算法ssl协议
ssl协议 时间:2021-02-24 阅读:()
i目录1SSL1-11.
1SSL配置命令·1-11.
1.
1ciphersuite1-11.
1.
2displaysslclient-policy·1-21.
1.
3displaysslserver-policy1-31.
1.
4prefer-cipher·1-41.
1.
5session·1-61.
1.
6sslclient-policy·1-61.
1.
7sslrenegotiationdisable·1-71.
1.
8sslserver-policy1-81.
1.
9sslversionssl3.
0disable·1-91.
1.
10version1-91-11SSL1.
1SSL配置命令1.
1.
1ciphersuiteciphersuite命令用来配置SSL服务器端策略支持的加密套件.
undociphersuite命令用来恢复缺省情况.
【命令】ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*undociphersuite【缺省情况】SSL服务器端策略支持所有的加密套件.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
1-2rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL服务器端策略支持的各种算法组合.
例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SSL服务器端策略支持如下加密套件:密钥交换算法为DHERSA、数据加密算法为128位的AES、MAC算法为SHA密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHAsystem-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]ciphersuitedhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sha【相关命令】displaysslserver-policyprefer-cipher1.
1.
2displaysslclient-policydisplaysslclient-policy命令用来显示SSL客户端策略的信息.
【命令】displaysslclient-policy[policy-name]【视图】任意视图1-3【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL客户端策略的信息.
【举例】#显示名为policy1的SSL客户端策略的信息.
displaysslclient-policypolicy1SSLclientpolicy:policy1SSLversion:SSL3.
0PKIdomain:Preferredciphersuite:RSA_AES_128_CBC_SHA表1-1displaysslclient-policy命令显示信息描述表字段描述SSLclientpolicySSL客户端策略名SSLversionSSL客户端策略使用的SSL协议版本PKIdomainSSL客户端策略使用的PKI域PreferredciphersuiteSSL客户端策略支持的加密套件1.
1.
3displaysslserver-policydisplaysslserver-policy命令用来显示SSL服务器端策略的信息.
【命令】displaysslserver-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL服务器端策略的信息.
【举例】#显示名为policy1的SSL服务器端策略的信息.
displaysslserver-policypolicy11-4SSLserverpolicy:policy1PKIdomain:Ciphersuites:DHE_RSA_AES_128_CBC_SHARSA_AES_128_CBC_SHASessioncachesize:600Cachingtimeout:3600seconds表1-2displaysslserver-policy命令显示信息描述表字段描述SSLserverpolicySSL服务器端策略名PKIdomainSSL服务器端策略使用的PKI域CiphersuitesSSL服务器端策略支持的加密套件SessioncachesizeSSL服务器端可以缓存的最大会话数目CachingtimeoutSSL服务器端会话缓存超时时间(单位为秒)1.
1.
4prefer-cipherprefer-cipher命令用来配置SSL客户端策略支持的加密套件.
undoprefer-cipher命令用来恢复缺省情况.
【命令】prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}undoprefer-cipher【缺省情况】SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
【视图】SSL客户端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
1-5exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL客户端策略支持的算法组合.
例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha【相关命令】ciphersuitedisplaysslclient-policy1-61.
1.
5sessionsession命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
undosession命令用来恢复缺省情况.
【命令】session{cachesizesize|timeouttime}*undosession{cachesize|timeout}*【缺省情况】SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】cachesizesize:指定SSL服务器上缓存的最大会话数目.
size为缓存的最大会话数目,取值范围为100~20480.
timeouttime:指定SSL会话缓存的超时时间.
time为会话缓存超时时间,取值范围为1~4294967295,单位为秒.
【使用指导】通过SSL握手协议协商会话参数并建立会话的过程比较复杂.
为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话.
为此,SSL服务器上需要保存已有的会话信息.
保存的会话信息的数目和保存时间具有一定的限制:如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话.
会话保存的时间超过设定的时间后,SSL将删除该会话的信息.
【举例】#配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]sessioncachesize600timeout1800【相关命令】displaysslserver-policy1.
1.
6sslclient-policysslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图.
如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图.
undosslclient-policy命令用来删除指定的SSL客户端策略.
【命令】sslclient-policypolicy-name1-7undosslclient-policypolicy-name【缺省情况】不存在SSL客户端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如支持的加密套件等.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
【举例】#创建SSL客户端策略policy1,并进入SSL客户端策略视图.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]【相关命令】displaysslclient-policy1.
1.
7sslrenegotiationdisablesslrenegotiationdisable命令用来关闭SSL重协商.
undosslrenegotiationdisable命令用来恢复缺省情况.
【命令】sslrenegotiationdisableundosslrenegotiationdisable【缺省情况】允许SSL重协商.
