配置ssl协议
ssl协议 时间:2021-02-24 阅读:()
i目录1SSL1-11.
1SSL简介·1-11.
1.
1SSL安全机制1-11.
1.
2SSL协议结构1-21.
2SSL配置任务简介·1-21.
3配置SSL服务器端策略1-31.
3.
1SSL服务器端策略配置步骤1-31.
3.
2SSL服务器端策略典型配置举例1-51.
4配置SSL客户端策略·1-71.
5SSL显示和维护·1-81-11SSL设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1SSL简介SSL(SecureSocketsLayer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接.
SSL协议广泛应用于电子商务、网上银行等领域,为应用层数据的传输提供安全性保证.
1.
1.
1SSL安全机制SSL提供的安全连接可以实现如下功能:保证数据传输的机密性:利用对称密钥算法对传输的数据进行加密,并利用密钥交换算法,如RSA(RivestShamirandAdleman),加密传输对称密钥算法中使用的密钥.
对称密钥算法、非对称密钥算法RSA的详细介绍请参见"安全配置指导"中的"公钥管理".
验证数据源的身份:基于数字证书利用数字签名方法对SSL服务器和SSL客户端进行身份验证.
SSL服务器和SSL客户端通过PKI(PublicKeyInfrastructure,公钥基础设施)提供的机制获取数字证书.
PKI及数字证书的详细介绍请参见"安全配置指导"中的"PKI".
保证数据的完整性:消息传输过程中使用MAC(MessageAuthenticationCode,消息验证码)来检验消息的完整性.
MAC算法在密钥的参与下,将任意长度的原始数据转换为固定长度的数据,原始数据的任何变化都会导致计算出的固定长度数据发生变化.
如图1-1所示,利用MAC算法验证消息完整性的过程为:a.
发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者.
b.
接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较.
c.
如果二者相同,则接收者认为报文没有被篡改;否则,认为报文在传输过程中被篡改,接收者将丢弃该报文.
1-2图1-1MAC算法示意图1.
1.
2SSL协议结构如图1-2所示,SSL协议可以分为两层:下层为SSL记录协议(SSLRecordProtocol);上层为SSL握手协议(SSLHandshakeProtocol)、SSL密码变化协议(SSLChangeCipherSpecProtocol)和SSL告警协议(SSLAlertProtocol).
图1-2SSL协议栈SSL记录协议:主要负责对上层的数据进行分块、计算并添加MAC、加密,最后把加密后的记录块传输给对方.
SSL握手协议:用来协商通信过程中使用的加密套件(数据加密算法、密钥交换算法和MAC算法等),实现服务器和客户端的身份验证,并在服务器和客户端之间安全地交换密钥.
客户端和服务器通过握手协议建立会话.
一个会话包含一组参数,主要有会话ID、对方的数字证书、加密套件及主密钥.
SSL密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后的报文都将使用新协商的加密套件和密钥进行保护和传输.
SSL告警协议:用来向对端报告告警信息,以便对端进行相应的处理.
告警消息中包含告警的严重级别和描述.
1.
2SSL配置任务简介表1-1SSL配置任务简介配置任务说明详细配置配置SSL服务器端策略请在SSL服务器端进行本配置1.
3配置SSL客户端策略请在SSL客户端进行本配置1.
4密钥Message发送者Message发送给接收者MAC密钥接收者比较Message计算MAC计算MACMACMAC1-31.
3配置SSL服务器端策略SSL服务器端策略是服务器启动时使用的SSL参数.
只有与HTTPS(HypertextTransferProtocolSecure,超文本传输协议的安全版本)等应用关联后,SSL服务器端策略才能生效.
1.
3.
1SSL服务器端策略配置步骤表1-2配置SSL服务器端策略操作命令说明进入系统视图system-view-(可选)禁止SSL服务器使用指定的SSL版本进行SSL协商非FIPS模式下:sslversion{ssl3.
0|tls1.
0|tls1.
1}*disableundosslversion{ssl3.
0|tls1.
0|tls1.
