算法ssl协议
ssl协议 时间:2021-02-24 阅读:()
i目录1SSL1-11.
1SSL配置命令·1-11.
1.
1ciphersuite1-11.
1.
2displaysslclient-policy·1-21.
1.
3displaysslserver-policy1-31.
1.
4prefer-cipher·1-41.
1.
5session·1-61.
1.
6sslclient-policy·1-61.
1.
7sslrenegotiationdisable·1-71.
1.
8sslserver-policy1-81.
1.
9sslversionssl3.
0disable·1-91.
1.
10version1-91-11SSL1.
1SSL配置命令1.
1.
1ciphersuiteciphersuite命令用来配置SSL服务器端策略支持的加密套件.
undociphersuite命令用来恢复缺省情况.
【命令】ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*undociphersuite【缺省情况】SSL服务器端策略支持所有的加密套件.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
1-2rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL服务器端策略支持的各种算法组合.
例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SSL服务器端策略支持如下加密套件:密钥交换算法为DHERSA、数据加密算法为128位的AES、MAC算法为SHA密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHAsystem-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]ciphersuitedhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sha【相关命令】displaysslserver-policyprefer-cipher1.
1.
2displaysslclient-policydisplaysslclient-policy命令用来显示SSL客户端策略的信息.
【命令】displaysslclient-policy[policy-name]【视图】任意视图1-3【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL客户端策略的信息.
【举例】#显示名为policy1的SSL客户端策略的信息.
displaysslclient-policypolicy1SSLclientpolicy:policy1SSLversion:SSL3.
0PKIdomain:Preferredciphersuite:RSA_AES_128_CBC_SHA表1-1displaysslclient-policy命令显示信息描述表字段描述SSLclientpolicySSL客户端策略名SSLversionSSL客户端策略使用的SSL协议版本PKIdomainSSL客户端策略使用的PKI域PreferredciphersuiteSSL客户端策略支持的加密套件1.
1.
3displaysslserver-policydisplaysslserver-policy命令用来显示SSL服务器端策略的信息.
【命令】displaysslserver-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL服务器端策略的信息.
【举例】#显示名为policy1的SSL服务器端策略的信息.
displaysslserver-policypolicy11-4SSLserverpolicy:policy1PKIdomain:Ciphersuites:DHE_RSA_AES_128_CBC_SHARSA_AES_128_CBC_SHASessioncachesize:600Cachingtimeout:3600seconds表1-2displaysslserver-policy命令显示信息描述表字段描述SSLserverpolicySSL服务器端策略名PKIdomainSSL服务器端策略使用的PKI域CiphersuitesSSL服务器端策略支持的加密套件SessioncachesizeSSL服务器端可以缓存的最大会话数目CachingtimeoutSSL服务器端会话缓存超时时间(单位为秒)1.
1.
4prefer-cipherprefer-cipher命令用来配置SSL客户端策略支持的加密套件.
undoprefer-cipher命令用来恢复缺省情况.
【命令】prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}undoprefer-cipher【缺省情况】SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
【视图】SSL客户端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
1-5exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL客户端策略支持的算法组合.
例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha【相关命令】ciphersuitedisplaysslclient-policy1-61.
1.
5sessionsession命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
undosession命令用来恢复缺省情况.
【命令】session{cachesizesize|timeouttime}*undosession{cachesize|timeout}*【缺省情况】SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】cachesizesize:指定SSL服务器上缓存的最大会话数目.
size为缓存的最大会话数目,取值范围为100~20480.
timeouttime:指定SSL会话缓存的超时时间.
time为会话缓存超时时间,取值范围为1~4294967295,单位为秒.
【使用指导】通过SSL握手协议协商会话参数并建立会话的过程比较复杂.
为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话.
为此,SSL服务器上需要保存已有的会话信息.
保存的会话信息的数目和保存时间具有一定的限制:如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话.
会话保存的时间超过设定的时间后,SSL将删除该会话的信息.
【举例】#配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]sessioncachesize600timeout1800【相关命令】displaysslserver-policy1.
1.
6sslclient-policysslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图.
如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图.
undosslclient-policy命令用来删除指定的SSL客户端策略.