【视图】系统视图【缺省用户角色】network-admin1-8【使用指导】关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
【举例】#关闭SSL重协商.
system-view[Sysname]sslrenegotiationdisable1.
1.
8sslserver-policysslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图.
如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图.
undosslserver-policy命令用来删除指定的SSL服务器端策略.
【命令】sslserver-policypolicy-nameundosslserver-policypolicy-name【缺省情况】不存在SSL服务器端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用支持的加密套件等.
只有与HTTPS等应用关联后,SSL服务器端策略才能生效.
【举例】#创建SSL服务器端策略policy1,并进入SSL服务器端策略视图.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]【相关命令】displaysslserver-policy1-91.
1.
9sslversionssl3.
0disablesslversionssl3.
0disable命令用来关闭SSL3.
0版本.
undosslversionssl3.
0disable命令用来恢复缺省情况.
【命令】sslversionssl3.
0disableundosslversionssl3.
0disable【缺省情况】允许使用SSL3.
0版本.
【视图】系统视图【缺省用户角色】network-admin【使用指导】由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
对于SSL客户端,如果在系统视图下关闭了SSL3.
0版本,但在SSL客户端策略视图下配置使用SSL3.
0版本(通过命令versionssl3.
0),则该SSL客户端仍可使用SSL3.
0版本.
对于SSL服务器端,如果在系统视图下关闭了SSL3.
0版本,则SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
【举例】#关闭SSL3.
0.
system-view[Sysname]sslversionssl3.
0disable1.
1.
10versionversion命令用来配置SSL客户端策略使用的SSL协议版本.
undoversion命令恢复缺省情况.
【命令】version{ssl3.
0|tls1.
0}undoversion【缺省情况】SSL客户端策略使用的SSL协议版本为TLS1.
0.
【视图】SSL客户端策略视图1-10【缺省用户角色】network-admin【参数】ssl3.
0:SSL客户端策略使用的SSL协议版本为SSL3.
0.
tls1.
0:SSL客户端策略使用的SSL协议版本为TLS1.
0.
【使用指导】如果使用本命令配置SSL协议版本为SSL3.
0,但在系统视图下关闭了SSL3.
0版本(通过命令sslversionssl3.
0disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL3.
0版本.
使用本命令配置SSL协议版本为TLS1.
0后,如果系统视图下开启了SSL3.
0版本(通过命令undosslversionssl3.
0disable),则客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接;如果系统视图下关闭了SSL3.
0版本,使用TLS1.
0版本的协议连接服务器失败后,不会切换为SSL3.
0版本的协议再连接.
因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略使用的SSL协议版本为TLS1.
0.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]versiontls1.
0【相关命令】displaysslclient-policy
1SSL配置命令·1-11.
1.
1ciphersuite1-11.
1.
2displaysslclient-policy·1-21.
1.
3displaysslserver-policy1-31.
1.
4prefer-cipher·1-41.
1.
5session·1-61.
1.
6sslclient-policy·1-61.
1.
7sslrenegotiationdisable·1-71.
1.
8sslserver-policy1-81.
1.
9sslversionssl3.
0disable·1-91.
1.
10version1-91-11SSL1.
1SSL配置命令1.
1.
1ciphersuiteciphersuite命令用来配置SSL服务器端策略支持的加密套件.
undociphersuite命令用来恢复缺省情况.
【命令】ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*undociphersuite【缺省情况】SSL服务器端策略支持所有的加密套件.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
1-2rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL服务器端策略支持的各种算法组合.
例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#指定SSL服务器端策略支持如下加密套件:密钥交换算法为DHERSA、数据加密算法为128位的AES、MAC算法为SHA密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHAsystem-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]ciphersuitedhe_rsa_aes_128_cbc_sharsa_aes_128_cbc_sha【相关命令】displaysslserver-policyprefer-cipher1.
1.
2displaysslclient-policydisplaysslclient-policy命令用来显示SSL客户端策略的信息.
【命令】displaysslclient-policy[policy-name]【视图】任意视图1-3【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL客户端策略的信息.
【举例】#显示名为policy1的SSL客户端策略的信息.
displaysslclient-policypolicy1SSLclientpolicy:policy1SSLversion:SSL3.
0PKIdomain:Preferredciphersuite:RSA_AES_128_CBC_SHA表1-1displaysslclient-policy命令显示信息描述表字段描述SSLclientpolicySSL客户端策略名SSLversionSSL客户端策略使用的SSL协议版本PKIdomainSSL客户端策略使用的PKI域PreferredciphersuiteSSL客户端策略支持的加密套件1.
1.
3displaysslserver-policydisplaysslserver-policy命令用来显示SSL服务器端策略的信息.
【命令】displaysslserver-policy[policy-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写.
如果不指定本参数,则显示所有SSL服务器端策略的信息.
