• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08 安全命令参考

目录

11-SSL命令

本章节下载 11-SSL命令  (160.4 KB)

11-SSL命令


1 SSL

说明

设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

1.1  SSL配置命令

1.1.1  ciphersuite

ciphersuite命令用来配置SSL服务器端策略支持的加密套件。

undo ciphersuite命令用来恢复缺省情况。

【命令】

非FIPS模式下:

ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha } *

undo ciphersuite

FIPS模式下:

ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha } *

undo ciphersuite

【缺省情况】

SSL服务器端策略支持所有的加密套件。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES、MAC算法采用SHA。

dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES、MAC算法采用SHA。

exp_rsa_des_cbc_sha:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

exp_rsa_rc2_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5。

exp_rsa_rc4_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5。

rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。

rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。

rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。

【使用指导】

为了提高安全性,SSL协议采用了如下算法:

·     数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性。常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥。

·     MAC(Message Authentication Code,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥。

·     密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递。常用的密钥交换算法通常为非对称密钥算法,如RSA。

通过本命令可以配置SSL服务器端策略支持的各种算法组合。例如,rsa_des_cbc_sha表示SSL服务器端策略支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA。

SSL服务器接收到SSL客户端发送的客户端加密套件后,将服务器支持的加密套件与SSL客户端支持的加密套件比较。如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败。

需要注意的是,如果多次执行本命令,则新的配置覆盖原有配置。

【举例】

# 指定SSL服务器端策略支持如下加密套件:

·     密钥交换算法为DHE RSA、数据加密算法为128位的AES、MAC算法为SHA

·     密钥交换算法为RSA、数据加密算法为128位的AES、MAC算法为SHA

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] ciphersuite dhe_rsa_aes_128_cbc_sha rsa_aes_128_cbc_sha

【相关命令】

·     display ssl server-policy

·     prefer-cipher

1.1.2  client-verify enable

client-verify enable命令用来配置SSL服务器端要求对SSL客户端进行基于数字证书的身份验证。undo client-verify enable命令用来恢复缺省情况。

【命令】

client-verify enable

undo client-verify enable

【缺省情况】

SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【使用指导】

SSL通过数字证书实现对对端的身份进行验证。数字证书的详细介绍,请参见“安全配置指导”中的“PKI”。

如果执行了client-verify enable命令,则SSL客户端必须将自己的数字证书提供给服务器,以便服务器对客户端进行基于数字证书的身份验证。只有身份验证通过后,SSL客户端才能访问SSL服务器。

【举例】

# 配置SSL服务器端要求对SSL客户端进行基于数字证书的身份验证。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] client-verify enable

【相关命令】

·     display ssl server-policy

1.1.3  display ssl client-policy

display ssl client-policy命令用来显示SSL客户端策略的信息。

【命令】

display ssl client-policy [ policy-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

policy-name:显示指定的SSL客户端策略的信息,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有SSL客户端策略的信息。

【举例】

# 显示名为policy1的SSL客户端策略的信息。

<Sysname> display ssl client-policy policy1

 SSL client policy: policy1

     SSL version: SSL 3.0

     PKI domain: client-domain

     Preferred ciphersuite:

         RSA_AES_128_CBC_SHA

     Server-verify: enabled

表1-1 display ssl client-policy命令显示信息描述表

字段

描述

SSL client policy

SSL客户端策略名

SSL version

SSL客户端策略使用的SSL协议版本

PKI domain

SSL客户端策略使用的PKI域

Preferred ciphersuite

SSL客户端策略支持的加密套件

Server-verify

SSL客户端策略的服务器端验证模式,取值包括:

·     disabled:不要求对SSL服务器进行基于数字证书的身份验证

·     enabled:要求对SSL服务器进行基于数字证书的身份验证

 

1.1.4  display ssl server-policy

display ssl server-policy命令用来显示SSL服务器端策略的信息。

【命令】

display ssl server-policy [ policy-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

policy-name:显示指定的SSL服务器端策略的信息,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则显示所有SSL服务器端策略的信息。

