14-SSL命令
本章节下载: 14-SSL命令 (289.91 KB)
目 录
1.1.1 certificate-chain-sending enable
1.1.4 display ssl client-policy
1.1.5 display ssl server-policy
1.1.6 pki-domain (SSL client policy view)
1.1.7 pki-domain (SSL server policy view)
1.1.13 ssl renegotiation disable
· 设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
· 设备仅在独立运行模式下支持MDC。关于MDC的详细介绍,请参见“虚拟化技术配置指导”中的“MDC”。
certificate-chain-sending enable命令用来配置SSL协商时SSL服务器端发送完整的证书链。
undo certificate-chain-sending enable命令用来恢复缺省情况。
【命令】
certificate-chain-sending enable
undo certificate-chain-sending enable
【缺省情况】
SSL协商时,SSL服务器端只发送本地证书,不发送证书链。
【视图】
SSL服务器端策略视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
仅当SSL客户端没有完整的证书链对服务器端的数字证书进行验证时,请通过本命令要求SSL服务器端在握手协商时向对端发送完整的证书链,以保证SSL会话的正常建立。否则,建议关闭此功能,减轻协商阶段的网络开销。
【举例】
# 配置SSL协商时SSL服务器端发送完整的证书链。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] certificate-chain-sending enable
【相关命令】
· display ssl server-policy
ciphersuite命令用来配置SSL服务器端策略支持的加密套件。
undo ciphersuite命令用来恢复缺省情况。
【命令】
(非FIPS模式)
ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } *
(FIPS模式)
ciphersuite { ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 } *
undo ciphersuite
【缺省情况】
(非FIPS模式)
缺省情况下,SSL服务器端策略支持下列加密套件:
· RSA_AES_128_CBC_SHA
· RSA_DES_CBC_SHA
· RSA_RC4_128_MD5
· RSA_RC4_128_SHA
· RSA_3DES_CBC_SHA
· RSA_AES_256_CBC_SHA
· EXP_RSA_RC4_MD5
· RSA_RC2_CBC_MD5
· EXP_RSA_DES_CBC_SHA
· DHE_RSA_AES_128_CBC_SHA
· DHE_RSA_AES_256_CBC_SHA
· RSA_AES_128_CBC_SHA256
· RSA_AES_256_CBC_SHA256
· DHE_RSA_AES_128_CBC_SHA256
· DHE_RSA_AES_256_CBC_SHA256
· ECDHE_RSA_AES_128_CBC_SHA256
· ECDHE_RSA_AES_256_CBC_SHA384
· ECDHE_RSA_AES_128_GCM_SHA256
· ECDHE_RSA_AES_256_GCM_SHA384
· ECDHE_ECDSA_AES_128_CBC_SHA256
· ECDHE_ECDSA_AES_256_CBC_SHA384
· ECDHE_ECDSA_AES_128_GCM_SHA256
· ECDHE_ECDSA_AES_256_GCM_SHA384
· RSA_AES_128_GCM_SHA256
· RSA_AES_256_GCM_SHA384
(FIPS模式)
缺省情况下,SSL服务器端策略支持所有FIPS模式下的加密套件。
【视图】
SSL服务器端策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA。
dhe_rsa_aes_128_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_ecdsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_ecdsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。
ecdhe_rsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_rsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_rsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_rsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。
exp_rsa_des_cbc_sha:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5。
exp_rsa_rc4_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5。
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
rsa_aes_128_gcm_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。
rsa_aes_256_gcm_sha384:密钥交换算法采用RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。
【使用指导】
为了提高安全性,SSL协议采用了如下算法:
· 数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性。常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥。
· MAC(Message Authentication Code,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥。
· 密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递。常用的密钥交换算法通常为非对称密钥算法,如RSA。
通过本命令可以配置SSL服务器端策略支持的各种算法组合。例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA。
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较。如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 指定SSL服务器端策略支持如下加密套件:
· 密钥交换算法为DHE RSA、数据加密算法为128位的AES_CBC、MAC算法为SHA
· 密钥交换算法为RSA、数据加密算法为128位的AES_CBC、MAC算法为SHA
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] ciphersuite dhe_rsa_aes_128_cbc_sha rsa_aes_128_cbc_sha
