL 3.0。

tls1.0:SSL客户端策略使用的SSL协议版本为TLS 1.0。

tls1.1:SSL客户端策略使用的SSL协议版本为TLS1.1。

tls1.2:SSL客户端策略使用的SSL协议版本为TLS1.2。

tls1.3:SSL客户端策略使用的SSL协议版本为TLS1.3。

【使用指导】

对安全性要求较高的环境下,建议为不要为SSL客户端指定SSL3.0 版本。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置SSL客户端策略使用的SSL协议版本为TLS 1.0。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] version tls1.0

【相关命令】

·     display ssl client-policy

1.1.18  version disable

version disable命令用来禁止SSL服务器使用指定的SSL版本进行SSL协商。

undo version disable命令用来恢复缺省情况。

【命令】

version { gm-tls1.1 | ssl3.0 | tls1.0 | tls1.1 | tls1.2 | tls1.3 } * disable

undo version { gm-tls1.1 | ssl3.0 | tls1.0 | tls1.1 | tls1.2 | tls1.3 } * disable

【缺省情况】

SSL服务器采用的SSL协商版本与全局采用的SSL协商版本一致。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

gm-tls1.1:SSL协商的版本为GM-TLS1.1。

ssl3.0:SSL协商的版本为SSL3.0。

tls1.0:SSL协商的版本为TLS1.0。

tls1.1:SSL协商的版本为TLS1.1。

tls1.2:SSL协商的版本为TLS1.2。

tls1.3:SSL协商的版本为TLS1.3。

【使用指导】

当用户需要灵活控制SSL服务器支持的SSL版本时,可以在SSL服务端策略视图下执行本命令禁止SSL服务器使用指定版本进行协商。

通过本命令禁止SSL服务器使用的SSL版本时,请至少允许SSL服务器使用一个SSL版本进行协商。

同时配置本命令和系统视图下的ssl version disable命令时,系统视图的配置对所有SSL服务器端策略都有效,而SSL服务器端策略内的配置只对当前SSL服务器端策略有效。对于一个SSL服务器端策略来说,优先采用该SSL服务器端策略内的配置,只有该SSL服务器端策略内未进行配置时,才采用全局的配置。

如果通过本命令关闭了指定版本的SSL协商功能,并不会同时关闭比其更低版本的SSL协商功能,例如,version tls1.0 disable命令仅表示关闭了TLS1.0版本的SSL协商功能,不会同时关闭其他SSL版本。

【举例】

# 配置SSL服务端策略禁止使用TLS 1.0。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] version tls1.0 disable

【相关命令】

·     ssl version disable

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们