【举例】

# 显示名为policy1的SSL服务器端策略的信息。

<Sysname> display ssl server-policy policy1

 SSL server policy: policy1

     PKI domain: server-domain

     Ciphersuites:

         DHE_RSA_AES_128_CBC_SHA

         RSA_AES_128_CBC_SHA

     Session cache size: 600

     Client-verify: enabled

表1-2 display ssl server-policy命令显示信息描述表

字段

描述

SSL server policy

SSL服务器端策略名

PKI domain

SSL服务器端策略使用的PKI域

Ciphersuites

SSL服务器端策略支持的加密套件

Session cache size

SSL服务器端可以缓存的最大会话数目

Client-verify

SSL服务器端策略的客户端验证模式,取值包括:

·     disabled:不要求对客户端进行基于数字证书的身份验证

·     enabled:要求对客户端进行基于数字证书的身份验证

 

1.1.5  pki-domain (SSL client policy view)

pki-domain命令用来配置SSL客户端策略所使用的PKI域。

undo pki-domain命令用来恢复缺省情况。

【命令】

pki-domain domain-name

undo pki-domain

【缺省情况】

没有指定SSL客户端策略所使用的PKI域。

【视图】

SSL客户端策略视图

【缺省用户角色】

network-admin

【参数】

domain-name:PKI域的域名,为1~31个字符的字符串,不区分大小写。

【使用指导】

如果通过本命令指定了SSL客户端策略使用的PKI域,则引用该客户端策略的SSL客户端将通过该PKI域获取客户端的数字证书。

【举例】

# 配置SSL客户端策略所使用的PKI域为client-domain。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] pki-domain client-domain

【相关命令】

·     display ssl client-policy

·     pki domain(安全命令参考/PKI)

1.1.6  pki-domain (SSL server policy view)

pki-domain命令用来配置SSL服务器端策略所使用的PKI域。

undo pki-domain命令用来恢复缺省情况。

【命令】

pki-domain domain-name

undo pki-domain

【缺省情况】

没有指定SSL服务器端策略所使用的PKI域。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

domain-name:PKI域的域名,为1~31个字符的字符串,不区分大小写。

【使用指导】

如果通过本命令指定了SSL服务器端策略使用的PKI域,则引用该服务器端策略的SSL服务器将通过该PKI域获取服务器端的数字证书。

【举例】

# 配置SSL服务器端策略所使用的PKI域为server-domain。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] pki-domain server-domain

【相关命令】

·     display ssl server-policy

·     pki domain(安全命令参考/PKI)

1.1.7  prefer-cipher

prefer-cipher命令用来配置SSL客户端策略支持的加密套件。

undo prefer-cipher命令用来恢复缺省情况。

【命令】

非FIPS模式下:

prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }

undo prefer-cipher

FIPS模式下:

prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha }

undo prefer-cipher

【缺省情况】

非FIPS模式下:

SSL客户端策略支持的加密套件为rsa_rc4_128_md5

FIPS模式下:

SSL客户端策略支持的加密套件为rsa_aes_128_cbc_sha

【视图】

SSL客户端策略视图

【缺省用户角色】

network-admin

【参数】

dhe_rsa_aes_128_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用128位的AES、MAC算法采用SHA。

dhe_rsa_aes_256_cbc_sha:密钥交换算法采用DHE RSA、数据加密算法采用256位的AES、MAC算法采用SHA。

exp_rsa_des_cbc_sha:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

exp_rsa_rc2_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC2、MAC算法采用MD5。

exp_rsa_rc4_md5:满足出口限制的算法套件。密钥交换算法采用RSA、数据加密算法采用RC4、MAC算法采用MD5。

rsa_3des_ede_cbc_sha:密钥交换算法采用RSA、数据加密算法采用3DES_EDE_CBC、MAC算法采用SHA。

rsa_aes_128_cbc_sha:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

rsa_aes_256_cbc_sha:密钥交换算法采用RSA、数据加密算法采用256位AES_CBC、MAC算法采用SHA。

rsa_des_cbc_sha:密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

rsa_rc4_128_md5:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。

rsa_rc4_128_sha:密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。

【使用指导】

为了提高安全性,SSL协议采用了如下算法:

·     数据加密算法:用来对传输的数据进行加密,以保证数据传输的私密性。常用的数据加密算法通常为对称密钥算法,如DES_CBC、3DES_EDE_CBC、AES_CBC、RC4等。使用对称密钥算法时,要求SSL服务器端和SSL客户端具有相同的密钥。

·     MAC(Message Authentication Code,消息验证码)算法:用来计算数据的MAC值,以防止发送的数据被篡改。常用的MAC算法有MD5、SHA等。使用MAC算法时,要求SSL服务器端和SSL客户端具有相同的密钥。

·     密钥交换算法:用来实现密钥交换,以保证对称密钥算法、MAC算法中使用的密钥在SSL服务器端和SSL客户端之间安全地传递。常用的密钥交换算法通常为非对称密钥算法,如RSA。

通过本命令可以配置SSL客户端策略支持的算法组合。例如,rsa_des_cbc_sha表示SSL客户端支持的密钥交换算法为RSA、数据加密算法为DES_CBC、MAC算法为SHA。

SSL客户端将本端支持的加密套件发送给SSL服务器,SSL服务器将自己支持的加密套件与SSL客户端支持的加密套件比较。如果SSL服务器支持的加密套件中存在SSL客户端支持的加密套件,则加密套件协商成功;否则,加密套件协商失败。

需要注意的是,如果多次执行本命令,则新的配置覆盖原有配置。

【举例】

# 配置SSL客户端策略支持的加密套件为:密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha

【相关命令】

·     ciphersuite

·     display ssl client-policy

1.1.8  server-verify enable

server-verify enable命令用来配置客户端需要对服务器端进行基于数字证书的身份验证。

undo server-verify enable命令用来配置客户端不要求对服务器端进行基于数字证书的身份验证,默认SSL服务器身份合法。

【命令】

server-verify enable

undo server-verify enable

【缺省情况】

SSL客户端需要对SSL服务器端进行基于数字证书的身份验证。

【视图】

SSL客户端策略视图

【缺省用户角色】

network-admin

【使用指导】

SSL通过数字证书实现对对端的身份进行验证。数字证书的详细介绍,请参见“安全配置指导”中的“PKI”。

如果执行了server-verify enable命令,则SSL服务器端需要将自己的数字证书提供给客户端,以便客户端对服务器端进行基于数字证书的身份验证。只有身份验证通过后,SSL客户端才会访问该SSL服务器。

【举例】

# 配置SSL客户端需要对SSL服务器端进行基于数字证书的身份验证。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] server-verify enable

【相关命令】

·     display ssl client-policy

1.1.9  session cachesize

session cachesize命令用来配置SSL服务器上可以缓存的最大会话数目。

undo session cachesize命令用来恢复缺省情况。

【命令】

session cachesize size

undo session cachesize

【缺省情况】

SSL服务器上可以缓存的最大会话数目为500个。

【视图】

SSL服务器端策略视图

【缺省用户角色】

network-admin

【参数】

size:缓存的最大会话数目,取值范围为100~1000。

【使用指导】

通过SSL握手协议协商会话参数并建立会话的过程比较复杂。为了简化SSL握手过程,SSL允许重用已经协商出的会话参数建立会话。为此,SSL服务器上需要保存已有的会话信息。本命令用来限制可以保存的会话数目。如果缓存的会话数目达到最大值,SSL将拒绝缓存新协商出的会话。

【举例】

# 配置SSL服务器上可以缓存的最大会话数目为600个。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1] session cachesize 600

【相关命令】

·     display ssl server-policy

1.1.10  ssl client-policy

ssl client-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图。

undo ssl client-policy命令用来删除已创建的SSL客户端策略。

【命令】

ssl client-policy policy-name

undo ssl client-policy policy-name

【缺省情况】

设备上不存在任何SSL客户端策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写。

【使用指导】

SSL客户端策略视图下可以配置SSL客户端启动时使用的SSL参数,如使用的PKI域、支持的加密套件等。只有与应用层协议,如DDNS(Dynamic Domain Name System,动态域名系统),关联后,SSL客户端策略才能生效。

