算法ssl协议
ssl协议 时间:2021-02-24 阅读:()
i目录1SSL1-11.
1SSL配置命令·1-11.
1.
1ciphersuite1-11.
1.
2displaysslclient-policy·1-21.
1.
3displaysslserver-policy1-31.
1.
4prefer-cipher·1-41.
1.
5session·1-61.
1.
6sslclient-policy·1-61.
1.
7sslrenegotiationdisable·1-71.
1.
8sslserver-policy1-81.
1.
9sslversionssl3.
0disable·1-91.
1.
10version1-91-11SSL1.
1SSL配置命令1.
1.
1ciphersuiteciphersuite命令用来配置SSL服务器端策略支持的加密套件.
undociphersuite命令用来恢复缺省情况.
【命令】ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*undociphersuite【缺省情况】SSL服务器端策略支持所有的加密套件.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
1-2rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL服务器端策略支持的各种算法组合.
例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SSL服务器端策略支持如下加密套件:密钥交换算法为DHERSA、数据加密算法为128位的AES、MAC算法为SHA密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHAsystem-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]ciphersuitedhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sha【相关命令】displaysslserver-policyprefer-cipher1.
1.
2displaysslclient-policydisplaysslclient-policy命令用来显示SSL客户端策略的信息.
【命令】displaysslclient-policy[policy-name]【视图】任意视图1-3【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL客户端策略的信息.
【举例】#显示名为policy1的SSL客户端策略的信息.
displaysslclient-policypolicy1SSLclientpolicy:policy1SSLversion:SSL3.
0PKIdomain:Preferredciphersuite:RSA_AES_128_CBC_SHA表1-1displaysslclient-policy命令显示信息描述表字段描述SSLclientpolicySSL客户端策略名SSLversionSSL客户端策略使用的SSL协议版本PKIdomainSSL客户端策略使用的PKI域PreferredciphersuiteSSL客户端策略支持的加密套件1.
1.
3displaysslserver-policydisplaysslserver-policy命令用来显示SSL服务器端策略的信息.
【命令】displaysslserver-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL服务器端策略的信息.
【举例】#显示名为policy1的SSL服务器端策略的信息.
displaysslserver-policypolicy11-4SSLserverpolicy:policy1PKIdomain:Ciphersuites:DHE_RSA_AES_128_CBC_SHARSA_AES_128_CBC_SHASessioncachesize:600Cachingtimeout:3600seconds表1-2displaysslserver-policy命令显示信息描述表字段描述SSLserverpolicySSL服务器端策略名PKIdomainSSL服务器端策略使用的PKI域CiphersuitesSSL服务器端策略支持的加密套件SessioncachesizeSSL服务器端可以缓存的最大会话数目CachingtimeoutSSL服务器端会话缓存超时时间(单位为秒)1.
1.
4prefer-cipherprefer-cipher命令用来配置SSL客户端策略支持的加密套件.
undoprefer-cipher命令用来恢复缺省情况.
【命令】prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}undoprefer-cipher【缺省情况】SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
【视图】SSL客户端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
1-5exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL客户端策略支持的算法组合.
例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha【相关命令】ciphersuitedisplaysslclient-policy1-61.
1.
5sessionsession命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
undosession命令用来恢复缺省情况.
【命令】session{cachesizesize|timeouttime}*undosession{cachesize|timeout}*【缺省情况】SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】cachesizesize:指定SSL服务器上缓存的最大会话数目.
size为缓存的最大会话数目,取值范围为100~20480.
timeouttime:指定SSL会话缓存的超时时间.
time为会话缓存超时时间,取值范围为1~4294967295,单位为秒.
【使用指导】通过SSL握手协议协商会话参数并建立会话的过程比较复杂.
为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话.
为此,SSL服务器上需要保存已有的会话信息.
保存的会话信息的数目和保存时间具有一定的限制:如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话.
会话保存的时间超过设定的时间后,SSL将删除该会话的信息.
【举例】#配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]sessioncachesize600timeout1800【相关命令】displaysslserver-policy1.
1.
6sslclient-policysslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图.
如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图.
undosslclient-policy命令用来删除指定的SSL客户端策略.