【命令】sslclient-policypolicy-name1-7undosslclient-policypolicy-name【缺省情况】不存在SSL客户端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如支持的加密套件等.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
【举例】#创建SSL客户端策略policy1,并进入SSL客户端策略视图.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]【相关命令】displaysslclient-policy1.
1.
7sslrenegotiationdisablesslrenegotiationdisable命令用来关闭SSL重协商.
undosslrenegotiationdisable命令用来恢复缺省情况.
【命令】sslrenegotiationdisableundosslrenegotiationdisable【缺省情况】允许SSL重协商.
【视图】系统视图【缺省用户角色】network-admin1-8【使用指导】关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
【举例】#关闭SSL重协商.
system-view[Sysname]sslrenegotiationdisable1.
1.
8sslserver-policysslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图.
如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图.
undosslserver-policy命令用来删除指定的SSL服务器端策略.
【命令】sslserver-policypolicy-nameundosslserver-policypolicy-name【缺省情况】不存在SSL服务器端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用支持的加密套件等.
只有与HTTPS等应用关联后,SSL服务器端策略才能生效.
【举例】#创建SSL服务器端策略policy1,并进入SSL服务器端策略视图.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]【相关命令】displaysslserver-policy1-91.
1.
9sslversionssl3.
0disablesslversionssl3.
0disable命令用来关闭SSL3.
0版本.
undosslversionssl3.
0disable命令用来恢复缺省情况.
【命令】sslversionssl3.
0disableundosslversionssl3.
0disable【缺省情况】允许使用SSL3.
0版本.
【视图】系统视图【缺省用户角色】network-admin【使用指导】由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
对于SSL客户端,如果在系统视图下关闭了SSL3.
0版本,但在SSL客户端策略视图下配置使用SSL3.
0版本(通过命令versionssl3.
0),则该SSL客户端仍可使用SSL3.
0版本.
对于SSL服务器端,如果在系统视图下关闭了SSL3.
0版本,则SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
【举例】#关闭SSL3.
0.
system-view[Sysname]sslversionssl3.
0disable1.
1.
10versionversion命令用来配置SSL客户端策略使用的SSL协议版本.
undoversion命令恢复缺省情况.
【命令】version{ssl3.
0|tls1.
0}undoversion【缺省情况】SSL客户端策略使用的SSL协议版本为TLS1.
0.
【视图】SSL客户端策略视图1-10【缺省用户角色】network-admin【参数】ssl3.
0:SSL客户端策略使用的SSL协议版本为SSL3.
0.
tls1.
0:SSL客户端策略使用的SSL协议版本为TLS1.
0.
【使用指导】如果使用本命令配置SSL协议版本为SSL3.
0,但在系统视图下关闭了SSL3.
0版本(通过命令sslversionssl3.
0disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL3.
0版本.
使用本命令配置SSL协议版本为TLS1.
0后,如果系统视图下开启了SSL3.
0版本(通过命令undosslversionssl3.
0disable),则客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接;如果系统视图下关闭了SSL3.
0版本,使用TLS1.
0版本的协议连接服务器失败后,不会切换为SSL3.
0版本的协议再连接.
因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略使用的SSL协议版本为TLS1.
0.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]versiontls1.
0【相关命令】displaysslclient-policy
1SSL配置命令·1-11.
1.
1ciphersuite1-11.
1.
2displaysslclient-policy·1-21.
1.
3displaysslserver-policy1-31.
1.
4prefer-cipher·1-41.
1.
5session·1-61.
1.
6sslclient-policy·1-61.
1.
7sslrenegotiationdisable·1-71.
1.
8sslserver-policy1-81.
1.
9sslversionssl3.
0disable·1-91.
1.
10version1-91-11SSL1.
1SSL配置命令1.
1.
1ciphersuiteciphersuite命令用来配置SSL服务器端策略支持的加密套件.
undociphersuite命令用来恢复缺省情况.
【命令】ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*undociphersuite【缺省情况】SSL服务器端策略支持所有的加密套件.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
1-2rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL服务器端策略支持的各种算法组合.
例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SSL服务器端策略支持如下加密套件:密钥交换算法为DHERSA、数据加密算法为128位的AES、MAC算法为SHA密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHAsystem-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]ciphersuitedhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sha【相关命令】displaysslserver-policyprefer-cipher1.
1.
2displaysslclient-policydisplaysslclient-policy命令用来显示SSL客户端策略的信息.
