- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-SSL
本章节下载: 18-SSL (305.95 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
○ 配置服务器端策略
○ 配置客户端策略
○ 高级设置
SSL(Secure Sockets Layer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域,为应用层数据的传输提供安全性保证。
SSL提供的安全连接可以实现如下功能:
· 保证数据传输的机密性:利用对称密钥算法对传输的数据进行加密,并利用密钥交换算法,如RSA(Rivest Shamir and Adleman),加密传输对称密钥算法中使用的密钥。
· 验证数据源的身份:基于数字证书利用数字签名方法对SSL服务器和SSL客户端进行身份验证。SSL服务器和SSL客户端通过PKI(Public Key Infrastructure,公钥基础设施)提供的机制获取数字证书。
· 保证数据的完整性:消息传输过程中使用MAC(Message Authentication Code,消息验证码)来检验消息的完整性。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
· 目前,SSL协议版本有SSL2.0、SSL3.0、TLS1.0(TLS1.0对应SSL协议的版本号为3.1)、TLS1.1、TLS1.2、TLS1.3和国密1.1。设备作为SSL服务器时,可以与SSL3.0、TLS1.0、TLS1.1、TLS1.2、TLS1.3和国密1.1版本的SSL客户端通信,还可以识别同时兼容SSL2.0版本的SSL客户端发送的报文,并通知该客户端采用SSL3.0、TLS1.0、TLS1.1、TLS1.2、TLS1.3或国密1.1版本与SSL服务器通信。
· SSL服务器端策略中可以配置SSL服务器启动时使用的SSL参数,如使用的PKI域、支持的加密套件、加密套件基准等。只有与HTTPS等应用关联后,SSL服务器端策略才能生效。SSL服务器端策略支持配置两个PKI域,可以根据客户端的配置,选择匹配的PKI域内证书与客户端进行SSL协商。加密套件支持以SSL客户端加密套件为准和以SSL服务端加密套件为准,缺省情况下,以客户端加密套件为准。当选择以服务端加密套件为准时,在协商SSL时将以服务端支持的加密套件顺序匹配,直到匹配成功;当选择以客户端加密套件为准时,在协商SSL时将以客户端支持的加密套件顺序匹配,直到匹配成功。SSL服务器端策略支持配置发送完整证书链功能,仅当SSL客户端没有完整的证书链对服务器端的数字证书进行验证时,可通过开启此功能,要求SSL服务器端在握手协商时向对端发送完整的证书链,以保证SSL会话的正常建立。否则,建议关闭此功能,减轻协商阶段的网络开销。
· SSL客户端策略中可以配置SSL客户端启动时使用的SSL参数,如使用的PKI域、支持的加密套件等。只有与应用层协议关联后,SSL客户端策略才能生效。
· SSL服务器端策略或SSL客户端策略配置发生改变时,需要重新启动引用策略的服务,否则新的配置不生效。
· 当修改“高级设置”中的SSL协议版本时,需要重新启动引用缺省SSL策略的服务,否则新的配置不生效。
SSL服务器端策略中可以配置SSL服务器启动时使用的SSL参数,如使用的PKI域、SSL协议版本、支持的加密套件等。
新建服务器端策略的具体配置步骤如下:
1. 选择“对象 > SSL > 服务器端策略”。
2. 在“服务器端策略”页面单击<新建>按钮,进入“新建服务器端策略”页面。
3. 在“新建服务器端策略”页面的具体配置内容如下表所示:
表-1 配置服务器端策略参数表
|
参数 |
说明 |
|
策略名称 |
SSL服务器端策略的名称 |
|
PKI域 |
SSL服务器端策略所使用的PKI域,引用该服务器端策略的SSL服务器将通过该PKI域获取服务器端的数字证书 |
|
SSL协议版本 |
SSL协议版本包括: · SSL3.0 · TLS1.0 · TLS1.1 · TLS1.2 · TLS1.3 · 国密1.1 |
|
加密套件 |
SSL服务器端策略支持的加密套件,是SSL服务器端策略支持的各种算法组合,用户可以根据实际情况,选择不同类型的加密套件,包括全部、中等强度、高等强度、国密或自定义 |
|
最大缓存会话数目 |
如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话 |
|
会话缓存超时时间 |
会话缓存的时间超过设定的时间后,SSL将删除该会话的信息 |
|
验证客户端 |
开启本功能后,SSL服务器端将通过数字证书对客户端进行身份验证 |
|
加密套件基准 |
缺省情况下,SSL服务器与客户端进行SSL协商时按照客户端支持的加密套件的顺序来进行匹配,即按照优先级从高到低的顺序,依次选取SSL客户端的加密套件,然后从SSL服务器端查找与之匹配的加密套件,直到匹配成功 |
|
发送完整证书链 |
仅当SSL客户端没有完整的证书链对服务器端的数字证书进行验证时,请通过本功能要求SSL服务器端在握手协商时向对端发送完整的证书链,以保证SSL会话的正常建立。否则,建议关闭此功能,减轻协商阶段的网络开销 |
4. 单击<确定>按钮,完成配置。
SSL客户端策略中可以配置SSL客户端启动时使用的SSL参数,如使用的PKI域、SSL协议版本、支持的加密套件等。
新建客户端策略的具体配置步骤如下:
1. 选择“对象 > SSL > 客户端策略”。
2. 在“客户端策略”页面单击<新建>按钮,进入“新建客户端策略”页面。
3. 在“新建客户端策略”页面的具体配置内容如下表所示:
表-2 配置客户端策略参数表
|
参数 |
说明 |
|
策略名称 |
SSL客户端策略的名称 |
|
SSL协议版本 |
SSL协议版本包括: · SSL3.0 · TLS1.0 · TLS1.1 · TLS1.2 · TLS1.3 · 国密1.1 |
|
PKI域 |
SSL客户端策略所使用的PKI域,引用该客户端策略的SSL客户端将通过该PKI域获取客户端的数字证书 |
|
加密套件 |
SSL客户端策略支持的加密套件,是SSL客户端策略支持的各种算法组合,用户可以根据实际情况,选择不同类型的加密套件,包括全部、中等强度、高等强度或自定义 |
|
验证服务器端 |
开启本功能后,SSL客户端将通过数字证书对服务器端进行身份验证 |
4. 单击<确定>按钮,完成配置。
在“高级设置”页面,可以开启重协商功能,设置允许SSL服务器使用的SSL版本。
1. 选择“对象 > SSL > 高级设置”。
2. 在“高级设置”页面,具体配置内容如下:
表-3 高级设置参数表
|
参数 |
说明 |
|
开启重协商功能 |
TLS1.3版本不支持重协商功能 关闭SSL重协商是指,不允许复用已有的SSL会话进行SSL快速协商,每次SSL协商必须进行完整的SSL握手过程 |
|
SSL协议版本 |
SSL协议版本包括: · SSL3.0 · TLS1.0 · TLS1.1 · TLS1.2 · TLS1.3 · 国密1.1 由于SSL3.0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以关闭SSL3.0版本 |
3. 单击<应用>按钮,完成配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