1}*disableFIPS模式下:sslversion{tls1.
0|tls1.
1}*disableundosslversion{tls1.
0|tls1.
1}*disable非FIPS模式下:缺省情况下,允许SSL服务器使用SSL3.
0、TLS1.
0、TLS1.
1和TLS1.
2版本的协商功能FIPS模式下:缺省情况下,允许使用TLS1.
0、TLS1.
1和TLS1.
2版本的协商功能(可选)配置SSL服务器端关闭SSL重协商sslrenegotiationdisable缺省情况下,允许SSL重协商创建SSL服务器端策略,并进入SSL服务器端策略视图sslserver-policypolicy-name缺省情况下,设备上不存在任何SSL服务器端策略(可选)配置SSL服务器端策略所使用的PKI域pki-domaindomain-name缺省情况下,没有指定SSL服务器端策略所使用的PKI域如果客户端需要对服务器端进行基于数字证书的身份验证,则必须在SSL服务器端使用本命令指定PKI域,并在该PKI域内为SSL服务器端申请本地数字证书PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI"1-4操作命令说明配置SSL服务器端策略支持的加密套件非FIPS模式下:ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_128_cbc_sha256|dhe_rsa_aes_256_cbc_sha|dhe_rsa_aes_256_cbc_sha256|ecdhe_ecdsa_aes_128_cbc_sha256|ecdhe_ecdsa_aes_128_gcm_sha256|ecdhe_ecdsa_aes_256_cbc_sha384|ecdhe_ecdsa_aes_256_gcm_sha384|ecdhe_rsa_aes_128_cbc_sha256|ecdhe_rsa_aes_128_gcm_sha256|ecdhe_rsa_aes_256_cbc_sha384|ecdhe_rsa_aes_256_gcm_sha384|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_128_cbc_sha256|rsa_aes_256_cbc_sha|rsa_aes_256_cbc_sha256|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*FIPS模式下:ciphersuite{ecdhe_ecdsa_aes_128_cbc_sha256|ecdhe_ecdsa_aes_256_cbc_sha384|ecdhe_ecdsa_aes_128_gcm_sha256|ecdhe_ecdsa_aes_256_gcm_sha384|ecdhe_rsa_aes_128_cbc_sha256|ecdhe_rsa_aes_128_gcm_sha256|ecdhe_rsa_aes_256_cbc_sha384|ecdhe_rsa_aes_256_gcm_sha384|rsa_aes_128_cbc_sha|rsa_aes_128_cbc_sha256|rsa_aes_256_cbc_sha|rsa_aes_256_cbc_sha256}*缺省情况下,SSL服务器端策略支持所有的加密套件配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间session{cachesizesize|timeouttime}*缺省情况下,SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒配置SSL服务器端对SSL客户端的身份验证方案client-verify{enable|optional}缺省情况下,SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证SSL服务器端在基于数字证书对SSL客户端进行身份验证时,除了对SSL客户端发送的证书链进行验证,还要检查证书链中的除根CA证书外的每个证书是否均未被吊销1-5目前,SSL协议版本主要有SSL2.
0、SSL3.
0、TLS1.
0、TLS1.
1和TLS1.
2(TLS1.
0对应SSL协议的版本号为3.
1).
设备作为SSL服务器时,缺省情况下,可以与SSL3.
0、TLS1.
0、TLS1.
1和TLS1.
2版本的SSL客户端通信,还可以识别同时兼容SSL2.
0/SSL3.
0/TLS1.
0/TLS1.
1/TLS1.
2版本的SSL客户端发送的报文,并通知该客户端采用SSL3.
0/TLS1.
0/TLS1.
1/TLS1.
2版本与SSL服务器通信.
当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
1.
3.
2SSL服务器端策略典型配置举例1.
组网需求用户可以通过Web页面访问和控制设备.
为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改.
为了满足上述需求,需要进行如下配置:配置Device作为HTTPS服务器,并为Device申请证书.
为HTTPS客户端Host申请证书,以便Device验证其身份.