【命令】sslclient-policypolicy-name1-7undosslclient-policypolicy-name【缺省情况】不存在SSL客户端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如支持的加密套件等.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
【举例】#创建SSL客户端策略policy1,并进入SSL客户端策略视图.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]【相关命令】displaysslclient-policy1.
1.
7sslrenegotiationdisablesslrenegotiationdisable命令用来关闭SSL重协商.
undosslrenegotiationdisable命令用来恢复缺省情况.
【命令】sslrenegotiationdisableundosslrenegotiationdisable【缺省情况】允许SSL重协商.
【视图】系统视图【缺省用户角色】network-admin1-8【使用指导】关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
【举例】#关闭SSL重协商.
system-view[Sysname]sslrenegotiationdisable1.
1.
8sslserver-policysslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图.
如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图.
undosslserver-policy命令用来删除指定的SSL服务器端策略.
【命令】sslserver-policypolicy-nameundosslserver-policypolicy-name【缺省情况】不存在SSL服务器端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用支持的加密套件等.
只有与HTTPS等应用关联后,SSL服务器端策略才能生效.
【举例】#创建SSL服务器端策略policy1,并进入SSL服务器端策略视图.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]【相关命令】displaysslserver-policy1-91.
1.
9sslversionssl3.
0disablesslversionssl3.
0disable命令用来关闭SSL3.
0版本.
undosslversionssl3.
0disable命令用来恢复缺省情况.
【命令】sslversionssl3.
0disableundosslversionssl3.
0disable【缺省情况】允许使用SSL3.
0版本.
【视图】系统视图【缺省用户角色】network-admin【使用指导】由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
对于SSL客户端,如果在系统视图下关闭了SSL3.
0版本,但在SSL客户端策略视图下配置使用SSL3.
0版本(通过命令versionssl3.
0),则该SSL客户端仍可使用SSL3.
0版本.
对于SSL服务器端,如果在系统视图下关闭了SSL3.
0版本,则SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
【举例】#关闭SSL3.
0.
system-view[Sysname]sslversionssl3.
0disable1.
1.
10versionversion命令用来配置SSL客户端策略使用的SSL协议版本.
undoversion命令恢复缺省情况.
【命令】version{ssl3.
0|tls1.
0}undoversion【缺省情况】SSL客户端策略使用的SSL协议版本为TLS1.
0.
【视图】SSL客户端策略视图1-10【缺省用户角色】network-admin【参数】ssl3.
0:SSL客户端策略使用的SSL协议版本为SSL3.
0.
tls1.
0:SSL客户端策略使用的SSL协议版本为TLS1.
0.
【使用指导】如果使用本命令配置SSL协议版本为SSL3.
0,但在系统视图下关闭了SSL3.
0版本(通过命令sslversionssl3.
0disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL3.
0版本.
使用本命令配置SSL协议版本为TLS1.
0后,如果系统视图下开启了SSL3.
0版本(通过命令undosslversionssl3.
0disable),则客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接;如果系统视图下关闭了SSL3.
0版本,使用TLS1.
0版本的协议连接服务器失败后,不会切换为SSL3.
0版本的协议再连接.
因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略使用的SSL协议版本为TLS1.
0.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]versiontls1.
0【相关命令】displaysslclient-policy
1SSL配置命令·1-11.
1.
1ciphersuite1-11.
1.
2displaysslclient-policy·1-21.
1.
3displaysslserver-policy1-31.
1.
4prefer-cipher·1-41.
1.
5session·1-61.
1.
6sslclient-policy·1-61.
1.
7sslrenegotiationdisable·1-71.
1.
8sslserver-policy1-81.
1.
9sslversionssl3.
0disable·1-91.
1.
10version1-91-11SSL1.
1SSL配置命令1.
1.
1ciphersuiteciphersuite命令用来配置SSL服务器端策略支持的加密套件.
undociphersuite命令用来恢复缺省情况.
【命令】ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*undociphersuite【缺省情况】SSL服务器端策略支持所有的加密套件.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
1-2rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL服务器端策略支持的各种算法组合.
例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SSL服务器端策略支持如下加密套件:密钥交换算法为DHERSA、数据加密算法为128位的AES、MAC算法为SHA密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHAsystem-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]ciphersuitedhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sha【相关命令】displaysslserver-policyprefer-cipher1.
1.
