34-SSL-HTTPS命令
本章节下载 (119.25 KB)
目 录
1.1.4 display ssl client-policy
1.1.5 display ssl server-policy
2.1.3 ip https certificate access-control-policy
2.1.5 ip https ssl-server-policy
【命令】
ciphersuite [ rsa_aes_128_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha ] *
【视图】
SSL服务器端策略视图
【参数】
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。
【描述】
ciphersuite命令用来配置SSL服务器端策略支持的加密套件。
缺省情况下,SSL服务器端策略支持所有的加密套件。
如果不指定任何参数,则SSL服务器端策略支持上述4种加密套件。
【举例】
# 指定SSL服务器端策略支持的加密套件为rsa_rc4_128_md5和rsa_rc4_128_sha。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] ciphersuite rsa_rc4_128_md5 rsa_rc4_128_sha
【命令】
client-verify enable
undo client-verify enable
【视图】
SSL服务器端策略视图
【参数】
无
【描述】
client-verify enable命令用来使能基于证书的SSL客户端认证,即在SSL握手过程中,服务器端需要对客户端进行基于证书的身份认证。undo client-verify enable命令用来恢复缺省情况。
缺省情况下,不需要进行基于证书的SSL客户端认证。
【举例】
# 配置握手过程中,服务器端需要对客户端进行基于证书的身份认证。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] client-verify enable
【命令】
close-mode wait
undo close-mode wait
【视图】
SSL服务器端策略视图
【参数】
无
【描述】
close-mode wait命令用来配置SSL连接的关闭模式为wait模式,即发送close-notify警告消息给客户端后,等待客户端的close-notify警告消息,在接收到客户端的close-notify警告消息后才能关闭连接。undo close-mode wait命令用来恢复缺省情况。
缺省情况下,服务器发送close-notify警告消息给客户端,不等待客户端的close-notify警告消息,直接关闭连接。
【举例】
# 设定SSL连接的关闭模式为wait模式。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] close-mode wait
【命令】
display ssl client-policy { policy-name | all }
【视图】
任意视图
【参数】
policy-name:显示指定的SSL客户端策略的信息,为1~16个字符的字符串。
all:显示所有SSL客户端策略的信息。
【描述】
display ssl client-policy命令用来显示SSL客户端策略的信息。
【举例】
# 显示名为policy1的SSL客户端策略信息。
<Sysname> display ssl client-policy policy1
SSL Client Policy: policy1
SSL Version: SSL 3.0
PKI Domain: 1
Prefer Ciphersuite:
RSA_RC4_128_SHA
表1-1 display ssl client-policy命令显示信息描述表
字段 |
描述 |
SSL Client Policy |
SSL客户端策略名 |
SSL Version |
SSL客户端策略使用的协议版本号 |
PKI Domain |
SSL客户端策略使用的PKI域 |
Prefer Ciphersuite |
SSL客户端策略的首选加密套件 |
【命令】
display ssl server-policy { policy-name | all }
【视图】
任意视图
【参数】
policy-name:显示指定的SSL服务器端策略的信息,为1~16个字符的字符串。
all:显示所有SSL服务器端策略的信息。
【描述】
display ssl server-policy命令用来显示SSL服务器端策略的信息。
【举例】
# 显示名为policy1的SSL服务器端策略的信息。
<Sysname> display ssl server-policy policy1
SSL Server Policy: policy1
PKI Domain: domain1
Ciphersuite:
RSA_RC4_128_MD5
RSA_RC4_128_SHA
RSA_DES_CBC_SHA
RSA_AES_128_CBC_SHA
Handshake Timeout: 3600
Close-mode: wait disabled
Session Timeout: 3600
Session Cachesize: 500
Client-verify: disabled
表1-2 display ssl server-policy命令显示信息描述表
字段 |
描述 |
SSL Server Policy |
SSL服务器端策略名 |
PKI Domain |
SSL服务器端策略所属的PKI域 |
Ciphersuite |
SSL服务器端策略中支持的加密套件 |
Handshake Timeout |
SSL服务器端策略的握手连接保持时间 |
Close-mode |