【命令】displaysslclient-policy[policy-name]【视图】任意视图1-3【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL客户端策略的信息.
【举例】#显示名为policy1的SSL客户端策略的信息.
displaysslclient-policypolicy1SSLclientpolicy:policy1SSLversion:SSL3.
0PKIdomain:Preferredciphersuite:RSA_AES_128_CBC_SHA表1-1displaysslclient-policy命令显示信息描述表字段描述SSLclientpolicySSL客户端策略名SSLversionSSL客户端策略使用的SSL协议版本PKIdomainSSL客户端策略使用的PKI域PreferredciphersuiteSSL客户端策略支持的加密套件1.
1.
3displaysslserver-policydisplaysslserver-policy命令用来显示SSL服务器端策略的信息.
【命令】displaysslserver-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL服务器端策略的信息.
【举例】#显示名为policy1的SSL服务器端策略的信息.
displaysslserver-policypolicy11-4SSLserverpolicy:policy1PKIdomain:Ciphersuites:DHE_RSA_AES_128_CBC_SHARSA_AES_128_CBC_SHASessioncachesize:600Cachingtimeout:3600seconds表1-2displaysslserver-policy命令显示信息描述表字段描述SSLserverpolicySSL服务器端策略名PKIdomainSSL服务器端策略使用的PKI域CiphersuitesSSL服务器端策略支持的加密套件SessioncachesizeSSL服务器端可以缓存的最大会话数目CachingtimeoutSSL服务器端会话缓存超时时间(单位为秒)1.
1.
4prefer-cipherprefer-cipher命令用来配置SSL客户端策略支持的加密套件.
undoprefer-cipher命令用来恢复缺省情况.
【命令】prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}undoprefer-cipher【缺省情况】SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
【视图】SSL客户端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
1-5exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL客户端策略支持的算法组合.
例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha【相关命令】ciphersuitedisplaysslclient-policy1-61.
1.
5sessionsession命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
undosession命令用来恢复缺省情况.
【命令】session{cachesizesize|timeouttime}*undosession{cachesize|timeout}*【缺省情况】SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】cachesizesize:指定SSL服务器上缓存的最大会话数目.
size为缓存的最大会话数目,取值范围为100~20480.
timeouttime:指定SSL会话缓存的超时时间.
time为会话缓存超时时间,取值范围为1~4294967295,单位为秒.
【使用指导】通过SSL握手协议协商会话参数并建立会话的过程比较复杂.
为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话.
为此,SSL服务器上需要保存已有的会话信息.
保存的会话信息的数目和保存时间具有一定的限制:如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话.
会话保存的时间超过设定的时间后,SSL将删除该会话的信息.
【举例】#配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]sessioncachesize600timeout1800【相关命令】displaysslserver-policy1.
1.
6sslclient-policysslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图.
如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图.
undosslclient-policy命令用来删除指定的SSL客户端策略.
【命令】sslclient-policypolicy-name1-7undosslclient-policypolicy-name【缺省情况】不存在SSL客户端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如支持的加密套件等.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
【举例】#创建SSL客户端策略policy1,并进入SSL客户端策略视图.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]【相关命令】displaysslclient-policy1.
1.
7sslrenegotiationdisablesslrenegotiationdisable命令用来关闭SSL重协商.
undosslrenegotiationdisable命令用来恢复缺省情况.
【命令】sslrenegotiationdisableundosslrenegotiationdisable【缺省情况】允许SSL重协商.
【视图】系统视图【缺省用户角色】network-admin1-8【使用指导】关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
【举例】#关闭SSL重协商.
system-view[Sysname]sslrenegotiationdisable1.
1.
8sslserver-policysslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图.
如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图.
undosslserver-policy命令用来删除指定的SSL服务器端策略.
【命令】sslserver-policypolicy-nameundosslserver-policypolicy-name【缺省情况】不存在SSL服务器端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用支持的加密套件等.
只有与HTTPS等应用关联后,SSL服务器端策略才能生效.
【举例】#创建SSL服务器端策略policy1,并进入SSL服务器端策略视图.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]【相关命令】displaysslserver-policy1-91.
1.
9sslversionssl3.
0disablesslversionssl3.
0disable命令用来关闭SSL3.
0版本.
undosslversionssl3.