【举例】#显示名为policy1的SSL服务器端策略的信息.
displaysslserver-policypolicy11-4SSLserverpolicy:policy1PKIdomain:Ciphersuites:DHE_RSA_AES_128_CBC_SHARSA_AES_128_CBC_SHASessioncachesize:600Cachingtimeout:3600seconds表1-2displaysslserver-policy命令显示信息描述表字段描述SSLserverpolicySSL服务器端策略名PKIdomainSSL服务器端策略使用的PKI域CiphersuitesSSL服务器端策略支持的加密套件SessioncachesizeSSL服务器端可以缓存的最大会话数目CachingtimeoutSSL服务器端会话缓存超时时间(单位为秒)1.
1.
4prefer-cipherprefer-cipher命令用来配置SSL客户端策略支持的加密套件.
undoprefer-cipher命令用来恢复缺省情况.
【命令】prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}undoprefer-cipher【缺省情况】SSL客户端策略支持的加密套件为rsa_rc4_128_md5.
【视图】SSL客户端策略视图【缺省用户角色】network-admin【参数】dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用128位的AES、MAC算法采用SHA.
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHERSA、数据加密算法采用256位的AES、MAC算法采用SHA.
exp_rsa_des_cbc_sha:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
1-5exp_rsa_rc2_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5.
exp_rsa_rc4_md5:满足出口限制的算法套件.
密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5.
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA.
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA.
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA.
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5.
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA.
【使用指导】为了提高安全性,SSL协议采用了如下算法:数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性.
常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等.
使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
MAC(MessageAuthenticationCode,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改.
常用的MAC算法有MD5、SHA等.
使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥.
密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递.
常用的密钥交换算法通常为非对称密钥算法,如RSA.
通过本命令可以配置SSL客户端策略支持的算法组合.
例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA.
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较.
如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha【相关命令】ciphersuitedisplaysslclient-policy1-61.
1.
5sessionsession命令用来配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间.
undosession命令用来恢复缺省情况.
【命令】session{cachesizesize|timeouttime}*undosession{cachesize|timeout}*【缺省情况】SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒.
【视图】SSL服务器端策略视图【缺省用户角色】network-admin【参数】cachesizesize:指定SSL服务器上缓存的最大会话数目.
size为缓存的最大会话数目,取值范围为100~20480.
timeouttime:指定SSL会话缓存的超时时间.
time为会话缓存超时时间,取值范围为1~4294967295,单位为秒.
【使用指导】通过SSL握手协议协商会话参数并建立会话的过程比较复杂.
为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话.
为此,SSL服务器上需要保存已有的会话信息.
保存的会话信息的数目和保存时间具有一定的限制:如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话.
会话保存的时间超过设定的时间后,SSL将删除该会话的信息.
【举例】#配置SSL服务器上缓存的最大会话数目为600个,SSL会话缓存超时时间为1800秒.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]sessioncachesize600timeout1800【相关命令】displaysslserver-policy1.
1.
6sslclient-policysslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图.
如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图.
undosslclient-policy命令用来删除指定的SSL客户端策略.
【命令】sslclient-policypolicy-name1-7undosslclient-policypolicy-name【缺省情况】不存在SSL客户端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如支持的加密套件等.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
【举例】#创建SSL客户端策略policy1,并进入SSL客户端策略视图.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]【相关命令】displaysslclient-policy1.
1.
7sslrenegotiationdisablesslrenegotiationdisable命令用来关闭SSL重协商.
undosslrenegotiationdisable命令用来恢复缺省情况.
【命令】sslrenegotiationdisableundosslrenegotiationdisable【缺省情况】允许SSL重协商.
【视图】系统视图【缺省用户角色】network-admin1-8【使用指导】关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程.
关闭SSL重协商会导致系统付出更多的计算开销,但可以避免潜在的风险,安全性更高.
通常情况下,不建议关闭SSL重协商.
本命令仅用于用户明确要求关闭重协商的场景.
【举例】#关闭SSL重协商.
system-view[Sysname]sslrenegotiationdisable1.
1.
8sslserver-policysslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图.
如果指定的SSL服务器端策略已经存在,则直接进入SSL服务器端策略视图.
undosslserver-policy命令用来删除指定的SSL服务器端策略.
【命令】sslserver-policypolicy-nameundosslserver-policypolicy-name【缺省情况】不存在SSL服务器端策略.
【视图】系统视图【缺省用户角色】network-admin【参数】policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写.
【使用指导】SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用支持的加密套件等.
只有与HTTPS等应用关联后,SSL服务器端策略才能生效.
【举例】#创建SSL服务器端策略policy1,并进入SSL服务器端策略视图.
system-view[Sysname]sslserver-policypolicy1[Sysname-ssl-server-policy-policy1]【相关命令】displaysslserver-policy1-91.
1.
9sslversionssl3.
0disablesslversionssl3.
