选择区域语言: EN CN HK

10-安全命令参考

13-SSL命令

本章节下载  (156.76 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_SR6600-X_CR(V5)-R3303(V1.23)/10/201702/973908_30005_0.htm

13-SSL命令

  录

1 SSL················································································································································· 1-1

1.1 SSL配置命令·························································································································· 1-1

1.1.1 ciphersuite····················································································································· 1-1

1.1.2 client-verify enable·········································································································· 1-2

1.1.3 client-verify weaken········································································································ 1-3

1.1.4 close-mode wait············································································································· 1-3

1.1.5 display ssl client-policy··································································································· 1-4

1.1.6 display ssl server-policy·································································································· 1-5

1.1.7 handshake timeout········································································································· 1-7

1.1.8 pki-domain····················································································································· 1-7

1.1.9 prefer-cipher··················································································································· 1-8

1.1.10 server-verify enable······································································································· 1-9

1.1.11 session······················································································································ 1-10

1.1.12 ssl client-policy·········································································································· 1-10

1.1.13 ssl server-policy·········································································································· 1-11

1.1.14 ssl version ssl3.0 disable····························································································· 1-12

1.1.15 version······················································································································· 1-12

 


1 SSL

说明

本节命令仅在SR6602路由器上支持。

 

1.1  SSL配置命令

1.1.1  ciphersuite

【命令】

在非FIPS模式下:

ciphersuite [ rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha ] *

在FIPS模式下:

ciphersuite [ dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha ] *

【视图】

SSL服务器端策略视图

【缺省级别】

2:系统级

【参数】

dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DH_RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DH_RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。

rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。

rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。

rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。

【描述】

ciphersuite命令用来配置SSL服务器端策略支持的加密套件。

缺省情况下,SSL服务器端策略支持所有的加密套件。

需要注意的是:

·     如果不指定任何参数,则SSL服务器端策略支持上述6种加密套件。

·     如果多次执行本命令,则新的配置覆盖原有配置。

相关配置可参考命令display ssl server-policy

【举例】

# 指定SSL服务器端策略支持的加密套件为rsa_rc4_128_md5rsa_rc4_128_sha

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] ciphersuite rsa_rc4_128_md5 rsa_rc4_128_sha

1.1.2  client-verify enable

【命令】

client-verify enable

undo client-verify enable

【视图】

SSL服务器端策略视图

【缺省级别】

2:系统级

【参数】

【描述】

client-verify enable命令用来配置SSL服务器端要求对SSL客户端进行基于证书的身份验证。undo client-verify enable命令用来恢复缺省情况。

缺省情况下,SSL服务器端不要求对SSL客户端进行基于证书的身份验证。

执行本命令后:

·     如果通过client-verify weaken命令使能了SSL客户端弱认证功能,则由客户端决定是否对客户端进行身份验证。客户端选择进行身份验证时,只有身份验证通过后,SSL客户端才能访问SSL服务器;客户端选择不进行身份验证时,SSL客户端可以直接访问SSL服务器。

·     如果未使能SSL客户端弱认证功能,则必须对客户端进行身份验证。只有身份验证通过后,SSL客户端才能访问SSL服务器。

相关配置可参考命令client-verify weakendisplay ssl server-policy

【举例】

# 配置服务器端要求对客户端进行基于证书的身份验证。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] client-verify enable

1.1.3  client-verify weaken

【命令】

client-verify weaken

undo client-verify weaken

【视图】

SSL服务器端策略视图

【缺省级别】

2:系统级

【参数】

【描述】

client-verify weaken命令用来使能SSL客户端弱认证功能。undo client-verify weaken命令用来恢复缺省情况。

缺省情况下,未使能SSL客户端弱认证功能。

只有通过client-verify enable命令配置SSL服务器端要求对SSL客户端进行基于证书的身份验证后,本命令才会生效。

·     使能SSL客户端弱认证功能后,由客户端决定是否对客户端进行身份验证。如果客户端选择进行身份验证,则只有身份验证通过后,SSL客户端才能访问SSL服务器;如果客户端选择不进行身份验证,则SSL客户端可以直接访问SSL服务器。

