- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-SSL命令
本章節下載: 09-SSL命令 (150.80 KB)
目 錄
1.1.3 display ssl server-policy
1.1.4 pki-domain (SSL server policy view)
1.2.1 display ssl client-policy
1.2.2 pki-domain (SSL client policy view)
設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
ciphersuite命令用來配置SSL服務器端策略支持的加密套件。
undo ciphersuite命令用來恢複缺省情況。
【命令】
非FIPS模式下:
ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } *
undo ciphersuite
FIPS模式下:
ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha } *
undo ciphersuite
【缺省情況】
SSL服務器端策略支持所有的加密套件。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【參數】
dhe_rsa_aes_128_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES、MAC算法采用SHA。
exp_rsa_des_cbc_sha:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC2、MAC算法采用MD5。
exp_rsa_rc4_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC4、MAC算法采用MD5。
rsa_3des_ede_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_des_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用SHA。
【使用指導】
為了提高安全性,SSL協議采用了如下算法:
· 數據加密算法:用來對傳輸的數據進行加密,以保證數據傳輸的私密性。常用的數據加密算法通常為對稱密鑰算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用對稱密鑰算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· MAC(Message Authentication Code,消息驗證碼)算法:用來計算數據的MAC值,以防止發送的數據被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· 密鑰交換算法:用來實現密鑰交換,以保證對稱密鑰算法、MAC算法中使用的密鑰在SSL服務器端和SSL客戶端之間安全地傳遞。常用的密鑰交換算法通常為非對稱密鑰算法,如RSA。
通過本命令可以配置SSL服務器端策略支持的各種算法組合。例如,rsa_des_cbc_sha表示SSL服務器端策略支持的密鑰交換算法為RSA、數據加密算法為DES_CBC、MAC算法為SHA。
SSL服務器接收到SSL客戶端發送的客戶端加密套件後,將服務器支持的加密套件與SSL客戶端支持的加密套件比較。如果SSL服務器支持的加密套件中存在SSL客戶端支持的加密套件,則加密套件協商成功;否則,加密套件協商失敗。
需要注意的是,如果多次執行本命令,則新的配置覆蓋原有配置。
【舉例】
# 指定SSL服務器端策略支持如下加密套件:密鑰交換算法為RSA、數據加密算法為128位的AES、MAC算法為SHA
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] ciphersuite rsa_aes_128_cbc_sha
【相關命令】
· display ssl server-policy
· prefer-cipher
client-verify enable命令用來配置SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。undo client-verify enable命令用來恢複缺省情況。
【命令】
client-verify enable
undo client-verify enable
【缺省情況】
SSL服務器端不要求對SSL客戶端進行基於數字證書的身份驗證。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【使用指導】
SSL通過數字證書實現對對端的身份進行驗證。數字證書的詳細介紹,請參見“安全配置指導”中的“PKI”。
如果執行了client-verify enable命令,則SSL客戶端必須將自己的數字證書提供給服務器,以便服務器對客戶端進行基於數字證書的身份驗證。隻有身份驗證通過後,SSL客戶端才能訪問SSL服務器。
【舉例】
# 配置SSL服務器端要求對SSL客戶端進行基於數字證書的身份驗證。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify enable
【相關命令】
· display ssl server-policy
display ssl server-policy命令用來顯示SSL服務器端策略的信息。
【命令】
display ssl server-policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
policy-name:顯示指定的SSL服務器端策略的信息,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則顯示所有SSL服務器端策略的信息。
【舉例】
# 顯示名為policy1的SSL服務器端策略的信息。
<Sysname> display ssl server-policy policy1
SSL server policy: policy1
PKI domain: server-domain
Ciphersuites:
RSA_AES_128_CBC_SHA
Session cache size: 600
Client-verify: enabled
表1-1 display ssl server-policy命令顯示信息描述表
|
字段 |
描述 |
|
SSL server policy |
SSL服務器端策略名 |
|
PKI domain |
SSL服務器端策略使用的PKI域 |
|
Ciphersuites |
SSL服務器端策略支持的加密套件 |
|
Session cache size |
SSL服務器端可以緩存的最大會話數目 |
|
Client-verify |
