- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-SSL配置
本章节下载: 12-SSL配置 (146.04 KB)
SSL(Secure Sockets Layer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域,为应用层数据的传输提供安全性保证。
SSL提供的安全连接可以实现如下功能:
· 保证数据传输的机密性:利用对称密钥算法对传输的数据进行加密,并利用密钥交换算法,如RSA(Rivest Shamir and Adleman),加密传输对称密钥算法中使用的密钥。对称密钥算法、非对称密钥算法RSA的详细介绍请参见“安全配置指导”中的“公钥管理”。
· 保证数据的完整性:消息传输过程中使用MAC(Message Authentication Code,消息验证码)来检验消息的完整性。MAC算法在密钥的参与下,将任意长度的原始数据转换为固定长度的数据,原始数据的任何变化都会导致计算出的固定长度数据发生变化。如图1-1所示,利用MAC算法验证消息完整性的过程为:
a. 发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者。
b. 接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。
c. 如果二者相同,则接收者认为报文没有被篡改;否则,认为报文在传输过程中被篡改,接收者将丢弃该报文。
图1-1 MAC算法示意图
如图1-2所示,SSL协议可以分为两层:下层为SSL记录协议(SSL Record Protocol);上层为SSL握手协议(SSL Handshake Protocol)、SSL密码变化协议(SSL Change Cipher Spec Protocol)和SSL告警协议(SSL Alert Protocol)。
图1-2 SSL协议栈
· SSL记录协议:主要负责对上层的数据进行分块、计算并添加MAC、加密,最后把加密后的记录块传输给对方。
· SSL握手协议:用来协商通信过程中使用的加密套件(数据加密算法、密钥交换算法和MAC算法等),并在服务器和客户端之间安全地交换密钥。客户端和服务器通过握手协议建立会话。一个会话包含一组参数,主要有会话ID、加密套件及主密钥。
· SSL密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后的报文都将使用新协商的加密套件和密钥进行保护和传输。
· SSL告警协议:用来向对端报告告警信息,以便对端进行相应的处理。告警消息中包含告警的严重级别和描述。
目前,SSL协议版本主要有SSL2.0、SSL3.0和TLS1.0(TLS1.0对应SSL协议的版本号为3.1)。
由于SSL 3.0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时,可以配置SSL协议版本为TLS 1.0,并通过命令行关闭SSL 3.0版本。
表1-1 SSL配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
关闭SSL 3.0版本 |
可选 |
|
|
配置SSL服务器端关闭SSL重协商 |
可选 |
|
|
配置SSL服务器端策略 |
请在SSL服务器端进行本配置 |
|
|
配置SSL客户端策略 |
请在SSL客户端进行本配置 |
设备作为SSL服务器时,缺省情况下,可以与SSL3.0和TLS1.0版本的SSL客户端通信,还可以识别同时兼容SSL2.0和SSL3.0/TLS1.0版本的SSL客户端发送的报文,并通知该客户端采用SSL3.0/TLS1.0版本与SSL服务器通信。
当设备对系统安全性有较高要求时,建议配置SSL协议版本为TLS 1.0,并通过命令行关闭SSL 3.0版本。
表1-2 关闭SSL 3.0版本
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
关闭SSL 3.0版本 |
ssl version ssl3.0 disable |
缺省情况下,允许使用SSL 3.0版本 |
表1-3 配置SSL服务器端关闭SSL重协商
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置SSL服务器端关闭SSL重协商 |
ssl renegotiation disable |
缺省情况下,允许SSL重协商 |
SSL服务器端策略是服务器启动时使用的SSL参数。只有与HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)等应用关联后,SSL服务器端策略才能生效。
表1-4 配置SSL服务器端策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建SSL服务器端策略,并进入SSL服务器端策略视图 |
ssl server-policy policy-name |
缺省情况下,设备上不存在任何SSL服务器端策略 |
|
配置SSL服务器端策略支持的加密套件 |
ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } * |
缺省情况下,SSL服务器端策略支持所有的加密套件 |
|
配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间 |
session { cachesize size | timeout time } * |
缺省情况下,SSL服务器上缓存的最大会话数目为500个,SSL会话缓存的超时时间为3600秒 |
SSL客户端策略是客户端连接SSL服务器时使用的参数。只有与应用层协议,如FTP(File Transfer Protocol,文件传输协议),关联后,SSL客户端策略才能生效。FTP的详细配置请参见“基础配置配置指导”中的“FTP”。
配置SSL客户端策略时,需要注意:
· 缺省情况下,如果在SSL客户端策略视图下,使用version命令配置SSL协议版本为TLS 1.0,客户端首先尝试使用TLS 1.0版本的协议连接服务器,若握手失败,则切换为SSL 3.0版本的协议继续尝试连接。因此,在对安全性要求较高的环境下,建议配置SSL协议版本为TLS 1.0,并在系统视图下关闭SSL3.0版本。
· 如果在SSL客户端策略视图下,使用version命令配置SSL协议版本为SSL 3.0,但在系统视图下关闭了SSL 3.0版本,则根据局部优先全局的原则,SSL客户端仍可使用SSL 3.0版本。
表1-5 配置SSL客户端策略
|
配置任务 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建SSL客户端策略,并进入SSL客户端策略视图 |
ssl client-policy policy-name |
缺省情况下,设备上不存在任何SSL客户端策略 |
|
配置SSL客户端策略支持的加密套件 |
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } |
缺省情况下,SSL客户端策略支持的加密套件为rsa_rc4_128_md5 |
|
配置SSL客户端策略使用的SSL协议版本 |
version { ssl3.0 | tls1.0 } |
缺省情况下,SSL客户端策略使用的SSL协议版本为TLS 1.0 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