【举例】

# 创建SSL客户端策略policy1,并进入SSL客户端策略视图。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1]

【相关命令】

·     display ssl client-policy

1.1.11  ssl server-policy

ssl server-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图。

undo ssl server-policy命令用来删除已创建的SSL服务器端策略。

【命令】

ssl server-policy policy-name

undo ssl server-policy policy-name

【缺省情况】

设备上不存在任何SSL服务器端策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写。

【使用指导】

SSL服务器端策略视图下可以配置SSL服务器启动时使用的SSL参数,如使用的PKI域、支持的加密套件等。只有与HTTPS等应用关联后,SSL服务器端策略才能生效。

【举例】

# 创建SSL服务器端策略policy1,并进入SSL服务器端策略视图。

<Sysname> system-view

[Sysname] ssl server-policy policy1

[Sysname-ssl-server-policy-policy1]

【相关命令】

·     display ssl server-policy

1.1.12  ssl version ssl3.0 disable

ssl version ssl3.0 disable命令用来关闭SSL 3.0版本。

undo ssl version ssl3.0 disable命令用来恢复缺省情况。

【命令】

ssl version ssl3.0 disable

undo ssl version ssl3.0 disable

【缺省情况】

允许使用SSL 3.0版本。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

由于SSL 3.0版本存在一些已知的安全漏洞,当设备对系统安全性有较高要求时可以通过命令行关闭SSL 3.0版本。

需要注意的是:

·     对于SSL客户端,如果在系统视图下关闭了SSL 3.0版本,但在SSL客户端策略视图下配置使用SSL 3.0版本(通过命令version ssl 3.0),则该SSL客户端仍可使用SSL 3.0版本。

·     对于SSL服务器端,如果在系统视图下关闭了SSL 3.0版本,则SSL服务器端只能使用TLS 1.0版本。

·     如果对端设备仅支持SSL 3.0版本,则为保持互通,本端设备不应关闭SSL 3.0版本,但为了提高安全性,建议对端设备尽快升级,以支持TLS 1.0版本。

【举例】

# 关闭SSL 3.0版本。

<Sysname> system-view

[Sysname] ssl version ssl3.0 disable

1.1.13  version

version命令用来配置SSL客户端策略使用的SSL协议版本。

undo version命令恢复缺省情况。

【命令】

非FIPS模式下:

version { ssl3.0 | tls1.0 }

undo version

FIPS模式下:

version tls1.0

undo version

【缺省情况】

SSL客户端策略使用的SSL协议版本为TLS 1.0。

【视图】

SSL客户端策略视图

【缺省用户角色】

network-admin

【参数】

ssl3.0:版本为SSL 3.0。

tls1.0:版本为TLS 1.0。

【使用指导】

如果多次执行本命令,则新的配置覆盖原有配置。

如果使用本命令配置SSL协议版本为SSL 3.0,但在系统视图下关闭了SSL 3.0版本(通过命令ssl version ssl3.0 disable),则根据局部优先全局的原则,SSL客户端仍可使用SSL 3.0版本。

如果使用本命令配置SSL协议版本为TLS 1.0,客户端首先尝试使用TLS 1.0版本的协议连接服务器,若握手失败,则切换为SSL 3.0版本的协议继续尝试连接。因此,在对安全性要求较高的环境下,建议通过本命令配置SSL协议版本为TLS 1.0,并在系统视图下关闭SSL3.0版本。

【举例】

# 配置SSL客户端策略使用的SSL协议版本为TLS 1.0。

<Sysname> system-view

[Sysname] ssl client-policy policy1

[Sysname-ssl-client-policy-policy1] version tls1.0

【相关命令】

·     display ssl client-policy

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们