其中,负责为Device和Host颁发证书的认证机构为CAserver.
本配置举例中,采用WindowsServer作为CA,在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
进行下面的配置之前,需要确保Device、Host、CA之间路由可达.
2.
组网图图1-3SSL服务器端策略组网图3.
配置步骤(1)配置HTTPS服务器Device#配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.
security.
com.
1-6system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server1[Device-pki-entity-en]fqdnssl.
security.
com[Device-pki-entity-en]quit#配置PKI域1,指定信任的CA名称为CAserver、注册服务器的URL为http://10.
1.
2.
2/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en、CRL发布点的URL为http://10.
1.
2.
2/CertEnroll/caserver.
crl.
[Device]pkidomain1[Device-pki-domain-1]caidentifierCAserver[Device-pki-domain-1]certificaterequesturlhttp://10.
1.
2.
2/certsrv/mscep/mscep.
dll[Device-pki-domain-1]certificaterequestfromra[Device-pki-domain-1]certificaterequestentityen[Device-pki-domain-1]crlurlhttp://10.
1.
2.
2/CertEnroll/caserver.
crl#指定证书申请使用的密钥对,用途为通用,名称为abc,密钥长度为1024比特.
[Device-pki-domain-1]public-keyrsageneralnameabclength1024[Device-pki-domain-1]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#获取CA的证书.
[Device]pkiretrieve-certificatedomain1caThetrustedCA'sfingerprintis:MD5fingerprint:76825865ACC27B166F52D60FD9984484SHA1fingerprint:DF6BC53AE6455C81D6FC09B03459DFD194F63DDEIsthefingerprintcorrect(Y/N):yRetrievedthecertificatessuccessfully.
#为Device申请证书.
[Device]pkirequest-certificatedomain1Starttorequestgeneralcertificate.
.
.
Certificaterequestedsuccessfully.
#创建一个名为myssl的SSL服务器端策略.
[Device]sslserver-policymyssl#配置SSL服务器端策略使用的PKI域名为1.
[Device-ssl-server-policy-myssl]pki-domain1#配置服务器端需要验证客户端身份.
[Device-ssl-server-policy-myssl]client-verifyenable[Device-ssl-server-policy-myssl]quit#配置HTTPS服务使用的SSL策略为myssl.
1-7[Device]iphttpsssl-server-policymyssl#开启HTTPS服务.
[Device]iphttpsenable#创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin.
[Device]local-userusera[Device-luser-usera]passwordsimple123[Device-luser-usera]service-typehttps[Device-luser-usera]authorization-attributeuser-rolenetwork-admin(2)配置HTTPS客户端Host在Host上打开IE浏览器,输入网址http://10.
1.
2.
2/certsrv,根据提示为Host申请证书.
(3)验证配置结果在Host上打开IE浏览器,输入网址https://10.
1.
1.
1,选择CAserver为Host颁发的证书,即可打开Device的Web登录页面.
在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制.
PKI配置命令的详细介绍请参见"安全命令参考"中的"PKI".
public-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理".
HTTPS的详细介绍,请参见"基础配置指导"中的"配置通过Web登录设备".
1.
4配置SSL客户端策略SSL客户端策略是客户端连接SSL服务器时使用的参数.
只有与应用层协议,如FTP(FileTransferProtocol,文件传输协议),关联后,SSL客户端策略才能生效.
FTP的详细配置请参见"基础配置指导"中的"FTP和TFTP".