SSL服務器端策略的客戶端驗證模式,取值包括: · disabled:不要求對客戶端進行基於數字證書的身份驗證 · enabled:要求對客戶端進行基於數字證書的身份驗證 |
pki-domain命令用來配置SSL服務器端策略所使用的PKI域。
undo pki-domain命令用來恢複缺省情況。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情況】
沒有指定SSL服務器端策略所使用的PKI域。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:PKI域的域名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
如果通過本命令指定了SSL服務器端策略使用的PKI域,則引用該服務器端策略的SSL服務器將通過該PKI域獲取服務器端的數字證書。
【舉例】
# 配置SSL服務器端策略所使用的PKI域為server-domain。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] pki-domain server-domain
【相關命令】
· display ssl server-policy
· pki domain(安全命令參考/PKI)
session cachesize命令用來配置SSL服務器上可以緩存的最大會話數目。
undo session cachesize命令用來恢複缺省情況。
【命令】
session cachesize size
undo session cachesize
【缺省情況】
SSL服務器上可以緩存的最大會話數目為500個。
【視圖】
SSL服務器端策略視圖
【缺省用戶角色】
network-admin
【參數】
size:緩存的最大會話數目,取值範圍為100~1000。
【使用指導】
通過SSL握手協議協商會話參數並建立會話的過程比較複雜。為了簡化SSL握手過程,SSL允許重用已經協商出的會話參數建立會話。為此,SSL服務器上需要保存已有的會話信息。本命令用來限製可以保存的會話數目。如果緩存的會話數目達到最大值,SSL將拒絕緩存新協商出的會話。
【舉例】
# 配置SSL服務器上可以緩存的最大會話數目為600個。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] session cachesize 600
【相關命令】
· display ssl server-policy
ssl server-policy命令用來創建SSL服務器端策略,並進入SSL服務器端策略視圖。
undo ssl server-policy命令用來刪除已創建的SSL服務器端策略。
【命令】
ssl server-policy policy-name
undo ssl server-policy policy-name
【缺省情況】
設備上不存在任何SSL服務器端策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:SSL服務器端策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
SSL服務器端策略視圖下可以配置SSL服務器啟動時使用的SSL參數,如使用的PKI域、支持的加密套件等。隻有與HTTPS等應用關聯後,SSL服務器端策略才能生效。
【舉例】
# 創建SSL服務器端策略policy1,並進入SSL服務器端策略視圖。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1]
【相關命令】
· display ssl server-policy
display ssl client-policy命令用來顯示SSL客戶端策略的信息。
【命令】
display ssl client-policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
policy-name:顯示指定的SSL客戶端策略的信息,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則顯示所有SSL客戶端策略的信息。
【舉例】
# 顯示名為policy1的SSL客戶端策略的信息。
<Sysname> display ssl client-policy policy1
SSL client policy: policy1
SSL version: SSL 3.0
PKI domain: client-domain
Preferred ciphersuite:
RSA_AES_128_CBC_SHA
Server-verify: enabled
表1-2 display ssl client-policy命令顯示信息描述表
|
字段 |
描述 |
|
SSL client policy |
SSL客戶端策略名 |
|
SSL version |
SSL客戶端策略使用的SSL協議版本 |
|
PKI domain |
SSL客戶端策略使用的PKI域 |
|
Preferred ciphersuite |
SSL客戶端策略支持的加密套件 |
|
Server-verify |
SSL客戶端策略的服務器端驗證模式,取值包括: · disabled:不要求對SSL服務器進行基於數字證書的身份驗證 · enabled:要求對SSL服務器進行基於數字證書的身份驗證 |
pki-domain命令用來配置SSL客戶端策略所使用的PKI域。
undo pki-domain命令用來恢複缺省情況。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情況】
沒有指定SSL客戶端策略所使用的PKI域。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:PKI域的域名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
如果通過本命令指定了SSL客戶端策略使用的PKI域,則引用該客戶端策略的SSL客戶端將通過該PKI域獲取客戶端的數字證書。
【舉例】
# 配置SSL客戶端策略所使用的PKI域為client-domain。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] pki-domain client-domain
【相關命令】
· display ssl client-policy
· pki domain(安全命令參考/PKI)
prefer-cipher命令用來配置SSL客戶端策略支持的加密套件。
undo prefer-cipher命令用來恢複缺省情況。
【命令】
非FIPS模式下:
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }
undo prefer-cipher
FIPS模式下:
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha }
undo prefer-cipher
【缺省情況】
非FIPS模式下:
SSL客戶端策略支持的加密套件為rsa_rc4_128_md5。
FIPS模式下:
SSL客戶端策略支持的加密套件為rsa_aes_128_cbc_sha。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
【參數】
dhe_rsa_aes_128_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用128位的AES、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha:密鑰交換算法采用DHE RSA、數據加密算法采用256位的AES、MAC算法采用SHA。
exp_rsa_des_cbc_sha:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC2、MAC算法采用MD5。
exp_rsa_rc4_md5:滿足出口限製的算法套件。密鑰交換算法采用RSA、數據加密算法采用RC4、MAC算法采用MD5。
rsa_3des_ede_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_des_cbc_sha:密鑰交換算法采用RSA、數據加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密鑰交換算法采用RSA、數據加密算法采用128位的RC4、MAC算法采用SHA。
【使用指導】
為了提高安全性,SSL協議采用了如下算法:
· 數據加密算法:用來對傳輸的數據進行加密,以保證數據傳輸的私密性。常用的數據加密算法通常為對稱密鑰算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用對稱密鑰算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· MAC(Message Authentication Code,消息驗證碼)算法:用來計算數據的MAC值,以防止發送的數據被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法時,要求SSL服務器端和SSL客戶端具有相同的密鑰。
· 密鑰交換算法:用來實現密鑰交換,以保證對稱密鑰算法、MAC算法中使用的密鑰在SSL服務器端和SSL客戶端之間安全地傳遞。常用的密鑰交換算法通常為非對稱密鑰算法,如RSA。
通過本命令可以配置SSL客戶端策略支持的算法組合。例如,rsa_des_cbc_sha表示SSL客戶端支持的密鑰交換算法為RSA、數據加密算法為DES_CBC、MAC算法為SHA。
SSL客戶端將本端支持的加密套件發送給SSL服務器,SSL服務器將自己支持的加密套件與SSL客戶端支持的加密套件比較。如果SSL服務器支持的加密套件中存在SSL客戶端支持的加密套件,則加密套件協商成功;否則,加密套件協商失敗。
需要注意的是,如果多次執行本命令,則新的配置覆蓋原有配置。
【舉例】
# 配置SSL客戶端策略支持的加密套件為:密鑰交換算法采用RSA、數據加密算法采用128位AES_CBC、MAC算法采用SHA。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha
【相關命令】
· ciphersuite
· display ssl client-policy
server-verify enable命令用來配置客戶端需要對服務器端進行基於數字證書的身份驗證。
undo server-verify enable命令用來配置客戶端不要求對服務器端進行基於數字證書的身份驗證,默認SSL服務器身份合法。
【命令】
server-verify enable
undo server-verify enable
【缺省情況】
SSL客戶端需要對SSL服務器端進行基於數字證書的身份驗證。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
【使用指導】
SSL通過數字證書實現對對端的身份進行驗證。數字證書的詳細介紹,請參見“安全配置指導”中的“PKI”。
如果執行了server-verify enable命令,則SSL服務器端需要將自己的數字證書提供給客戶端,以便客戶端對服務器端進行基於數字證書的身份驗證。隻有身份驗證通過後,SSL客戶端才會訪問該SSL服務器。
【舉例】
# 配置SSL客戶端需要對SSL服務器端進行基於數字證書的身份驗證。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] server-verify enable
【相關命令】
· display ssl client-policy
ssl client-policy命令用來創建SSL客戶端策略,並進入SSL客戶端策略視圖。
undo ssl client-policy命令用來刪除已創建的SSL客戶端策略。
【命令】
ssl client-policy policy-name
undo ssl client-policy policy-name
【缺省情況】
設備上不存在任何SSL客戶端策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:SSL客戶端策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
SSL客戶端策略視圖下可以配置SSL客戶端啟動時使用的SSL參數,如使用的PKI域、支持的加密套件等。隻有與應用層協議,如DDNS(Dynamic Domain Name System,動態域名係統),關聯後,SSL客戶端策略才能生效。
【舉例】
# 創建SSL客戶端策略policy1,並進入SSL客戶端策略視圖。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1]
【相關命令】
· display ssl client-policy
version命令用來配置SSL客戶端策略使用的SSL協議版本。
undo version命令恢複缺省情況。
【命令】
非FIPS模式下:
version { ssl3.0 | tls1.0 }
undo version
FIPS模式下:
version tls1.0
undo version
【缺省情況】
SSL客戶端策略使用的SSL協議版本為TLS 1.0。
【視圖】
SSL客戶端策略視圖
【缺省用戶角色】
network-admin
【參數】
ssl3.0:版本為SSL 3.0。
tls1.0:版本為TLS 1.0。
【使用指導】
如果多次執行本命令,則新的配置覆蓋原有配置。
【舉例】
# 配置SSL客戶端策略使用的SSL協議版本為TLS 1.0。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] version tls1.0
【相關命令】
· display ssl client-policy
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