2displaysslclient-policydisplaysslclient-policy命令用来显示SSL客户端策略的信息.
【命令】displaysslclient-policy[policy-name]【视图】任意视图1-3【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL客户端策略的信息.
【举例】#显示名为policy1的SSL客户端策略的信息.
displaysslclient-policypolicy1SSLclientpolicy:policy1SSLversion:SSL3.
0PKIdomain:Preferredciphersuite:RSA_AES_128_CBC_SHA表1-1displaysslclient-policy命令显示信息描述表字段描述SSLclientpolicySSL客户端策略名SSLversionSSL客户端策略使用的SSL协议版本PKIdomainSSL客户端策略使用的PKI域PreferredciphersuiteSSL客户端策略支持的加密套件1.
1.
3displaysslserver-policydisplaysslserver-policy命令用来显示SSL服务器端策略的信息.
【命令】displaysslserver-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL服务器端策略的信息.
【举例】#显示名为policy1的SSL服务器端策略的信息.
displaysslserver-policypolicy11-4SSLserverpolicy:policy1PKIdomain:Ciphersuites:DHE_RSA_AES_128_CBC_SHARSA_AES_128_CBC_SHASessioncachesize:600Cachingtimeout:3600seconds表1-2displaysslserver-policy命令显示信息描述表字段描述SSLserverpolicySSL服务器端策略名PKIdomainSSL服务器端策略使用的PKI域CiphersuitesSSL服务器端策略支持的加密套件SessioncachesizeSSL服务器端可以缓存的最大会话数目CachingtimeoutSSL服务器端会话缓存超时时间(单位为秒)1.
1.
4prefer-cipherprefer-cipher命令用来配置SSL客户端策略支持的加密套件.
undoprefer-cipher命令用来恢复缺省情况.
【命令】prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}undoprefer-cipher【缺省情况】SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
【视图】SSL客户端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
1-5exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL客户端策略支持的算法组合.
例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha【相关命令】ciphersuitedisplaysslclient-policy1-61.
1.
5sessionsession命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
undosession命令用来恢复缺省情况.
【命令】session{cachesizesize|timeouttime}*undosession{cachesize|timeout}*【缺省情况】SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】cachesizesize:指定SSL服务器上缓存的最大会话数目.
size为缓存的最大会话数目,取值范围为100~20480.
timeouttime:指定SSL会话缓存的超时时间.
time为会话缓存超时时间,取值范围为1~4294967295,单位为秒.
【使用指导】通过SSL握手协议协商会话参数并建立会话的过程比较复杂.
为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话.
为此,SSL服务器上需要保存已有的会话信息.
保存的会话信息的数目和保存时间具有一定的限制:如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话.
会话保存的时间超过设定的时间后,SSL将删除该会话的信息.
【举例】#配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]sessioncachesize600timeout1800【相关命令】displaysslserver-policy1.
1.
6sslclient-policysslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图.
如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图.
undosslclient-policy命令用来删除指定的SSL客户端策略.
【命令】sslclient-policypolicy-name1-7undosslclient-policypolicy-name【缺省情况】不存在SSL客户端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如支持的加密套件等.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
【举例】#创建SSL客户端策略policy1,并进入SSL客户端策略视图.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]【相关命令】displaysslclient-policy1.
1.
7sslrenegotiationdisablesslrenegotiationdisable命令用来关闭SSL重协商.
undosslrenegotiationdisable命令用来恢复缺省情况.
【命令】sslrenegotiationdisableundosslrenegotiationdisable【缺省情况】允许SSL重协商.
【视图】系统视图【缺省用户角色】network-admin1-8【使用指导】关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
【举例】#关闭SSL重协商.
system-view[Sysname]sslrenegotiationdisable1.
1.
8sslserver-policysslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图.
如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图.
undosslserver-policy命令用来删除指定的SSL服务器端策略.
【命令】sslserver-policypolicy-nameundosslserver-policypolicy-name【缺省情况】不存在SSL服务器端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用支持的加密套件等.
只有与HTTPS等应用关联后,SSL服务器端策略才能生效.
【举例】#创建SSL服务器端策略policy1,并进入SSL服务器端策略视图.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]【相关命令】displaysslserver-policy1-91.
1.
9sslversionssl3.
0disablesslversionssl3.