0disable命令用来恢复缺省情况.
【命令】sslversionssl3.
0disableundosslversionssl3.
0disable【缺省情况】允许使用SSL3.
0版本.
【视图】系统视图【缺省用户角色】network-admin【使用指导】由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
对于SSL客户端,如果在系统视图下关闭了SSL3.
0版本,但在SSL客户端策略视图下配置使用SSL3.
0版本(通过命令versionssl3.
0),则该SSL客户端仍可使用SSL3.
0版本.
对于SSL服务器端,如果在系统视图下关闭了SSL3.
0版本,则SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
【举例】#关闭SSL3.
0.
system-view[Sysname]sslversionssl3.
0disable1.
1.
10versionversion命令用来配置SSL客户端策略使用的SSL协议版本.
undoversion命令恢复缺省情况.
【命令】version{ssl3.
0|tls1.
0}undoversion【缺省情况】SSL客户端策略使用的SSL协议版本为TLS1.
0.
【视图】SSL客户端策略视图1-10【缺省用户角色】network-admin【参数】ssl3.
0:SSL客户端策略使用的SSL协议版本为SSL3.
0.
tls1.
0:SSL客户端策略使用的SSL协议版本为TLS1.
0.
【使用指导】如果使用本命令配置SSL协议版本为SSL3.
0,但在系统视图下关闭了SSL3.
0版本(通过命令sslversionssl3.
0disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL3.
0版本.
使用本命令配置SSL协议版本为TLS1.
0后,如果系统视图下开启了SSL3.
0版本(通过命令undosslversionssl3.
0disable),则客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接;如果系统视图下关闭了SSL3.
0版本,使用TLS1.
0版本的协议连接服务器失败后,不会切换为SSL3.
0版本的协议再连接.
因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略使用的SSL协议版本为TLS1.
0.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]versiontls1.
0【相关命令】displaysslclient-policy
易探云330元/年,成都4核8G/200G硬盘/15M带宽,仅1888元/3年起
易探云服务器怎么样?易探云是国内一家云计算服务商家,致力香港云服务器、美国云服务器、国内外服务器租用及托管等互联网业务,目前主要地区为运作香港BGP、香港CN2、广东、北京、深圳等地区。目前,易探云推出的国内云服务器优惠活动,国内云服务器2核2G5M云服务器低至330元/年起;成都4核8G/200G硬盘/15M带宽,仅1888元/3年起!易探云便宜vps服务器配置推荐:易探云vps云主机,入门型云...
hostkvm:美国VPS,三网强制CU-VIP线路,$5/月,1G内存/1核/15gSSD/500g流量
hostkvm在2021年3月新上线洛杉矶新VPS业务,强制三网接入中国联通优化线路,是当前中美之间性价比最高、最火热的线路之一,性价比高、速度非常好,接近联通AS9929和电信AS4809的效果,带宽充裕,晚高峰也不爆炸。 官方网站:https://hostkvm.com 全场优惠码:2021(全场通用八折,终身码,长期) 美国 US-Plan0【三网联通优化线路】 内存:1G CPU:...
易速互联月付299元,美国独立服务器促销,加州地区,BGP直连线路,10G防御
易速互联怎么样?易速互联是国人老牌主机商家,至今已经成立9年,商家销售虚拟主机、VPS及独立服务器,目前商家针对美国加州萨克拉门托RH数据中心进行促销,线路采用BGP直连线路,自带10G防御,美国加州地区,100M带宽不限流量,月付299元起,有需要美国不限流量独立服务器的朋友可以看看。点击进入:易速互联官方网站美国独立服务器优惠套餐:RH数据中心位于美国加州、配置丰富性价比高、10G DDOS免...
ssl协议为你推荐
-
照片转手绘怎么把图片P成手绘arm开发板ARM开发板具体有什么作用?有什么商业价值?申请证书申请毕业证书iphone越狱后怎么恢复苹果手机越狱之后能恢复原来吗?ios系统ios系统有哪些版本?虚拟专用网安卓手机的虚拟专用网设置是什么东西?怎么用?什么是云平台什么是云系统?虚拟机软件下载谁有好的虚拟机软件?如何清理ie缓存怎么清理IE缓存去鼠标加速度CS去鼠标加速度和鼠标灵敏度的区别?