·     如果未使能SSL客户端弱认证功能,则必须对客户端进行身份验证。只有身份验证通过后,SSL客户端才能访问SSL服务器。

相关配置可参考命令client-verify enabledisplay ssl server-policy

【举例】

# 使能SSL客户端弱认证功能。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] client-verify enable

[Sysname-ssl-server-policy-policy1] client-verify weaken

1.1.4  close-mode wait

【命令】

close-mode wait

undo close-mode wait

【视图】

SSL服务器端策略视图

【缺省级别】

2:系统级

【参数】

【描述】

close-mode wait命令用来配置SSL连接的关闭模式为wait模式,即发送close-notify警告消息给客户端后,等待客户端的close-notify警告消息,在接收到客户端的close-notify警告消息后才能关闭连接。undo close-mode wait命令用来恢复缺省情况。

缺省情况下,服务器发送close-notify警告消息给客户端,不等待客户端的close-notify警告消息,直接关闭连接。

相关配置可参考命令display ssl server-policy

【举例】

# 设定SSL连接的关闭模式为wait模式。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] close-mode wait

1.1.5  display ssl client-policy

【命令】

display ssl client-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

policy-name:显示指定的SSL客户端策略的信息,为1~16个字符的字符串,不区分大小写。

all:显示所有SSL客户端策略的信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssl client-policy命令用来显示SSL客户端策略的信息。

【举例】

# 显示名为policy1的SSL客户端策略信息。

<Sysname> display ssl client-policy policy1

 SSL Client Policy: policy1

     SSL Version: SSL 3.0

     PKI Domain: 1

     Prefer Ciphersuite:

         RSA_RC4_128_SHA

     Server-verify: enabled

表1-1 display ssl client-policy命令显示信息描述表

字段

描述

SSL Client Policy

SSL客户端策略名

SSL Version

SSL客户端策略使用的协议版本号,取值包括SSL 3.0和TLS 1.0

PKI Domain

SSL客户端策略使用的PKI域

Prefer Ciphersuite

SSL客户端策略的首选加密套件

Server-verify

SSL客户端策略的服务器验证模式,取值包括:

·     disabled:不需要对服务器端进行身份验证

·     enabled:需要对服务器端进行身份验证

 

1.1.6  display ssl server-policy

【命令】

display ssl server-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

policy-name:显示指定的SSL服务器端策略的信息,为1~16个字符的字符串,不区分大小写。

all:显示所有SSL服务器端策略的信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ssl server-policy命令用来显示SSL服务器端策略的信息。

【举例】

# 显示名为policy1的SSL服务器端策略的信息。

# 显示名为policy1的SSL服务器端策略的信息。

<Sysname> display ssl server-policy policy1

 SSL Server Policy: policy1

     PKI Domain: domain1

     Ciphersuite:

         RSA_RC4_128_MD5

         RSA_RC4_128_SHA

         RSA_DES_CBC_SHA

         RSA_3DES_EDE_CBC_SHA

         RSA_AES_128_CBC_SHA

         RSA_AES_256_CBC_SHA

     Handshake Timeout: 3600

     Close-mode: wait disabled

     Session Timeout: 3600

     Session Cachesize: 500

     Client-verify: disabled

     Client-verify weaken: disabled

表1-2 display ssl server-policy命令显示信息描述表

字段

描述

SSL Server Policy

SSL服务器端策略名

PKI Domain

SSL服务器端策略使用的PKI域

如果显示为空,则表示未指定SSL服务器端策略使用的PKI域,SSL服务器自己生成证书,而无需从CA获取证书

Ciphersuite

SSL服务器端策略支持的加密套件

Handshake Timeout

SSL服务器端策略的握手连接保持时间,单位为秒

Close-mode

SSL服务器端策略的关闭模式,取值包括:

·     wait disabled:SSL连接的关闭模式为非wait模式,即服务器发送close-notify警告消息给客户端,不等待客户端的close-notify警告消息,直接关闭连接

·     wait enabled:SSL连接的关闭模式为wait模式,即发送close-notify警告消息给客户端后,等待客户端的close-notify警告消息,在接收到客户端的close-notify警告消息后才能关闭连接

