算法ssl协议
ssl协议 时间:2021-02-24 阅读:()
i目录1SSL1-11.
1SSL配置命令·1-11.
1.
1ciphersuite1-11.
1.
2displaysslclient-policy·1-21.
1.
3displaysslserver-policy1-31.
1.
4prefer-cipher·1-41.
1.
5session·1-61.
1.
6sslclient-policy·1-61.
1.
7sslrenegotiationdisable·1-71.
1.
8sslserver-policy1-81.
1.
9sslversionssl3.
0disable·1-91.
1.
10version1-91-11SSL1.
1SSL配置命令1.
1.
1ciphersuiteciphersuite命令用来配置SSL服务器端策略支持的加密套件.
undociphersuite命令用来恢复缺省情况.
【命令】ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*undociphersuite【缺省情况】SSL服务器端策略支持所有的加密套件.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
1-2rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL服务器端策略支持的各种算法组合.
例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SSL服务器端策略支持如下加密套件:密钥交换算法为DHERSA、数据加密算法为128位的AES、MAC算法为SHA密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHAsystem-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]ciphersuitedhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sha【相关命令】displaysslserver-policyprefer-cipher1.
1.
2displaysslclient-policydisplaysslclient-policy命令用来显示SSL客户端策略的信息.
【命令】displaysslclient-policy[policy-name]【视图】任意视图1-3【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL客户端策略的信息.
【举例】#显示名为policy1的SSL客户端策略的信息.
displaysslclient-policypolicy1SSLclientpolicy:policy1SSLversion:SSL3.
0PKIdomain:Preferredciphersuite:RSA_AES_128_CBC_SHA表1-1displaysslclient-policy命令显示信息描述表字段描述SSLclientpolicySSL客户端策略名SSLversionSSL客户端策略使用的SSL协议版本PKIdomainSSL客户端策略使用的PKI域PreferredciphersuiteSSL客户端策略支持的加密套件1.
1.
3displaysslserver-policydisplaysslserver-policy命令用来显示SSL服务器端策略的信息.
【命令】displaysslserver-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL服务器端策略的信息.
【举例】#显示名为policy1的SSL服务器端策略的信息.
displaysslserver-policypolicy11-4SSLserverpolicy:policy1PKIdomain:Ciphersuites:DHE_RSA_AES_128_CBC_SHARSA_AES_128_CBC_SHASessioncachesize:600Cachingtimeout:3600seconds表1-2displaysslserver-policy命令显示信息描述表字段描述SSLserverpolicySSL服务器端策略名PKIdomainSSL服务器端策略使用的PKI域CiphersuitesSSL服务器端策略支持的加密套件SessioncachesizeSSL服务器端可以缓存的最大会话数目CachingtimeoutSSL服务器端会话缓存超时时间(单位为秒)1.
1.
4prefer-cipherprefer-cipher命令用来配置SSL客户端策略支持的加密套件.
undoprefer-cipher命令用来恢复缺省情况.
【命令】prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}undoprefer-cipher【缺省情况】SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
【视图】SSL客户端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
1-5exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL客户端策略支持的算法组合.
例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha【相关命令】ciphersuitedisplaysslclient-policy1-61.
1.
5sessionsession命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
undosession命令用来恢复缺省情况.
【命令】session{cachesizesize|timeouttime}*undosession{cachesize|timeout}*【缺省情况】SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】cachesizesize:指定SSL服务器上缓存的最大会话数目.
size为缓存的最大会话数目,取值范围为100~20480.
timeouttime:指定SSL会话缓存的超时时间.
time为会话缓存超时时间,取值范围为1~4294967295,单位为秒.
【使用指导】通过SSL握手协议协商会话参数并建立会话的过程比较复杂.
为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话.
为此,SSL服务器上需要保存已有的会话信息.
保存的会话信息的数目和保存时间具有一定的限制:如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话.
会话保存的时间超过设定的时间后,SSL将删除该会话的信息.
【举例】#配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]sessioncachesize600timeout1800【相关命令】displaysslserver-policy1.
1.
6sslclient-policysslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图.
如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图.
undosslclient-policy命令用来删除指定的SSL客户端策略.