表1-3配置SSL客户端策略配置任务命令说明进入系统视图system-view-(可选)配置SSL客户端关闭SSL重协商sslrenegotiationdisable缺省情况下,允许SSL重协商创建SSL客户端策略,并进入SSL客户端策略视图sslclient-policypolicy-name缺省情况下,设备上不存在任何SSL客户端策略(可选)配置SSL客户端策略所使用的PKI域pki-domaindomain-name缺省情况下,没有指定SSL客户端策略所使用的PKI域如果服务器端需要对客户端进行基于数字证书的身份验证,则必须在SSL客户端使用本命令指定PKI域,并在该PKI域内为SSL客户端申请本地数字证书PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI"1-8配置任务命令说明配置SSL客户端策略支持的加密套件非FIPS模式下:prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_128_cbc_sha256|dhe_rsa_aes_256_cbc_sha|dhe_rsa_aes_256_cbc_sha256|ecdhe_ecdsa_aes_128_cbc_sha256|ecdhe_ecdsa_aes_128_gcm_sha256|ecdhe_ecdsa_aes_256_cbc_sha384|ecdhe_ecdsa_aes_256_gcm_sha384|ecdhe_rsa_aes_128_cbc_sha256|ecdhe_rsa_aes_128_gcm_sha256|ecdhe_rsa_aes_256_cbc_sha384|ecdhe_rsa_aes_256_gcm_sha384|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_128_cbc_sha256|rsa_aes_256_cbc_sha|rsa_aes_256_cbc_sha256|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}FIPS模式下:prefer-cipher{ecdhe_ecdsa_aes_128_cbc_sha256|ecdhe_ecdsa_aes_128_gcm_sha256|ecdhe_ecdsa_aes_256_cbc_sha384|ecdhe_ecdsa_aes_256_gcm_sha384|ecdhe_rsa_aes_128_cbc_sha256|ecdhe_rsa_aes_128_gcm_sha256|ecdhe_rsa_aes_256_cbc_sha384|ecdhe_rsa_aes_256_gcm_sha384|rsa_aes_128_cbc_sha|rsa_aes_128_cbc_sha256|rsa_aes_256_cbc_sha|rsa_aes_256_cbc_sha256}非FIPS模式下:缺省情况下,SSL客户端策略支持的加密套件为rsa_rc4_128_md5FIPS模式下:缺省情况下,SSL客户端策略支持的加密套件为rsa_aes_128_cbc_sha配置SSL客户端策略使用的SSL协议版本非FIPS模式下:version{ssl3.
0|tls1.
0|tls1.
1|tls1.
2}FIPS模式下:version{tls1.
0|tls1.
1|tls1.
2}缺省情况下,SSL客户端策略使用的SSL协议版本为TLS1.
0对安全性要求较高的环境下,建议为不要为SSL客户端指定SSL3.
0版本配置客户端需要对服务器端进行基于数字证书的身份验证server-verifyenable缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证1.
5SSL显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后SSL的运行情况,通过查看显示信息验证配置的效果.
表1-4SSL显示和维护操作命令显示算法库的版本号displaycryptoversion1-9操作命令显示SSL服务器端策略的信息displaysslserver-policy[policy-name]显示SSL客户端策略的信息displaysslclient-policy[policy-name]
1SSL简介·1-11.
1.
1SSL安全机制1-11.
1.
2SSL协议结构1-21.
2SSL配置任务简介·1-21.
3配置SSL服务器端策略1-31.
3.
1SSL服务器端策略配置步骤1-31.
3.
2SSL服务器端策略典型配置举例1-51.
4配置SSL客户端策略·1-71.
5SSL显示和维护·1-81-11SSL设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1SSL简介SSL(SecureSocketsLayer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接.
SSL协议广泛应用于电子商务、网上银行等领域,为应用层数据的传输提供安全性保证.
1.
1.
1SSL安全机制SSL提供的安全连接可以实现如下功能:保证数据传输的机密性:利用对称密钥算法对传输的数据进行加密,并利用密钥交换算法,如RSA(RivestShamirandAdleman),加密传输对称密钥算法中使用的密钥.
对称密钥算法、非对称密钥算法RSA的详细介绍请参见"安全配置指导"中的"公钥管理".
验证数据源的身份:基于数字证书利用数字签名方法对SSL服务器和SSL客户端进行身份验证.
SSL服务器和SSL客户端通过PKI(PublicKeyInfrastructure,公钥基础设施)提供的机制获取数字证书.
PKI及数字证书的详细介绍请参见"安全配置指导"中的"PKI".