SSL服务器端策略的关闭模式 |
Session Timeout |
SSL服务器端策略会话缓存的超时时间 |
Session Cachesize |
SSL服务器端策略可以缓存的最大会话数目 |
Client-verify |
SSL服务器端策略的客户端认证模式 |
【命令】
handshake timeout time
undo handshake timeout
【视图】
SSL服务器端策略视图
【参数】
time:握手连接的保持时间,取值范围为180~7200,单位为秒。
【描述】
handshake timeout命令用来配置SSL服务器端策略的握手连接保持时间。undo handshake timeout命令用来恢复缺省情况。
缺省情况下,SSL服务器端策略的握手连接保持时间为3600秒。
【举例】
# 配置SSL服务器端策略的握手连接保持时间为3000秒。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] handshake timeout 3000
【命令】
pki-domain domain-name
undo pki-domain
【视图】
SSL服务器端策略视图/SSL客户端策略视图
【参数】
domain-name:PKI域的域名,为1~15个字符的字符串。
【描述】
pki-domain命令用来配置SSL服务器端策略或SSL客户端策略所使用的PKI域。undo pki-domain命令恢复缺省情况。
缺省情况下,没有配置SSL服务器端策略和SSL客户端策略所使用PKI域。
【举例】
# 配置SSL服务器端策略所使用的PKI域为server-domain。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] pki-domain server-domain
# 配置SSL客户端策略所使用的PKI域为client-domain。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] pki-domain client-domain
【命令】
prefer-cipher { rsa_aes_128_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }
undo prefer-cipher
【视图】
SSL客户端策略视图
【参数】
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC算法、MAC算法采用SHA。
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC算法、MAC算法采用SHA。
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4算法、MAC算法采用MD5。
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4算法、MAC算法采用SHA。
【描述】
prefer-cipher命令用来配置SSL客户端策略的首选加密套件。undo perfer-cipher命令用来恢复缺省情况。
缺省情况下,SSL客户端策略的首选加密套件为rsa_rc4_128_md5。
【举例】
# 配置SSL客户端策略的首选加密套件为rsa_aes_128_cbc_sha。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha
【命令】
session { cachesize size | timeout time } *
undo session { cachesize | timeout } *
【视图】
SSL服务器端策略视图
【参数】
cachesize size:缓存的最大会话数目,size取值范围为100~1000。
timeout time:会话缓存的超时时间,time取值范围为1800~72000,单位为秒。
【描述】
session命令用来配置缓存的最大会话数目和会话缓存的超时时间。undo session命令用来恢复缓存的最大会话数目或会话缓存超时时间为缺省情况。
缺省情况下,缓存的最大会话数目为500个,会话缓存的超时时间为3600秒。
如果缓存的会话数目达到最大值,SSL将拒绝缓存新的会话;会话保存的时间超过设定的时间后,SSL将从缓存中清除该会话。
【举例】
# 配置会话缓存的超时时间为4000秒,缓存的最大会话数目为600个。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1] session timeout 4000 cachesize 600
【命令】
ssl client-policy policy-name
undo ssl client-policy { policy-name | all }
【视图】
系统视图
【参数】
policy-name:SSL客户端策略名,为1~16个字符的字符串,不区分大小写,该字符串不能是“a”,“al”和“all”。
all:所有SSL客户端策略。
【描述】
ssl client-policy命令用来创建SSL客户端策略并进入SSL客户端策略视图。undo ssl client-policy命令用来删除已创建的SSL客户端策略。
【举例】
# 创建名为policy1的SSL客户端策略,并进入该SSL客户端策略视图。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1]
【命令】
ssl server-policy policy-name
undo ssl server-policy { policy-name | all }
【视图】
系统视图
【参数】
policy-name:SSL服务器端策略名,为1~16个字符的字符串,不区分大小写,该字符串不能是“a”,“al”和“all”。