0disable命令用来关闭SSL3.
0版本.
undosslversionssl3.
0disable命令用来恢复缺省情况.
【命令】sslversionssl3.
0disableundosslversionssl3.
0disable【缺省情况】允许使用SSL3.
0版本.
【视图】系统视图【缺省用户角色】network-admin【使用指导】由于SSL3.
0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
对于SSL客户端,如果在系统视图下关闭了SSL3.
0版本,但在SSL客户端策略视图下配置使用SSL3.
0版本(通过命令versionssl3.
0),则该SSL客户端仍可使用SSL3.
0版本.
对于SSL服务器端,如果在系统视图下关闭了SSL3.
0版本,则SSL服务器端只能使用TLS1.
0版本,否则SSL服务器端自动采用对端设备采用的版本.
如果对端设备仅支持SSL3.
0版本,则为保持互通,本端设备不应关闭SSL3.
0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS1.
0版本.
【举例】#关闭SSL3.
0.
system-view[Sysname]sslversionssl3.
0disable1.
1.
10versionversion命令用来配置SSL客户端策略使用的SSL协议版本.
undoversion命令恢复缺省情况.
【命令】version{ssl3.
0|tls1.
0}undoversion【缺省情况】SSL客户端策略使用的SSL协议版本为TLS1.
0.
【视图】SSL客户端策略视图1-10【缺省用户角色】network-admin【参数】ssl3.
0:SSL客户端策略使用的SSL协议版本为SSL3.
0.
tls1.
0:SSL客户端策略使用的SSL协议版本为TLS1.
0.
【使用指导】如果使用本命令配置SSL协议版本为SSL3.
0,但在系统视图下关闭了SSL3.
0版本(通过命令sslversionssl3.
0disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL3.
0版本.
使用本命令配置SSL协议版本为TLS1.
0后,如果系统视图下开启了SSL3.
0版本(通过命令undosslversionssl3.
0disable),则客户端首先尝试使用TLS1.
0版本的协议连接服务器,若握手失败,则切换为SSL3.
0版本的协议继续尝试连接;如果系统视图下关闭了SSL3.
0版本,使用TLS1.
0版本的协议连接服务器失败后,不会切换为SSL3.
0版本的协议再连接.
因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS1.
0,并在系统视图下关闭SSL3.
0版本.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置SSL客户端策略使用的SSL协议版本为TLS1.
0.
system-view[Sysname]sslclient-policypolicy1[Sysname-ssl-client-policy-policy1]versiontls1.
0【相关命令】displaysslclient-policy
新注册NameCheap账户几天后无法登录原因及解决办法
中午的时候有网友联系提到自己前几天看到Namecheap商家开学季促销活动期间有域名促销活动的,于是就信注册NC账户注册域名的。但是今天登录居然无法登录,这个问题比较困恼是不是商家跑路等问题。Namecheap商家跑路的可能性不大,前几天我还在他们家转移域名的。这里简单的记录我帮助他解决如何重新登录Namecheap商家的问题。1、检查邮件让他检查邮件是不是有官方的邮件提示。比如我们新注册账户是需...
Nocser:马来西亚独立服务器促销$60.00/月
Nocser刚刚在WHT发布了几款促销服务器,Intel Xeon X3430,8GB内存,1TB HDD,30M不限流量,月付$60.00。Nocser是一家注册于马来西亚的主机商,主要经营虚拟主机、VPS和马来西亚独立服务器业务,数据中心位于马来西亚AIMS机房,线路方面,AIMS到国内电信一般,绕日本NTT;联通和移动比较友好,联通走新加坡,移动走香港,延迟都在100左右。促销马来西亚服务器...
HostYun 新增美国三网CN2 GIA VPS主机 采用美国原生IP低至月15元
在之前几个月中也有陆续提到两次HostYun主机商,这个商家前身是我们可能有些网友熟悉的主机分享团队的,后来改名称的。目前这个品牌主营低价便宜VPS主机,这次有可以看到推出廉价版本的美国CN2 GIA VPS主机,月费地址15元,适合有需要入门级且需要便宜的用户。第一、廉价版美国CN2 GIA VPS主机方案我们可看到这个类型的VPS目前三网都走CN2 GIA网络,而且是原生IP。根据信息可能后续...
ssl协议为你推荐
-
解压程序下RAR那个解压软件51自学网站有哪些免费自学网百度手写百度手写怎么不见了手机区号手机电话号码开头95共15位号码是什么手机号码?申请证书申请毕业证书童之磊网文大学很强吗?彩信中心移动的彩信中心是?主页是?收不到彩信,怎么设置?xv播放器下载xv播放器怎么下载?2012年正月十五2012年正月十五上午9点27分出生的女孩儿五行缺什么,命怎么样如何清理ie缓存怎么样清理IE缓存?