保证数据的完整性:消息传输过程中使用MAC(MessageAuthenticationCode,消息验证码)来检验消息的完整性.
MAC算法在密钥的参与下,将任意长度的原始数据转换为固定长度的数据,原始数据的任何变化都会导致计算出的固定长度数据发生变化.
如图1-1所示,利用MAC算法验证消息完整性的过程为:a.
发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者.
b.
接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较.
c.
如果二者相同,则接收者认为报文没有被篡改;否则,认为报文在传输过程中被篡改,接收者将丢弃该报文.
1-2图1-1MAC算法示意图1.
1.
2SSL协议结构如图1-2所示,SSL协议可以分为两层:下层为SSL记录协议(SSLRecordProtocol);上层为SSL握手协议(SSLHandshakeProtocol)、SSL密码变化协议(SSLChangeCipherSpecProtocol)和SSL告警协议(SSLAlertProtocol).
图1-2SSL协议栈SSL记录协议:主要负责对上层的数据进行分块、计算并添加MAC、加密,最后把加密后的记录块传输给对方.
SSL握手协议:用来协商通信过程中使用的加密套件(数据加密算法、密钥交换算法和MAC算法等),实现服务器和客户端的身份验证,并在服务器和客户端之间安全地交换密钥.
客户端和服务器通过握手协议建立会话.
一个会话包含一组参数,主要有会话ID、对方的数字证书、加密套件及主密钥.
SSL密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后的报文都将使用新协商的加密套件和密钥进行保护和传输.
SSL告警协议:用来向对端报告告警信息,以便对端进行相应的处理.
告警消息中包含告警的严重级别和描述.
1.
2SSL配置任务简介表1-1SSL配置任务简介配置任务说明详细配置配置SSL服务器端策略请在SSL服务器端进行本配置1.
3配置SSL客户端策略请在SSL客户端进行本配置1.
4密钥Message发送者Message发送给接收者MAC密钥接收者比较Message计算MAC计算MACMACMAC1-31.
3配置SSL服务器端策略SSL服务器端策略是服务器启动时使用的SSL参数.
只有与HTTPS(HypertextTransferProtocolSecure,超文本传输协议的安全版本)等应用关联后,SSL服务器端策略才能生效.
1.
3.
1SSL服务器端策略配置步骤表1-2配置SSL服务器端策略操作命令说明进入系统视图system-view-(可选)禁止SSL服务器使用指定的SSL版本进行SSL协商非FIPS模式下:sslversion{ssl3.
0|tls1.
0|tls1.
1}*disableundosslversion{ssl3.
0|tls1.
0|tls1.
1}*disableFIPS模式下:sslversion{tls1.
0|tls1.
1}*disableundosslversion{tls1.
0|tls1.
1}*disable非FIPS模式下:缺省情况下,允许SSL服务器使用SSL3.
0、TLS1.
0、TLS1.
1和TLS1.
2版本的协商功能FIPS模式下:缺省情况下,允许使用TLS1.
0、TLS1.
1和TLS1.