【相关命令】
· display ssl server-policy
· prefer-cipher
client-verify命令用来配置SSL服务器端对SSL客户端的身份验证方案。
undo client-verify命令用来恢复缺省情况。
【命令】
client-verify { enable | optional }
undo client-verify
【缺省情况】
SSL服务器端不对SSL客户端进行基于数字证书的身份验证。
【视图】
SSL服务器端策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
enable:表示SSL服务器端要求对SSL客户端进行基于数字证书的身份验证。
optional:表示SSL服务器端不强制要求对SSL客户端进行基于数字证书的身份验证,即身份验证可选。
【使用指导】
SSL通过数字证书实现对对端的身份进行验证。数字证书的详细介绍,请参见“安全配置指导”中的“PKI”。
设备作为SSL服务器端,支持灵活的SSL客户端认证方案,具体如下:
· 执行了client-verify enable命令的情况下,则SSL客户端必须将自己的数字证书提供给服务器,以便服务器对客户端进行基于数字证书的身份验证。只有身份验证通过后,SSL客户端才能访问SSL服务器。
· 执行了client-verify optional命令的情况下,若SSL客户端未提供数字证书给服务器,SSL客户端也能访问SSL服务器;若SSL客户端提供数字证书给服务器,只有身份验证通过后,SSL客户端才能访问SSL服务器。
· 执行了undo client-verify命令的情况下,SSL服务器端不要求SSL客户端提供数字证书,也不会对其进行基于数字证书的身份验证,SSL客户端可以直接访问SSL服务器。
SSL服务器端在基于数字证书对SSL客户端进行身份验证时,除了对SSL客户端发送的证书链进行验证,还要检查证书链中的除根CA证书外的每个证书是否均未被吊销。
【举例】
# 配置SSL服务器端要求对SSL客户端进行基于数字证书的身份验证。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify enable
# 配置SSL服务器端对SSL客户端进行基于数字证书的身份验证是可选的。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify optional
# 配置SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] undo client-verify
【相关命令】
· display ssl server-policy
display ssl client-policy命令用来显示SSL客户端策略的信息。
【命令】
display ssl client-policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有SSL客户端策略的信息。
【举例】
# 显示名为policy1的SSL客户端策略的信息。
<Sysname> display ssl client-policy policy1
SSL client policy: policy1
SSL version: SSL 3.0
PKI domain: client-domain
Preferred ciphersuite:
RSA_AES_128_CBC_SHA
Server-verify: enabled
表1-1 display ssl client-policy命令显示信息描述表
字段 |
描述 |
SSL client policy |
SSL客户端策略名 |
SSL version |
SSL客户端策略使用的SSL协议版本 |
PKI domain |
SSL客户端策略使用的PKI域 |
Preferred ciphersuite |
SSL客户端策略支持的加密套件 |
Server-verify |
SSL客户端策略的服务器端验证模式,取值包括: · disabled:不要求对SSL服务器进行基于数字证书的身份验证 · enabled:要求对SSL服务器进行基于数字证书的身份验证 |
display ssl server-policy命令用来显示SSL服务器端策略的信息。
【命令】
display ssl server-policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有SSL服务器端策略的信息。
【举例】
# 显示名为policy1的SSL服务器端策略的信息。
<Sysname> display ssl server-policy policy1
SSL server policy: policy1
PKI domain: server-domain
Ciphersuites:
DHE_RSA_AES_128_CBC_SHA
RSA_AES_128_CBC_SHA
Session cache size: 600
Caching timeout: 3600 seconds
Client-verify: Enabled
Certificate chain sending: Enabled
表1-2 display ssl server-policy命令显示信息描述表
字段 |
描述 |
SSL server policy |
SSL服务器端策略名 |
PKI domain |
SSL服务器端策略使用的PKI域 |
Ciphersuites |
SSL服务器端策略支持的加密套件 |
Session cache size |
SSL服务器端可以缓存的最大会话数目 |
Caching timeout |
SSL服务器端会话缓存超时时间(单位为秒) |
Client-verify |
SSL服务器端策略的客户端验证模式,取值包括: · Disabled:不要求对客户端进行基于数字证书的身份验证 · Enabled:要求对客户端进行基于数字证书的身份验证 · Optional:SSL服务器端对SSL客户端进行基于数字证书的身份验证是可选的 |
Certificate chain sending |
SSL服务器端是否发送完整证书链: · Disabled:不发送完整证书链 · Enabled:发送完整证书链 |
pki-domain命令用来配置SSL客户端策略所使用的PKI域。
undo pki-domain命令用来恢复缺省情况。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情况】
未指定SSL客户端策略所使用的PKI域。
【视图】
SSL客户端策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain-name:PKI域的域名,为1~31个字符的字符串,不区分大小写。
【使用指导】
如果通过本命令指定了SSL客户端策略使用的PKI域,则引用该客户端策略的SSL客户端将通过该PKI域获取客户端的数字证书。
【举例】
# 配置SSL客户端策略所使用的PKI域为client-domain。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] pki-domain client-domain
【相关命令】
· display ssl client-policy
· pki domain(安全命令参考/PKI)
pki-domain命令用来配置SSL服务器端策略所使用的PKI域。
undo pki-domain命令用来恢复缺省情况。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情况】
未指定SSL服务器端策略所使用的PKI域。
【视图】
SSL服务器端策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain-name:PKI域的域名,为1~31个字符的字符串,不区分大小写。