all:所有的SSL服务器端策略。
【描述】
ssl server-policy命令用来创建SSL服务器端策略并进入SSL服务器端策略视图。undo ssl server-policy命令用来删除已创建的SSL服务器端策略。
需要注意的是,SSL服务器端策略与应用层协议关联时,无法删除该策略。
【举例】
# 创建名为policy1的SSL服务器端策略,并进入该SSL服务器端策略视图。
<Sysname> system-view
[Sysname] ssl server-policy policy1
[Sysname-ssl-server-policy-policy1]
【命令】
version { ssl3.0 | tls1.0 }
undo version
【视图】
SSL客户端策略视图
【参数】
ssl3.0:版本号为SSL 3.0。
tls1.0:版本号为TLS 1.0。
【描述】
version命令用来配置SSL客户端策略使用的SSL协议版本。undo version命令恢复缺省情况。
缺省情况下,SSL客户端策略使用的SSL协议版本号为TLS 1.0。
【举例】
# 配置SSL客户端策略使用的SSL协议版本号为SSL 3.0。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] version ssl3.0
【命令】
display ip https
【视图】
任意视图
【参数】
无
【描述】
display ip https命令用来显示HTTPS的状态信息。
【举例】
# 显示HTTPS的状态信息。
<Sysname> display ip https
SSL server policy: test
Certificate access-control-policy:
Basic ACL: 2222
Current connection: 0
Operation status: Running
表2-1 display ip https命令显示信息描述表
字段 |
描述 |
SSL server policy |
与HTTPS服务关联的SSL服务器端策略 |
Certificate access-control-policy |
与HTTPS服务关联的证书属性访问控制策略 |
Basic ACL |
与HTTPS服务关联的基本访问控制列表号 |
Current connection |
当前连接数 |
Operation status |
操作状态 |
【命令】
ip https acl acl-number
undo ip https acl
【视图】
系统视图
【参数】
acl-number:基本访问控制列表号,取值范围为2000~2999。
【描述】
ip https acl 命令用来配置HTTPS服务与ACL关联。undo ip http acl命令用来取消HTTPS服务与ACL的关联。
缺省情况下,没有ACL与HTTPS服务关联。
【举例】
# 配置HTTPS服务与ACL 2001关联,只允许10.10.0.0/16网段的客户端访问设备。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[Sysname-acl-basic-2001] quit
[Sysname] ip https acl 2001
【命令】
ip https certificate access-control-policy policy-name
undo ip https certificate access-control-policy
【视图】
系统视图
【参数】
policy-name:证书属性访问控制策略名,为1~16个字符的字符串。
【描述】
ip https certificate access-control-policy命令用来配置HTTPS服务与证书属性访问控制策略关联。undo ip https certificate access-control-policy命令用来取消HTTPS服务与证书属性访问控制策略的关联。
缺省情况下,没有证书属性访问控制策略与HTTPS服务关联。
【举例】
# 设置HTTPS服务使用的证书属性访问控制策略为myacl。
<Sysname> system-view
[Sysname] ip https certificate access-control-policy myacl
【命令】
ip https enable
undo ip https enable
【视图】
系统视图
【参数】
无
【描述】
ip https enable命令用来使能HTTPS服务。undo ip https enable命令用来关闭HTTPS服务。
缺省情况下, HTTPS服务处于关闭状态。
需要注意的是,使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动。
【举例】
# 使能HTTPS服务。
<Sysname> system-view
[Sysname] ip https enable
【命令】
ip https ssl-server-policy policy-name
【视图】
系统视图
【参数】
policy-name:SSL服务器端策略名,为1~16个字符的字符串。
【描述】
ip https ssl-server-policy命令用来配置HTTPS服务与SSL服务器端策略关联。
缺省情况下,没有SSL服务器端策略与HTTPS服务关联。
需要注意的是,只有此命令设置成功,才能使能HTTPS服务。
【举例】
# 设置HTTPS服务使用的SSL服务器端策略为myssl。
<Sysname> system-view
[Sysname] ip https ssl-server-policy myssl
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!