2版本的协商功能(可选)配置SSL服务器端关闭SSL重协商sslrenegotiationdisable缺省情况下,允许SSL重协商创建SSL服务器端策略,并进入SSL服务器端策略视图sslserver-policypolicy-name缺省情况下,设备上不存在任何SSL服务器端策略(可选)配置SSL服务器端策略所使用的PKI域pki-domaindomain-name缺省情况下,没有指定SSL服务器端策略所使用的PKI域如果客户端需要对服务器端进行基于数字证书的身份验证,则必须在SSL服务器端使用本命令指定PKI域,并在该PKI域内为SSL服务器端申请本地数字证书PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI"1-4操作命令说明配置SSL服务器端策略支持的加密套件非FIPS模式下:ciphersuite{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_128_cbc_sha256|dhe_rsa_aes_256_cbc_sha|dhe_rsa_aes_256_cbc_sha256|ecdhe_ecdsa_aes_128_cbc_sha256|ecdhe_ecdsa_aes_128_gcm_sha256|ecdhe_ecdsa_aes_256_cbc_sha384|ecdhe_ecdsa_aes_256_gcm_sha384|ecdhe_rsa_aes_128_cbc_sha256|ecdhe_rsa_aes_128_gcm_sha256|ecdhe_rsa_aes_256_cbc_sha384|ecdhe_rsa_aes_256_gcm_sha384|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_128_cbc_sha256|rsa_aes_256_cbc_sha|rsa_aes_256_cbc_sha256|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*FIPS模式下:ciphersuite{ecdhe_ecdsa_aes_128_cbc_sha256|ecdhe_ecdsa_aes_256_cbc_sha384|ecdhe_ecdsa_aes_128_gcm_sha256|ecdhe_ecdsa_aes_256_gcm_sha384|ecdhe_rsa_aes_128_cbc_sha256|ecdhe_rsa_aes_128_gcm_sha256|ecdhe_rsa_aes_256_cbc_sha384|ecdhe_rsa_aes_256_gcm_sha384|rsa_aes_128_cbc_sha|rsa_aes_128_cbc_sha256|rsa_aes_256_cbc_sha|rsa_aes_256_cbc_sha256}*缺省情况下,SSL服务器端策略支持所有的加密套件配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间session{cachesizesize|timeouttime}*缺省情况下,SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒配置SSL服务器端对SSL客户端的身份验证方案client-verify{enable|optional}缺省情况下,SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证SSL服务器端在基于数字证书对SSL客户端进行身份验证时,除了对SSL客户端发送的证书链进行验证,还要检查证书链中的除根CA证书外的每个证书是否均未被吊销1-5目前,SSL协议版本主要有SSL2.
0、SSL3.
0、TLS1.
0、TLS1.
1和TLS1.
2(TLS1.
0对应SSL协议的版本号为3.
1).
设备作为SSL服务器时,缺省情况下,可以与SSL3.
0、TLS1.
0、TLS1.
1和TLS1.
2版本的SSL客户端通信,还可以识别同时兼容SSL2.
0/SSL3.
0/TLS1.
0/TLS1.
1/TLS1.
2版本的SSL客户端发送的报文,并通知该客户端采用SSL3.
0/TLS1.
0/TLS1.
1/TLS1.
2版本与SSL服务器通信.
当设备对系统安全性有较高要求时可以通过命令行关闭SSL3.
0版本.
1.
3.
2SSL服务器端策略典型配置举例1.
组网需求用户可以通过Web页面访问和控制设备.
为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改.
为了满足上述需求,需要进行如下配置:配置Device作为HTTPS服务器,并为Device申请证书.
为HTTPS客户端Host申请证书,以便Device验证其身份.
其中,负责为Device和Host颁发证书的认证机构为CAserver.
本配置举例中,采用WindowsServer作为CA,在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
进行下面的配置之前,需要确保Device、Host、CA之间路由可达.
2.
组网图图1-3SSL服务器端策略组网图3.
配置步骤(1)配置HTTPS服务器Device#配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.
security.
com.
1-6system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server1[Device-pki-entity-en]fqdnssl.
security.
com[Device-pki-entity-en]quit#配置PKI域1,指定信任的CA名称为CAserver、注册服务器的URL为http://10.
1.
2.
2/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en、CRL发布点的URL为http://10.
1.
2.
2/CertEnroll/caserver.
crl.
[Device]pkidomain1[Device-pki-domain-1]caidentifierCAserver[Device-pki-domain-1]certificaterequesturlhttp://10.
1.
2.
2/certsrv/mscep/mscep.
dll[Device-pki-domain-1]certificaterequestfromra[Device-pki-domain-1]certificaterequestentityen[Device-pki-domain-1]crlurlhttp://10.
1.
2.
2/CertEnroll/caserver.
crl#指定证书申请使用的密钥对,用途为通用,名称为abc,密钥长度为1024比特.
