04-SSL命令
本章节下载: 04-SSL命令 (119.47 KB)
display ssl client-policy命令用来显示SSL客户端策略的信息。
【命令】
display ssl client-policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有SSL客户端策略的信息。
【举例】
# 显示名为policy1的SSL客户端策略的信息。
<Sysname> display ssl client-policy policy1
SSL client policy: policy1
SSL version: SSL 3.0
PKI domain: client-domain
Preferred ciphersuite:
RSA_AES_128_CBC_SHA
Server-verify: enabled
表1-1 display ssl client-policy命令显示信息描述表
字段 |
描述 |
SSL client policy |
SSL客户端策略名 |
SSL version |
SSL客户端策略使用的SSL协议版本 |
PKI domain |
SSL客户端策略使用的PKI域 |
Preferred ciphersuite |
SSL客户端策略支持的加密套件 |
Server-verify |
(暂不支持)SSL客户端策略的服务器端验证模式,取值包括: · disabled:不要求对SSL服务器进行基于数字证书的身份验证 · enabled:要求对SSL服务器进行基于数字证书的身份验证 |
pki-domain命令用来配置SSL客户端策略所使用的PKI域。
undo pki-domain命令用来恢复缺省情况。
【命令】
pki-domain domain-name
undo pki-domain
【缺省情况】
未指定SSL客户端策略所使用的PKI域。
【视图】
SSL客户端策略视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域的域名,为1~31个字符的字符串,不区分大小写。
【使用指导】
如果通过本命令指定了SSL客户端策略使用的PKI域,则引用该客户端策略的SSL客户端将通过该PKI域获取客户端的数字证书。
【举例】
# 配置SSL客户端策略所使用的PKI域为client-domain。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] pki-domain client-domain
【相关命令】
· display ssl client-policy
prefer-cipher命令用来配置SSL客户端策略支持的加密套件。
undo prefer-cipher命令用来恢复缺省情况。
【命令】
prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } *
undo prefer-cipher
【缺省情况】
SSL客户端策略支持的加密套件为dhe_rsa_aes_128_cbc_sha、dhe_rsa_aes_256_cbc_sha、rsa_3des_ede_cbc_sha、rsa_aes_128_cbc_sha、rsa_aes_256_cbc_sha。
【视图】
SSL客户端策略视图
【缺省用户角色】
network-admin
【参数】
dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES、MAC算法采用SHA。
dhe_rsa_aes_128_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES、MAC算法采用SHA。
dhe_rsa_aes_256_cbc_sha256:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_ecdsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_ecdsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_ecdsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。
ecdhe_rsa_aes_128_cbc_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
ecdhe_rsa_aes_128_gcm_sha256:密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。
ecdhe_rsa_aes_256_cbc_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。
ecdhe_rsa_aes_256_gcm_sha384:密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。
exp_rsa_des_cbc_sha:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。
exp_rsa_rc2_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5。
exp_rsa_rc4_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5。
rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_aes_128_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。
rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。
rsa_aes_256_cbc_sha256:密钥交换算法采用RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。
rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。
【使用指导】
为了提高安全性,SSL协议采用了如下算法:
· 数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性。常用的数据加密算法通常为对称密钥算法。使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥。
· MAC(Message Authentication Code,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥。
· 密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递。常用的密钥交换算法通常为非对称密钥算法,如RSA。
通过本命令可以配置SSL客户端策略支持的算法组合。例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA。
SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较。如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha
【相关命令】
· display ssl client-policy
ssl client-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图。如果指定的SSL客户端策略已经存在,则直接进入SSL客户端策略视图。
undo ssl client-policy命令用来删除指定的SSL客户端策略。
【命令】
ssl client-policy policy-name
undo ssl client-policy policy-name
【缺省情况】
不存在SSL客户端策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如使用的PKI域、支持的加密套件等。只有与应用层协议,如DDNS(Dynamic Domain Name System,动态域名系统),关联后,SSL客户端策略才能生效。
【举例】
# 创建SSL客户端策略policy1,并进入SSL客户端策略视图。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1]
【相关命令】
· display ssl client-policy
version命令用来配置SSL客户端策略使用的SSL协议版本。
undo version命令恢复缺省情况。
【命令】
version { ssl3.0 | tls1.0 | tls1.1 | tls1.2 }
undo version
【缺省情况】
SSL客户端策略使用的SSL协议版本为TLS 1.0。
【视图】
SSL客户端策略视图
【缺省用户角色】
network-admin
【参数】
ssl3.0:SSL客户端策略使用的SSL协议版本为SSL 3.0。
tls1.0:SSL客户端策略使用的SSL协议版本为TLS 1.0。
tls1.1:SSL客户端策略使用的SSL协议版本为TLS1.1。
tls1.2:SSL客户端策略使用的SSL协议版本为TLS1.2。
【使用指导】
对安全性要求较高的环境下,建议为不要为SSL客户端指定SSL3.0版本。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSL客户端策略使用的SSL协议版本为TLS 1.0。
<Sysname> system-view
[Sysname] ssl client-policy policy1
[Sysname-ssl-client-policy-policy1] version tls1.0
【相关命令】
· display ssl client-policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!