Session Timeout

SSL服务器端策略会话缓存的超时时间,单位为秒

Session Cachesize

SSL服务器端策略可以缓存的最大会话数目

Client-verify

SSL服务器端策略的客户端验证模式,取值包括:

·     disabled:不要求对客户端进行身份验证

·     enabled:要求对客户端进行身份验证

Client-verify weaken

是否使能SSL客户端弱认证功能,取值包括

·     disabled:未使能该功能

·     enabled:使能该功能

 

1.1.7  handshake timeout

【命令】

handshake timeout time

undo handshake timeout

【视图】

SSL服务器端策略视图

【缺省级别】

2:系统级

【参数】

time:握手连接的保持时间,取值范围为180~7200,单位为秒。

【描述】

handshake timeout命令用来配置SSL服务器端策略的握手连接保持时间。undo handshake timeout命令用来恢复缺省情况。

缺省情况下,SSL服务器端策略的握手连接保持时间为3600秒。

如果SSL服务器在握手连接保持时间内没有收到SSL客户端的报文,则SSL服务器将终止当前的SSL握手过程。

相关配置可参考命令display ssl server-policy

【举例】

# 配置SSL服务器端策略的握手连接保持时间为3000秒。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] handshake timeout 3000

1.1.8  pki-domain

【命令】

pki-domain domain-name

undo pki-domain

【视图】

SSL服务器端策略视图/SSL客户端策略视图

【缺省级别】

2:系统级

【参数】

domain-name:PKI域的域名,为1~15个字符的字符串,不区分大小写。

【描述】

pki-domain命令用来配置SSL服务器端策略或SSL客户端策略所使用的PKI域。undo pki-domain命令恢复缺省情况。

缺省情况下,没有配置SSL服务器端策略和SSL客户端策略所使用PKI域。

需要注意的是,如果没有配置SSL服务器端策略所使用的PKI域,则SSL服务器自己生成证书,而无需从CA获取证书。

相关配置可参考命令display ssl server-policydisplay ssl client-policy

【举例】

# 配置SSL服务器端策略所使用的PKI域为server-domain。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] pki-domain server-domain

# 配置SSL客户端策略所使用的PKI域为client-domain。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] pki-domain client-domain

1.1.9  prefer-cipher

【命令】

在非FIPS模式下:

prefer-cipher { rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }

undo prefer-cipher

在FIPS模式下:

prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha }

undo prefer-cipher

【视图】

SSL客户端策略视图

【缺省级别】

2:系统级

【参数】

dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DH_RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DH_RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。

rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC算法、MAC算法采用SHA。

rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC算法、MAC算法采用SHA。

rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC算法、MAC算法采用SHA。

rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC算法、MAC算法采用SHA。

rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4算法、MAC算法采用MD5。

rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4算法、MAC算法采用SHA。

【描述】

prefer-cipher命令用来配置SSL客户端策略的首选加密套件。undo prefer-cipher命令用来恢复缺省情况。

缺省情况下,SSL客户端策略的首选加密套件为rsa_rc4_128_md5

相关配置可参考命令display ssl client-policy

【举例】

# 配置SSL客户端策略的首选加密套件为rsa_aes_128_cbc_sha

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha

1.1.10  server-verify enable

【命令】

server-verify enable

undo server-verify enable

【视图】

SSL客户端策略视图

【缺省级别】

2:系统级

【参数】

【描述】

server-verify enable命令用来使能基于证书的SSL服务器身份验证,即在SSL握手过程中,客户端需要对服务器端进行基于证书的身份验证。undo server-verify enable命令用来关闭基于证书的SSL服务器身份验证功能,默认SSL服务器身份合法。