[Device-pki-domain-1]public-keyrsageneralnameabclength1024[Device-pki-domain-1]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersanameabcTherangeofpublickeysizeis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
Createthekeypairsuccessfully.
#获取CA的证书.
[Device]pkiretrieve-certificatedomain1caThetrustedCA'sfingerprintis:MD5fingerprint:76825865ACC27B166F52D60FD9984484SHA1fingerprint:DF6BC53AE6455C81D6FC09B03459DFD194F63DDEIsthefingerprintcorrect(Y/N):yRetrievedthecertificatessuccessfully.
#为Device申请证书.
[Device]pkirequest-certificatedomain1Starttorequestgeneralcertificate.
.
.
Certificaterequestedsuccessfully.
#创建一个名为myssl的SSL服务器端策略.
[Device]sslserver-policymyssl#配置SSL服务器端策略使用的PKI域名为1.
[Device-ssl-server-policy-myssl]pki-domain1#配置服务器端需要验证客户端身份.
[Device-ssl-server-policy-myssl]client-verifyenable[Device-ssl-server-policy-myssl]quit#配置HTTPS服务使用的SSL策略为myssl.
1-7[Device]iphttpsssl-server-policymyssl#开启HTTPS服务.
[Device]iphttpsenable#创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin.
[Device]local-userusera[Device-luser-usera]passwordsimple123[Device-luser-usera]service-typehttps[Device-luser-usera]authorization-attributeuser-rolenetwork-admin(2)配置HTTPS客户端Host在Host上打开IE浏览器,输入网址http://10.
1.
2.
2/certsrv,根据提示为Host申请证书.
(3)验证配置结果在Host上打开IE浏览器,输入网址https://10.
1.
1.
1,选择CAserver为Host颁发的证书,即可打开Device的Web登录页面.
在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制.
PKI配置命令的详细介绍请参见"安全命令参考"中的"PKI".
public-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理".
HTTPS的详细介绍,请参见"基础配置指导"中的"配置通过Web登录设备".
1.
4配置SSL客户端策略SSL客户端策略是客户端连接SSL服务器时使用的参数.
只有与应用层协议,如FTP(FileTransferProtocol,文件传输协议),关联后,SSL客户端策略才能生效.
FTP的详细配置请参见"基础配置指导"中的"FTP和TFTP".
表1-3配置SSL客户端策略配置任务命令说明进入系统视图system-view-(可选)配置SSL客户端关闭SSL重协商sslrenegotiationdisable缺省情况下,允许SSL重协商创建SSL客户端策略,并进入SSL客户端策略视图sslclient-policypolicy-name缺省情况下,设备上不存在任何SSL客户端策略(可选)配置SSL客户端策略所使用的PKI域pki-domaindomain-name缺省情况下,没有指定SSL客户端策略所使用的PKI域如果服务器端需要对客户端进行基于数字证书的身份验证,则必须在SSL客户端使用本命令指定PKI域,并在该PKI域内为SSL客户端申请本地数字证书PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI"1-8配置任务命令说明配置SSL客户端策略支持的加密套件非FIPS模式下:prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_128_cbc_sha256|dhe_rsa_aes_256_cbc_sha|dhe_rsa_aes_256_cbc_sha256|ecdhe_ecdsa_aes_128_cbc_sha256|ecdhe_ecdsa_aes_128_gcm_sha256|ecdhe_ecdsa_aes_256_cbc_sha384|ecdhe_ecdsa_aes_256_gcm_sha384|ecdhe_rsa_aes_128_cbc_sha256|ecdhe_rsa_aes_128_gcm_sha256|ecdhe_rsa_aes_256_cbc_sha384|ecdhe_rsa_aes_256_gcm_sha384|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_128_cbc_sha256|rsa_aes_256_cbc_sha|rsa_aes_256_cbc_sha256|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}FIPS模式下:prefer-cipher{ecdhe_ecdsa_aes_128_cbc_sha256|ecdhe_ecdsa_aes_128_gcm_sha256|ecdhe_ecdsa_aes_256_cbc_sha384|ecdhe_ecdsa_aes_256_gcm_sha384|ecdhe_rsa_aes_128_cbc_sha256|ecdhe_rsa_aes_128_gcm_sha256|ecdhe_rsa_aes_256_cbc_sha384|ecdhe_rsa_aes_256_gcm_sha384|rsa_aes_128_cbc_sha|rsa_aes_128_cbc_sha256|rsa_aes_256_cbc_sha|rsa_aes_256_cbc_sha256}非FIPS模式下:缺省情况下,SSL客户端策略支持的加密套件为rsa_rc4_128_md5FIPS模式下:缺省情况下,SSL客户端策略支持的加密套件为rsa_aes_128_cbc_sha配置SSL客户端策略使用的SSL协议版本非FIPS模式下:version{ssl3.