【命令】sslclient-policypolicy-name1-7undosslclient-policypolicy-name【缺省情况】不存在SSL客户端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如支持的加密套件等.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
【举例】#创建SSL客户端策略policy1,并进入SSL客户端策略视图.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]【相关命令】displaysslclient-policy1.
1.
7sslrenegotiationdisablesslrenegotiationdisable命令用来关闭SSL重协商.
undosslrenegotiationdisable命令用来恢复缺省情况.
【命令】sslrenegotiationdisableundosslrenegotiationdisable【缺省情况】允许SSL重协商.
【视图】系统视图【缺省用户角色】network-admin1-8【使用指导】关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
【举例】#关闭SSL重协商.
system-view[Sysname]sslrenegotiationdisable1.
1.
8sslserver-policysslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图.
如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图.
undosslserver-policy命令用来删除指定的SSL服务器端策略.
【命令】sslserver-policypolicy-nameundosslserver-policypolicy-name【缺省情况】不存在SSL服务器端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用支持的加密套件等.
只有与HTTPS等应用关联后,SSL服务器端策略才能生效.
【举例】#创建SSL服务器端策略policy1,并进入SSL服务器端策略视图.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]【相关命令】displaysslserver-policy1-91.
1.
9sslversionssl3.
0disablesslversionssl3.
0disable命令用来关闭SSL3.
0版本.
undosslversionssl3.
0disable命令用来恢复缺省情况.
【命令】sslversionssl3.
0disableundosslversionssl3.
0disable【缺省情况】允许使用SSL3.
0版本.
【视图】系统视图【缺省用户角色】network-admin【使用指导】由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
对于SSL客户端,如果在系统视图下关闭了SSL3.
0版本,但在SSL客户端策略视图下配置使用SSL3.
0版本(通过命令versionssl3.
0),则该SSL客户端仍可使用SSL3.
0版本.
对于SSL服务器端,如果在系统视图下关闭了SSL3.
0版本,则SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
【举例】#关闭SSL3.
0.
system-view[Sysname]sslversionssl3.
0disable1.
1.
10versionversion命令用来配置SSL客户端策略使用的SSL协议版本.
undoversion命令恢复缺省情况.
【命令】version{ssl3.
0|tls1.
0}undoversion【缺省情况】SSL客户端策略使用的SSL协议版本为TLS1.
0.
【视图】SSL客户端策略视图1-10【缺省用户角色】network-admin【参数】ssl3.
0:SSL客户端策略使用的SSL协议版本为SSL3.
0.
tls1.
0:SSL客户端策略使用的SSL协议版本为TLS1.
0.
【使用指导】如果使用本命令配置SSL协议版本为SSL3.
0,但在系统视图下关闭了SSL3.
0版本(通过命令sslversionssl3.
0disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL3.
0版本.
使用本命令配置SSL协议版本为TLS1.
0后,如果系统视图下开启了SSL3.
0版本(通过命令undosslversionssl3.
0disable),则客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接;如果系统视图下关闭了SSL3.
0版本,使用TLS1.
0版本的协议连接服务器失败后,不会切换为SSL3.
0版本的协议再连接.
因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略使用的SSL协议版本为TLS1.
0.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]versiontls1.
0【相关命令】displaysslclient-policy
1SSL配置命令·1-11.
1.
1ciphersuite1-11.
1.
2displaysslclient-policy·1-21.
1.
3displaysslserver-policy1-31.
1.
4prefer-cipher·1-41.
1.
5session·1-61.
1.
6sslclient-policy·1-61.
1.
7sslrenegotiationdisable·1-71.
1.
8sslserver-policy1-81.
1.
9sslversionssl3.
0disable·1-91.
1.
10version1-91-11SSL1.
1SSL配置命令1.
1.
1ciphersuiteciphersuite命令用来配置SSL服务器端策略支持的加密套件.
undociphersuite命令用来恢复缺省情况.
【命令】ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*undociphersuite【缺省情况】SSL服务器端策略支持所有的加密套件.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
1-2rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL服务器端策略支持的各种算法组合.
例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SSL服务器端策略支持如下加密套件:密钥交换算法为DHERSA、数据加密算法为128位的AES、MAC算法为SHA密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHAsystem-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]ciphersuitedhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sha【相关命令】displaysslserver-policyprefer-cipher1.
1.
