H3C 华为 08SSL命令.docx
《H3C 华为 08SSL命令.docx》由会员分享,可在线阅读,更多相关《H3C 华为 08SSL命令.docx(15页珍藏版)》请在冰点文库上搜索。
![H3C 华为 08SSL命令.docx](https://file1.bingdoc.com/fileroot1/2023-5/31/93aa5937-3f5f-4a09-a2e4-4991d151b2b8/93aa5937-3f5f-4a09-a2e4-4991d151b2b81.gif)
H3C华为08SSL命令
08-SSL命令
目 录
1SSL配置命令...1-1
1.1SSL配置命令..1-1
1.1.1ciphersuite.1-1
1.1.2client-verifyenable.1-2
1.1.3close-modewait1-2
1.1.4displaysslclient-policy.1-3
1.1.5displaysslserver-policy.1-4
1.1.6handshaketimeout1-5
1.1.7pki-domain.1-5
1.1.8prefer-cipher1-6
1.1.9session.1-7
1.1.10sslclient-policy.1-8
1.1.11sslserver-policy.1-8
1.1.12version.1-9
1SSL配置命令
1.1 SSL配置命令
1.1.1 ciphersuite
【命令】
ciphersuite[rsa_aes_128_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha]*
【视图】
SSL服务器端策略视图
【缺省级别】
2:
系统级
【参数】
rsa_aes_128_cbc_sha:
密钥交换算法采用RSA、数据加密算法采用128位AES_CBC、MAC算法采用SHA。
rsa_des_cbc_sha:
密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。
rsa_rc4_128_md5:
密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。
rsa_rc4_128_sha:
密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。
【描述】
ciphersuite命令用来配置SSL服务器端策略支持的加密套件。
缺省情况下,SSL服务器端策略支持所有的加密套件。
需要注意的是:
● 如果不指定任何参数,则SSL服务器端策略支持上述6种加密套件。
● 如果多次执行本命令,则新的配置覆盖原有配置。
相关配置可参考命令displaysslserver-policy。
【举例】
#指定SSL服务器端策略支持的加密套件为rsa_rc4_128_md5和rsa_rc4_128_sha。
system-view
[Sysname]sslserver-policypolicy1
[Sysname-ssl-server-policy-policy1]ciphersuitersa_rc4_128_md5rsa_rc4_128_sha
1.1.2 client-verifyenable
【命令】
client-verifyenable
undoclient-verifyenable
【视图】
SSL服务器端策略视图
【缺省级别】
2:
系统级
【参数】
无
【描述】
client-verifyenable命令用来使能基于证书的SSL客户端身份验证,即在SSL握手过程中,服务器端需要对客户端进行基于证书的身份验证。
undoclient-verifyenable命令用来恢复缺省情况。
缺省情况下,不需要进行基于证书的SSL客户端身份验证。
相关配置可参考命令displaysslserver-policy。
【举例】
#配置握手过程中,服务器端需要对客户端进行基于证书的身份验证。
system-view
[Sysname]sslserver-policypolicy1
[Sysname-ssl-server-policy-policy1]client-verifyenable
1.1.3 close-modewait
【命令】
close-modewait
undoclose-modewait
【视图】
SSL服务器端策略视图
【缺省级别】
2:
系统级
【参数】
无
【描述】
close-modewait命令用来配置SSL连接的关闭模式为wait模式,即发送close-notify警告消息给客户端后,等待客户端的close-notify警告消息,在接收到客户端的close-notify警告消息后才能关闭连接。
undoclose-modewait命令用来恢复缺省情况。
缺省情况下,服务器发送close-notify警告消息给客户端,不等待客户端的close-notify警告消息,直接关闭连接。
相关配置可参考命令displaysslserver-policy。
【举例】
#设定SSL连接的关闭模式为wait模式。
system-view
[Sysname]sslserver-policypolicy1
[Sysname-ssl-server-policy-policy1]close-modewait
1.1.4 displaysslclient-policy
【命令】
displaysslclient-policy{policy-name|all}
【视图】
任意视图
【缺省级别】
1:
监控级
【参数】
policy-name:
显示指定的SSL客户端策略的信息,为1~16个字符的字符串,不区分大小写。
all:
显示所有SSL客户端策略的信息。
【描述】
displaysslclient-policy命令用来显示SSL客户端策略的信息。
【举例】
#显示名为policy1的SSL客户端策略信息。
displaysslclient-policypolicy1
SSLClientPolicy:
policy1
SSLVersion:
SSL3.0
PKIDomain:
1
PreferCiphersuite:
RSA_RC4_128_SHA
表1-1displaysslclient-policy命令显示信息描述表
字段
描述
SSLClientPolicy
SSL客户端策略名
SSLVersion
SSL客户端策略使用的协议版本号,取值包括SSL3.0和TLS1.0
PKIDomain
SSL客户端策略使用的PKI域
PreferCiphersuite
SSL客户端策略的首选加密套件
1.1.5 displaysslserver-policy
【命令】
displaysslserver-policy{policy-name|all}
【视图】
任意视图
【缺省级别】
1:
监控级
【参数】
policy-name:
显示指定的SSL服务器端策略的信息,为1~16个字符的字符串,不区分大小写。
all:
显示所有SSL服务器端策略的信息。
【描述】
displaysslserver-policy命令用来显示SSL服务器端策略的信息。
【举例】
#显示名为policy1的SSL服务器端策略的信息。
displaysslserver-policypolicy1
SSLServerPolicy:
policy1
PKIDomain:
domain1
Ciphersuite:
RSA_RC4_128_MD5
RSA_RC4_128_SHA
RSA_DES_CBC_SHA
RSA_AES_128_CBC_SHA
HandshakeTimeout:
3600
Close-mode:
waitdisabled
SessionTimeout:
3600
SessionCachesize:
500
Client-verify:
disabled
表1-2displaysslserver-policy命令显示信息描述表
字段
描述
SSLServerPolicy
SSL服务器端策略名
PKIDomain
SSL服务器端策略使用的PKI域
Ciphersuite
SSL服务器端策略支持的加密套件
HandshakeTimeout
SSL服务器端策略的握手连接保持时间,单位为秒
Close-mode
SSL服务器端策略的关闭模式,取值包括:
● waitdisabled:
SSL连接的关闭模式为非wait模式,即服务器发送close-notify警告消息给客户端,不等待客户端的close-notify警告消息,直接关闭连接
● waitenabled:
SSL连接的关闭模式为wait模式,即发送close-notify警告消息给客户端后,等待客户端的close-notify警告消息,在接收到客户端的close-notify警告消息后才能关闭连接
SessionTimeout
SSL服务器端策略会话缓存的超时时间,单位为秒
SessionCachesize
SSL服务器端策略可以缓存的最大会话数目
Client-verify
SSL服务器端策略的客户端验证模式,取值包括:
● disabled:
不需要对客户端进行身份验证
● enabled:
需要对客户端进行身份验证
1.1.6 handshaketimeout
【命令】
handshaketimeouttime
undohandshaketimeout
【视图】
SSL服务器端策略视图
【缺省级别】
2:
系统级
【参数】
time:
握手连接的保持时间,取值范围为180~7200,单位为秒。
【描述】
handshaketimeout命令用来配置SSL服务器端策略的握手连接保持时间。
undohandshaketimeout命令用来恢复缺省情况。
缺省情况下,SSL服务器端策略的握手连接保持时间为3600秒。
如果SSL服务器在握手连接保持时间内没有收到SSL客户端的报文,则SSL服务器将终止当前的SSL握手过程。
相关配置可参考命令displaysslserver-policy。
【举例】
#配置SSL服务器端策略的握手连接保持时间为3000秒。
system-view
[Sysname]sslserver-policypolicy1
[Sysname-ssl-server-policy-policy1]handshaketimeout3000
1.1.7 pki-domain
【命令】
pki-domaindomain-name
undopki-domain
【视图】
SSL服务器端策略视图/SSL客户端策略视图
【缺省级别】
2:
系统级
【参数】
domain-name:
PKI域的域名,为1~15个字符的字符串,不区分大小写。
【描述】
pki-domain命令用来配置SSL服务器端策略或SSL客户端策略所使用的PKI域。
undopki-domain命令恢复缺省情况。
缺省情况下,没有配置SSL服务器端策略和SSL客户端策略所使用PKI域。
相关配置可参考命令displaysslserver-policy和displaysslclient-policy。
【举例】
#配置SSL服务器端策略所使用的PKI域为server-domain。
system-view
[Sysname]sslserver-policypolicy1
[Sysname-ssl-server-policy-policy1]pki-domainserver-domain
#配置SSL客户端策略所使用的PKI域为client-domain。
system-view
[Sysname]sslclient-policypolicy1
[Sysname-ssl-client-policy-policy1]pki-domainclient-domain
1.1.8 prefer-cipher
【命令】
prefer-cipher{rsa_aes_128_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}
undoprefer-cipher
【视图】
SSL客户端策略视图
【缺省级别】
2:
系统级