0|tls1.
0|tls1.
1|tls1.
2}FIPS模式下:version{tls1.
0|tls1.
1|tls1.
2}缺省情况下,SSL客户端策略使用的SSL协议版本为TLS1.
0对安全性要求较高的环境下,建议为不要为SSL客户端指定SSL3.
0版本配置客户端需要对服务器端进行基于数字证书的身份验证server-verifyenable缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证1.
5SSL显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后SSL的运行情况,通过查看显示信息验证配置的效果.
表1-4SSL显示和维护操作命令显示算法库的版本号displaycryptoversion1-9操作命令显示SSL服务器端策略的信息displaysslserver-policy[policy-name]显示SSL客户端策略的信息displaysslclient-policy[policy-name]
创梦云 香港沙田、长沙联通2核1G仅需29元一个月 挂机宝7元一个月
商家介绍:创梦云是来自国内的主机销售商,成立于2018年4月30日,创梦云前期主要从事免备案虚拟主机产品销售,现在将提供5元挂机宝、特惠挂机宝、香港云服务器、美国云服务器、低价挂机宝等产品销售。主打高性价比高稳定性挂机宝、香港云服务器、美国云服务器、香港虚拟主机、美国虚拟主机。官方网站:http://cmy0.vnetdns.com本次促销产品:地区CPU内存硬盘带宽价格购买地址香港特价云服务器1...
HostKvm - 夏季云服务器七折优惠 香港和韩国机房月付5.95美元起
HostKvm,我们很多人都算是比较熟悉的国人服务商,旗下也有多个品牌,差异化多占位策略营销的,商家是一个创建于2013年的品牌,有提供中国香港、美国、日本、新加坡区域虚拟化服务器业务,所有业务均对中国大陆地区线路优化,已经如果做海外线路的话,竞争力不够。今天有看到HostKvm夏季优惠发布,主要针对香港国际和韩国VPS提供7折优惠,折后最低月付5.95美元,其他机房VPS依然是全场8折。第一、夏...
新网,域名7月盛夏1核心2G内存.COM域名仅19.9元/首年,主机9.9元/月,企业邮箱0元体验
新网好不好?新网域名便宜吗?新网怎么样?新网是国内老牌知名域名注册商,企业正规化运营,资质齐全,与阿里云万网和腾讯云DNSPOD同为国内服务商巨头。近日新网发布了最新的七月放价季优惠活动,主要针对域名、云主机、企业邮箱、SSL证书等多款云产品推送了超值的优惠,其中.com顶级域名仅19.9元/首年,.cn域名仅16元/首年,云主机1核心2G内存3Mbps带宽仅9.9元/月,企业邮箱更是免费送1年,...
ssl协议为你推荐
-
ptrPTR指的是什么?人人时光机现在世界上有时光机吗bluestacksbluestacks到底是叫蓝手指还是叫蓝叠依赖注入请问下依赖注入的三种方式的区别百度手写百度如何手写:镜像文件是什么系统镜像是什么唱吧电脑版官方下载唱吧有电脑版的么? 在哪里下载啊?qq怎么发邮件用QQ怎样发送文件vbscript教程vbs 学习方法以及 vbs 实例 有编程基础迅雷云点播账号求百度云或者迅雷云播账号密码