0disable命令用来关闭SSL3.
0版本.
undosslversionssl3.
0disable命令用来恢复缺省情况.
【命令】sslversionssl3.
0disableundosslversionssl3.
0disable【缺省情况】允许使用SSL3.
0版本.
【视图】系统视图【缺省用户角色】network-admin【使用指导】由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
对于SSL客户端,如果在系统视图下关闭了SSL3.
0版本,但在SSL客户端策略视图下配置使用SSL3.
0版本(通过命令versionssl3.
0),则该SSL客户端仍可使用SSL3.
0版本.
对于SSL服务器端,如果在系统视图下关闭了SSL3.
0版本,则SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
【举例】#关闭SSL3.
0.
system-view[Sysname]sslversionssl3.
0disable1.
1.
10versionversion命令用来配置SSL客户端策略使用的SSL协议版本.
undoversion命令恢复缺省情况.
【命令】version{ssl3.
0|tls1.
0}undoversion【缺省情况】SSL客户端策略使用的SSL协议版本为TLS1.
0.
【视图】SSL客户端策略视图1-10【缺省用户角色】network-admin【参数】ssl3.
0:SSL客户端策略使用的SSL协议版本为SSL3.
0.
tls1.
0:SSL客户端策略使用的SSL协议版本为TLS1.
0.
【使用指导】如果使用本命令配置SSL协议版本为SSL3.
0,但在系统视图下关闭了SSL3.
0版本(通过命令sslversionssl3.
0disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL3.
0版本.
使用本命令配置SSL协议版本为TLS1.
0后,如果系统视图下开启了SSL3.
0版本(通过命令undosslversionssl3.
0disable),则客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接;如果系统视图下关闭了SSL3.
0版本,使用TLS1.
0版本的协议连接服务器失败后,不会切换为SSL3.
0版本的协议再连接.
因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略使用的SSL协议版本为TLS1.
0.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]versiontls1.
0【相关命令】displaysslclient-policy
ATCLOUD-KVM架构的VPS产品$4.5,杜绝DDoS攻击
ATCLOUD.NET怎么样?ATCLOUD.NET主要提供KVM架构的VPS产品、LXC容器化产品、权威DNS智能解析、域名注册、SSL证书等海外网站建设服务。 其大部分数据中心是由OVH机房提供,其节点包括美国(俄勒冈、弗吉尼亚)、加拿大、英国、法国、德国以及新加坡。 提供超过480Gbps的DDoS高防保护,杜绝DDoS攻击骚扰,比较适合海外建站等业务。官方网站:点击访问ATCLOUD官网活...
wordpress外贸企业主题 wordpress经典外贸企业建站主题
WordPress经典外贸企业建站主题,经典配色扁平化简约设计+跨屏自适应移动端设备,特色外贸企业建站功能模块+在线Inquiry询单功能,更有利于Google等英文搜索优化和站点收录。采用标准的HTML5+CSS3语言开发,兼容当下的各种主流浏览器: IE 6+(以及类似360、遨游等基于IE内核的)、Firefox、Google Chrome、Safari、Opera等;同时支持移动终端的常用...
Dynadot COM特价新注册48元
想必我们有一些朋友应该陆续收到国内和国外的域名注册商关于域名即将涨价的信息。大概的意思是说从9月1日开始,.COM域名会涨价一点点,大约需要单个9.99美元左右一个。其实对于大部分用户来说也没多大的影响,毕竟如今什么都涨价,域名涨一点点也不要紧。如果是域名较多的话,确实增加续费成本和注册成本。今天整理看到Dynadot有发布新的八月份域名优惠活动,.COM首年注册依然是仅需48元,本次优惠活动截止...
ssl协议为你推荐
-
万维读者网《读者》要订购有网站吗?邮箱打不开怎么办我的邮箱打不开怎么办伪静态什么是伪静态伪静态有何作用网站运营网站运营的工作做什么arm开发板想购买一个ARM开发板,选什么类型的好手机区号手机电话号码开头95共15位号码是什么手机号码?ps抠图技巧ps的抠图技巧是什么神雕侠侣礼包大全神雕侠侣手游华山论剑礼包有什么 怎么领取保护气球什么气球可以骑?bt封杀现在是全面封杀BT下载了吗?现在都找不到BT下载影片了