2displaysslclient-policydisplaysslclient-policy命令用来显示SSL客户端策略的信息.
【命令】displaysslclient-policy[policy-name]【视图】任意视图1-3【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL客户端策略的信息.
【举例】#显示名为policy1的SSL客户端策略的信息.
displaysslclient-policypolicy1SSLclientpolicy:policy1SSLversion:SSL3.
0PKIdomain:Preferredciphersuite:RSA_AES_128_CBC_SHA表1-1displaysslclient-policy命令显示信息描述表字段描述SSLclientpolicySSL客户端策略名SSLversionSSL客户端策略使用的SSL协议版本PKIdomainSSL客户端策略使用的PKI域PreferredciphersuiteSSL客户端策略支持的加密套件1.
1.
3displaysslserver-policydisplaysslserver-policy命令用来显示SSL服务器端策略的信息.
【命令】displaysslserver-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL服务器端策略的信息.
【举例】#显示名为policy1的SSL服务器端策略的信息.
displaysslserver-policypolicy11-4SSLserverpolicy:policy1PKIdomain:Ciphersuites:DHE_RSA_AES_128_CBC_SHARSA_AES_128_CBC_SHASessioncachesize:600Cachingtimeout:3600seconds表1-2displaysslserver-policy命令显示信息描述表字段描述SSLserverpolicySSL服务器端策略名PKIdomainSSL服务器端策略使用的PKI域CiphersuitesSSL服务器端策略支持的加密套件SessioncachesizeSSL服务器端可以缓存的最大会话数目CachingtimeoutSSL服务器端会话缓存超时时间(单位为秒)1.
1.
4prefer-cipherprefer-cipher命令用来配置SSL客户端策略支持的加密套件.
undoprefer-cipher命令用来恢复缺省情况.
【命令】prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}undoprefer-cipher【缺省情况】SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
【视图】SSL客户端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
1-5exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL客户端策略支持的算法组合.
例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha【相关命令】ciphersuitedisplaysslclient-policy1-61.
1.
5sessionsession命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
undosession命令用来恢复缺省情况.
【命令】session{cachesizesize|timeouttime}*undosession{cachesize|timeout}*【缺省情况】SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】cachesizesize:指定SSL服务器上缓存的最大会话数目.
size为缓存的最大会话数目,取值范围为100~20480.
timeouttime:指定SSL会话缓存的超时时间.
time为会话缓存超时时间,取值范围为1~4294967295,单位为秒.
【使用指导】通过SSL握手协议协商会话参数并建立会话的过程比较复杂.
为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话.
为此,SSL服务器上需要保存已有的会话信息.
保存的会话信息的数目和保存时间具有一定的限制:如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话.
会话保存的时间超过设定的时间后,SSL将删除该会话的信息.
【举例】#配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]sessioncachesize600timeout1800【相关命令】displaysslserver-policy1.
1.
6sslclient-policysslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图.
如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图.
undosslclient-policy命令用来删除指定的SSL客户端策略.
【命令】sslclient-policypolicy-name1-7undosslclient-policypolicy-name【缺省情况】不存在SSL客户端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如支持的加密套件等.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
【举例】#创建SSL客户端策略policy1,并进入SSL客户端策略视图.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]【相关命令】displaysslclient-policy1.
1.
7sslrenegotiationdisablesslrenegotiationdisable命令用来关闭SSL重协商.
undosslrenegotiationdisable命令用来恢复缺省情况.
【命令】sslrenegotiationdisableundosslrenegotiationdisable【缺省情况】允许SSL重协商.
【视图】系统视图【缺省用户角色】network-admin1-8【使用指导】关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
【举例】#关闭SSL重协商.
system-view[Sysname]sslrenegotiationdisable1.
1.
8sslserver-policysslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图.
如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图.
undosslserver-policy命令用来删除指定的SSL服务器端策略.
【命令】sslserver-policypolicy-nameundosslserver-policypolicy-name【缺省情况】不存在SSL服务器端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用支持的加密套件等.
只有与HTTPS等应用关联后,SSL服务器端策略才能生效.
【举例】#创建SSL服务器端策略policy1,并进入SSL服务器端策略视图.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]【相关命令】displaysslserver-policy1-91.
1.
9sslversionssl3.