缺省情况下,需要进行基于证书的SSL服务器身份验证。

相关配置可参考命令display ssl client-policy

【举例】

# 配置握手过程中,客户端需要对服务器端进行基于证书的身份验证。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] server-verify enable

1.1.11  session

【命令】

session { cachesize size | timeout time } *

undo session { cachesize | timeout } *

【视图】

SSL服务器端策略视图

【缺省级别】

2:系统级

【参数】

cachesize size:缓存的最大会话数目,size取值范围为100~1000。

timeout time:会话缓存的超时时间,time取值范围为1800~72000,单位为秒。

【描述】

session命令用来配置缓存的最大会话数目和会话缓存的超时时间。undo session命令用来恢复缓存的最大会话数目或会话缓存超时时间为缺省情况。

缺省情况下,缓存的最大会话数目为500个,会话缓存的超时时间为3600秒。

通过SSL握手协议协商会话参数并建立会话的过程比较复杂。为了简化SSL握手过程,SSL允许重用已经协商过的会话参数建立会话。为此,SSL服务器上需要保存已有的会话信息。保存的会话信息的数目和保存时间具有一定的限制:

·     如果缓存的会话数目达到最大值,SSL将拒绝缓存新的会话;

·     会话保存的时间超过设定的时间后,SSL将删除该会话的信息。

相关配置可参考命令display ssl server-policy

【举例】

# 配置会话缓存的超时时间为4000秒,缓存的最大会话数目为600个。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] session timeout 4000 cachesize 600

1.1.12  ssl client-policy

【命令】

ssl client-policy policy-name

undo ssl client-policy { policy-name | all }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

policy-name:SSL客户端策略名,为1~16个字符的字符串,不区分大小写,该字符串不能是“a”,“al”和“all”。

all:所有SSL客户端策略。

【描述】

ssl client-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图。undo ssl client-policy命令用来删除已创建的SSL客户端策略。

相关配置可参考命令display ssl client-policy

【举例】

# 创建名为policy1的SSL客户端策略,并进入该SSL客户端策略视图。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1]

1.1.13  ssl server-policy

【命令】

ssl server-policy policy-name

undo ssl server-policy { policy-name | all }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

policy-name:SSL服务器端策略名,为1~16个字符的字符串,不区分大小写,该字符串不能是“a”,“al”和“all”。

all:所有的SSL服务器端策略。

【描述】

ssl server-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图。undo ssl server-policy命令用来删除已创建的SSL服务器端策略。

需要注意的是,SSL服务器端策略与应用层协议关联后,无法删除该策略。

相关配置可参考命令display ssl server-policy

【举例】

# 创建名为policy1的SSL服务器端策略,并进入该SSL服务器端策略视图。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1]

1.1.14  ssl version ssl3.0 disable

【命令】

ssl version ssl3.0 disable

undo ssl version ssl3.0 disable

【视图】

系统视图

【缺省级别】

系统级

【参数】

【描述】

ssl version ssl3.0 disable命令用来关闭SSL 3.0版本。

undo ssl version ssl3.0 disable命令用来恢复缺省情况。

缺省情况下,允许使用SSL 3.0版本。

由于SSL 3.0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL 3.0版本。

配置关闭SSL 3.0版本时,需要注意的是:

·     对于SSL客户端,如果在系统视图下关闭了SSL 3.0版本,但在SSL客户端策略视图下配置使用SSL 3.0版本(通过命令version ssl 3.0),则该SSL客户端仍可使用SSL 3.0版本。

·     对于SSL服务器端,如果在系统视图下关闭了SSL 3.0版本,则SSL服务器端只能使用TLS 1.0版本,否则SSL服务器端自动采用对端设备采用的版本。

·     如果对端设备仅支持SSL 3.0版本,则为保持互通,本端设备不应关闭SSL 3.0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS 1.0版本。

【举例】

# 关闭SSL 3.0。

<Sysname> system-view

[Sysname] ssl version ssl3.0 disable

1.1.15  version

【命令】

在非FIPS模式下:

version { ssl3.0 | tls1.0 }

undo version

在FIPS模式下:

version tls1.0

undo version

【视图】

SSL客户端策略视图

【缺省级别】

2:系统级

【参数】

ssl3.0:版本号为SSL 3.0。

tls1.0:版本号为TLS 1.0。

【描述】

version命令用来配置SSL客户端策略使用的SSL协议版本。undo version命令恢复缺省情况。

缺省情况下,SSL客户端策略使用的SSL协议版本号为TLS 1.0。

相关配置可参考命令display ssl client-policy

【举例】

# 配置SSL客户端策略使用的SSL协议版本号为SSL 3.0。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] version ssl3.0

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!