【参数】
rsa_aes_128_cbc_sha:
密钥交换算法采用RSA、数据加密算法采用128位AES_CBC算法、MAC算法采用SHA。
rsa_des_cbc_sha:
密钥交换算法采用RSA、数据加密算法采用DES_CBC算法、MAC算法采用SHA。
rsa_rc4_128_md5:
密钥交换算法采用RSA、数据加密算法采用128位的RC4算法、MAC算法采用MD5。
rsa_rc4_128_sha:
密钥交换算法采用RSA、数据加密算法采用128位的RC4算法、MAC算法采用SHA。
【描述】
prefer-cipher命令用来配置SSL客户端策略的首选加密套件。
undoperfer-cipher命令用来恢复缺省情况。
缺省情况下,SSL客户端策略的首选加密套件为rsa_rc4_128_md5。
相关配置可参考命令displaysslclient-policy。
【举例】
#配置SSL客户端策略的首选加密套件为rsa_aes_128_cbc_sha。
system-view
[Sysname]sslclient-policypolicy1
[Sysname-ssl-client-policy-policy1]prefer-cipherrsa_aes_128_cbc_sha
1.1.9 session
【命令】
session{cachesizesize|timeouttime}*
undosession{cachesize|timeout}*
【视图】
SSL服务器端策略视图
【缺省级别】
2:
系统级
【参数】
cachesizesize:
缓存的最大会话数目,size取值范围为100~1000。
timeouttime:
会话缓存的超时时间,time取值范围为1800~72000,单位为秒。
【描述】
session命令用来配置缓存的最大会话数目和会话缓存的超时时间。
undosession命令用来恢复缓存的最大会话数目或会话缓存超时时间为缺省情况。
缺省情况下,缓存的最大会话数目为500个,会话缓存的超时时间为3600秒。
通过SSL握手协议协商会话参数并建立会话的过程比较复杂。
为了简化SSL握手过程,SSL允许重用已经协商过的会话参数建立会话。
为此,SSL服务器上需要保存已有的会话信息。
保存的会话信息的数目和保存时间具有一定的限制:
● 如果缓存的会话数目达到最大值,SSL将拒绝缓存新的会话;
● 会话保存的时间超过设定的时间后,SSL将删除该会话的信息。
相关配置可参考命令displaysslserver-policy。
【举例】
#配置会话缓存的超时时间为4000秒,缓存的最大会话数目为600个。
system-view
[Sysname]sslserver-policypolicy1
[Sysname-ssl-server-policy-policy1]sessiontimeout4000cachesize600
1.1.10 sslclient-policy
【命令】
sslclient-policypolicy-name
undosslclient-policy{policy-name|all}
【视图】
系统视图
【缺省级别】
2:
系统级
【参数】
policy-name:
SSL客户端策略名,为1~16个字符的字符串,不区分大小写,该字符串不能是“a”,“al”和“all”。
all:
所有SSL客户端策略。
【描述】
sslclient-policy命令用来创建SSL客户端策略,并进入SSL客户端策略视图。
undosslclient-policy命令用来删除已创建的SSL客户端策略。
相关配置可参考命令displaysslclient-policy。
【举例】
#创建名为policy1的SSL客户端策略,并进入该SSL客户端策略视图。
system-view
[Sysname]sslclient-policypolicy1
[Sysname-ssl-client-policy-policy1]
1.1.11 sslserver-policy
【命令】
sslserver-policypolicy-name
undosslserver-policy{policy-name|all}
【视图】
系统视图
【缺省级别】
2:
系统级
【参数】
policy-name:
SSL服务器端策略名,为1~16个字符的字符串,不区分大小写,该字符串不能是“a”,“al”和“all”。
all:
所有的SSL服务器端策略。
【描述】
sslserver-policy命令用来创建SSL服务器端策略,并进入SSL服务器端策略视图。
undosslserver-policy命令用来删除已创建的SSL服务器端策略。
需要注意的是,SSL服务器端策略与应用层协议关联后,无法删除该策略。
相关配置可参考命令displaysslserver-policy。
【举例】
#创建名为policy1的SSL服务器端策略,并进入该SSL服务器端策略视图。
system-view
[Sysname]sslserver-policypolicy1
[Sysname-ssl-server-policy-policy1]
1.1.12 version
【命令】
version{ssl3.0|tls1.0}
undoversion
【视图】
SSL客户端策略视图
【缺省级别】
2:
系统级
【参数】
ssl3.0:
版本号为SSL3.0。
tls1.0:
版本号为TLS1.0。
【描述】
version命令用来配置SSL客户端策略使用的SSL协议版本。
undoversion命令恢复缺省情况。
缺省情况下,SSL客户端策略使用的SSL协议版本号为TLS1.0。
相关配置可参考命令displaysslclient-policy。
【举例】
#配置SSL客户端策略使用的SSL协议版本号为SSL3.0。
system-view
[Sysname]sslclient-policypolicy1
[Sysname-ssl-client-policy-policy1]versionssl3.0