0disablesslversionssl3.
0disable命令用来关闭SSL3.
0版本.
undosslversionssl3.
0disable命令用来恢复缺省情况.
【命令】sslversionssl3.
0disableundosslversionssl3.
0disable【缺省情况】允许使用SSL3.
0版本.
【视图】系统视图【缺省用户角色】network-admin【使用指导】由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
对于SSL客户端,如果在系统视图下关闭了SSL3.
0版本,但在SSL客户端策略视图下配置使用SSL3.
0版本(通过命令versionssl3.
0),则该SSL客户端仍可使用SSL3.
0版本.
对于SSL服务器端,如果在系统视图下关闭了SSL3.
0版本,则SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
【举例】#关闭SSL3.
0.
system-view[Sysname]sslversionssl3.
0disable1.
1.
10versionversion命令用来配置SSL客户端策略使用的SSL协议版本.
undoversion命令恢复缺省情况.
【命令】version{ssl3.
0|tls1.
0}undoversion【缺省情况】SSL客户端策略使用的SSL协议版本为TLS1.
0.
【视图】SSL客户端策略视图1-10【缺省用户角色】network-admin【参数】ssl3.
0:SSL客户端策略使用的SSL协议版本为SSL3.
0.
tls1.
0:SSL客户端策略使用的SSL协议版本为TLS1.
0.
【使用指导】如果使用本命令配置SSL协议版本为SSL3.
0,但在系统视图下关闭了SSL3.
0版本(通过命令sslversionssl3.
0disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL3.
0版本.
使用本命令配置SSL协议版本为TLS1.
0后,如果系统视图下开启了SSL3.
0版本(通过命令undosslversionssl3.
0disable),则客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接;如果系统视图下关闭了SSL3.
0版本,使用TLS1.
0版本的协议连接服务器失败后,不会切换为SSL3.
0版本的协议再连接.
因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略使用的SSL协议版本为TLS1.
0.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]versiontls1.
0【相关命令】displaysslclient-policy
湖北50G防御物理服务器( 199元/月 ),国内便宜的高防服务器
4324云是成立于2012年的老牌商家,主要经营国内服务器资源,是目前国内实力很强的商家,从价格上就可以看出来商家实力,这次商家给大家带来了全网最便宜的物理服务器。只能说用叹为观止形容。官网地址 点击进入由于是活动套餐 本款产品需要联系QQ客服 购买 QQ 800083597 QQ 2772347271CPU内存硬盘带宽IP防御价格e5 2630 12核16GBSSD 500GB30M1个IP...
Hostio€5/月KVM-2GB/25GB/5TB/荷兰机房
Hostio是一家成立于2006年的国外主机商,提供基于KVM架构的VPS主机,AMD EPYC CPU,NVMe硬盘,1-10Gbps带宽,最低月付5欧元起。商家采用自己的网络AS208258,宿主机采用2 x AMD Epyc 7452 32C/64T 2.3Ghz CPU,16*32GB内存,4个Samsung PM983 NVMe SSD,提供IPv4+IPv6。下面列出几款主机配置信息。...
易探云:买香港/美国/国内云服务器送QQ音乐绿钻豪华版1年,价值180元
易探云产品限时秒杀&QQ音乐典藏活动正在进行中!购买易探云香港/美国云服务器送QQ音乐绿钻豪华版1年,价值180元,性价比超级高。目前,有四大核心福利产品推荐:福利一、香港云服务器1核1G2M,仅218元/年起(香港CN2线路,全球50ms以内);福利二、美国20G高防云服务器1核1G5M,仅336元/年起(美国BGP线路,自带20G防御);福利三、2G虚拟主机低至58.8元/年(更有免费...
ssl协议为你推荐
-
怎么改ip怎么更改IP,怎么弄google地球打不开谷歌地球现在为什么打不开了郭吉军郭吉军和管鹏这两个站长怎么样?群里有人骂网站运营刚创业的网站运营怎么做?童之磊网文大学很强吗?mate8价格华为mate8什么时候会降价2012年正月十五山西省太原市2012年正月十五活动的相关情况机械键盘轴机械键盘什么轴好,机械键盘轴有几种cisco防火墙cisco防火墙里k9是什么意思主板温度多少正常主板温度多少算正常?