【使用指导】
如果通过本命令指定了SSL服务器端策略使用的PKI域,则引用该服务器端策略的SSL服务器将通过该PKI域获取服务器端的数字证书。
【举例】
# 配置SSL服务器端策略所使用的PKI域为server-domain。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] pki-domain server-domain
【相关命令】
· display ssl server-policy
· pki domain(安全命令参考/PKI)
prefer-cipher命令用来配置SSL客户端策略支持的加密套件。
undo prefer-cipher命令用来恢复缺省情况。
【命令】
(非FIPS模式)
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }
undo prefer-cipher
(FIPS模式)
prefer-cipher { ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 }
undo prefer-cipher
【缺省情况】
(非FIPS模式)
SSL客户端策略支持的加密套件为rsa_rc4_128_md5。
(FIPS模式)
SSL客户端策略支持的加密套件为rsa_aes_128_cbc_sha。
【视图】
SSL客户端策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA。
dhe_rsa_aes_128_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_ecdsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_ecdsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。
ecdhe_rsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_rsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_rsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_rsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。
exp_rsa_des_cbc_sha:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5。
exp_rsa_rc4_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5。
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
rsa_aes_128_gcm_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。
rsa_aes_256_gcm_sha384:密钥交换算法采用RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。
【使用指导】
为了提高安全性,SSL协议采用了如下算法:
· 数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性。常用的数据加密算法通常为对称密钥算法。使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥。
· MAC(Message Authentication Code,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥。
· 密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递。常用的密钥交换算法通常为非对称密钥算法,如RSA。
通过本命令可以配置SSL客户端策略支持的算法组合。例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA。
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较。如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha
【相关命令】
· ciphersuite
· display ssl client-policy
security-enhanced level命令用来配置设备的安全增强级别。
undo security-enhanced level命令用来恢复缺省情况。
【命令】
security-enhanced level level-value
undo security-enhanced level
【缺省情况】
设备的安全增强级别为1。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
level-value:设备的安全增强级别,取值为1或2。
【使用指导】
设备的安全增强级别有两个,分别为1和2,2的安全级别较高。当设备的安全级别为2时,对SSL应用有如下限制:
· SSL客户端策略和SSL服务器端策略不支持DES、3DES、MD5、RC4和RC2类型的加密套件。
· SSL客户端策略和服务器端策略均不支持使用低于TLS1.1的SSL协议版本。
· 不支持开启SSL重协商功能。
用户可以根据自身对安全增强级别的需求,通过本命令来配置调整设备的安全增强级别。
安全增强级别切换之后,对于引用SSL策略的服务(如HTTP和SSL VPN服务),需要重启相关服务,以更新引用的SSL策略。
【举例】
# 配置设备的安全增强级别为2。
<Sysname> system-view
[Sysname] security-enhanced level 2
server-verify enable命令用来配置对服务器端进行基于数字证书的身份验证。
undo server-verify enable命令用来取消对服务器端进行基于数字证书的身份验证,默认SSL服务器身份合法。
【命令】
server-verify enable
undo server-verify enable
【缺省情况】
SSL客户端需要对SSL服务器端进行基于数字证书的身份验证。
【视图】
SSL客户端策略视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
SSL通过数字证书实现对对端的身份进行验证。数字证书的详细介绍,请参见“安全配置指导”中的“PKI”。
如果执行了server-verify enable命令,则SSL服务器端需要将自己的数字证书提供给客户端,以便客户端对服务器端进行基于数字证书的身份验证。只有身份验证通过后,SSL客户端才会访问该SSL服务器。
【举例】
# 配置SSL客户端需要对SSL服务器端进行基于数字证书的身份验证。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] server-verify enable
【相关命令】
· display ssl client-policy
session命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间。
undo session命令用来恢复缺省情况。
【命令】
session { cachesize size | timeout time } *
undo session { cachesize | timeout } *
【缺省情况】
SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒。
【视图】
SSL服务器端策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
cachesize size:指定SSL服务器上缓存的最大会话数目。size为缓存的最大会话数目,取值范围为100~20480。
timeout time:指定SSL会话缓存的超时时间。time为会话缓存超时时间,取值范围为1~4294967295,单位为秒。
【使用指导】
通过SSL握手协议协商会话参数并建立会话的过程比较复杂。为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话。为此,SSL服务器上需要保存已有的会话信息。保存的会话信息的数目和保存时间具有一定的限制:
· 如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话。
· 会话保存的时间超过设定的时间后,SSL将删除该会话的信息。
【举例】
# 配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] session cachesize 600 timeout 1800
【相关命令】
· display ssl server-policy
ssl client-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图。如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图。
undo ssl client-policy命令用来删除指定的SSL客户端策略。
【命令】
ssl client-policy policy-name
undo ssl client-policy policy-name
【缺省情况】
不存在SSL客户端策略。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如使用的PKI域、支持的加密套件等。只有与应用层协议,如DDNS(Dynamic Domain Name System,动态域名系统),关联后,SSL客户端策略才能生效。
【举例】
# 创建SSL客户端策略policy1,并进入SSL客户端策略视图。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1]
【相关命令】
· display ssl client-policy
ssl renegotiation disable命令用来关闭SSL重协商。
undo ssl renegotiation disable命令用来恢复缺省情况。
【命令】
ssl renegotiation disable
undo ssl renegotiation disable
【缺省情况】
允许SSL重协商。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程。关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高。
通常情况下,不建议关闭SSL重协商。本命令仅用于用户明确要求关闭重协商的场景。
【举例】
# 关闭SSL重协商。
<Sysname> system-view
[Sysname] ssl renegotiation disable
ssl server-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图。如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图。
undo ssl server-policy命令用来删除指定的SSL服务器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy policy-name
【缺省情况】
不存在SSL服务器端策略。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用的PKI域、支持的加密套件等。只有与HTTPS等应用关联后,SSL服务器端策略才能生效。
【举例】
# 创建SSL服务器端策略policy1,并进入SSL服务器端策略视图。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1]
【相关命令】
· display ssl server-policy
ssl version disable命令用来禁止SSL服务器使用指定的SSL版本进行SSL协商。
undo ssl version disable命令用来恢复缺省情况。
【命令】
(非FIPS模式)
ssl version { ssl3.0 | tls1.0 | tls1.1 } * disable
undo ssl version { ssl3.0 | tls1.0 | tls1.1 } * disable
(FIPS模式)
ssl version { tls1.0 | tls1.1 } * disable
undo ssl version { tls1.0 | tls1.1 } * disable
【缺省情况】
(非FIPS模式)
SSL服务器允许使用SSL3.0、TLS1.0、TLS1.1和TLS1.2版本进行协商。
(FIPS模式)
SSL服务器允许使用TLS1.0、TLS1.1和TLS1.2版本进行协商。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
ssl3.0:SSL协商的版本为SSL3.0。
tls1.0:SSL协商的版本为TLS1.0。
tls1.1:SSL协商的版本为TLS1.1。
【使用指导】
当对系统安全性有较高要求时可以禁止SSL服务器使用SSL3.0、TLS1.0和TLS1.1版本进行协商。
需要注意的是,如果通过本命令关闭了指定版本的SSL协商功能,并不会同时关闭比其更低版本的SSL协商功能,例如,ssl version tls1.1 disable命令仅表示关闭了TLS1.1版本的SSL协商功能,不会同时关闭TLS1.0版本。
【举例】
# 关闭SSL 3.0。
<Sysname> system-view
[Sysname] ssl version ssl3.0 disable
version命令用来配置SSL客户端策略使用的SSL协议版本。
undo version命令恢复缺省情况。
【命令】
(非FIPS模式)
version { ssl3.0 | tls1.0 | tls1.1 | tls1.2 }
undo version
(FIPS模式)
version { tls1.0 | tls1.1 | tls1.2 }
undo version
【缺省情况】
SSL客户端策略使用的SSL协议版本为TLS 1.0。
【视图】
SSL客户端策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ssl3.0:SSL客户端策略使用的SSL协议版本为SSL 3.0。
tls1.0:SSL客户端策略使用的SSL协议版本为TLS 1.0。
tls1.1:SSL客户端策略使用的SSL协议版本为TLS1.1。
tls1.2:SSL客户端策略使用的SSL协议版本为TLS1.2。
【使用指导】
对安全性要求较高的环境下,建议为不要为SSL客户端指定SSL3.0 版本。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL客户端策略使用的SSL协议版本为TLS 1.0。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] version tls1.0
【相关命令】
· display ssl client-policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!