操作步骤

1. 上传服务器数字证书文件和私钥文件

   可通过SFTP等方式上传服务器数字证书文件和私钥文件，且要保存至security目录。如果设备上没有security目录，可以通过命令mkdir security创建。文件上传的具体操作过程请参见管理本地文件。

   说明：

   上传完成后，请在用户视图下执行命令dir，对比上传到设备的服务器数字证书文件和私钥文件大小是否与文件服务器上的一致。如果不一致，可能是在文件上传过程中出现异常，请重新上传。

2. 配置SSL策略并加载数字证书文件
   1. 执行命令system-view，进入系统视图。
   2. （可选）定制SSL算法套。

      1. 执行命令ssl cipher-suite-list customization-policy-name，创建SSL算法套定制策略并进入定制策略视图，如果已存在同名的SSL算法套定制策略，则进入该SSL算法套定制策略视图。

         缺省情况下，没有配置SSL算法套定制策略。

         为了提升设备安全性，缺省情况下，设备只支持安全算法。但为了提高兼容性，设备支持算法套定制功能。用户可根据需求通过该命令定制算法套。

      2. 执行命令set cipher-suite { tls1_ck_rsa_with_aes_256_sha | tls1_ck_rsa_with_aes_128_sha | tls1_ck_rsa_rc4_128_sha | tls1_ck_dhe_rsa_with_aes_256_sha | tls1_ck_dhe_dss_with_aes_256_sha | tls1_ck_dhe_rsa_with_aes_128_sha | tls1_ck_dhe_dss_with_aes_128_sha | tls12_ck_rsa_aes_256_cbc_sha256 }，配置SSL算法套定制策略中支持的算法套。

         缺省情况下，SSL算法套定制策略中没有配置算法套。

         配置算法套定制策略中支持的算法套后，SSL协商时将使用定制策略中配置的策略进行协商。

         如果算法套定制策略已经被SSL策略引用，可以对算法套进行增加、修改和部分删除，但不能将算法套定制策略中的算法套全部删除。

      3. 执行命令quit，退出SSL算法套定制策略视图，返回系统视图。

   3. 执行命令ssl policy policy-name，创建SSL策略并进入SSL策略视图。
   4. （可选）执行命令ssl minimum version { ssl3.0 | tls1.0 | tls1.1 | tls1.2 }设置SSL策略所采用的最低SSL版本。

      缺省情况下，SSL策略所采用的最低SSL版本为TLS1.1。

   5. （可选）执行命令binding cipher-suite-customization customization-policy-name，在SSL策略中绑定指定的SSL算法套定制策略。

      缺省情况下，SSL策略未绑定算法套定制策略，使用默认的算法套。SSL策略默认支持如下算法套：

      • tls1_ck_rsa_with_aes_256_sha
      • tls1_ck_rsa_with_aes_128_sha
      • tls1_ck_dhe_rsa_with_aes_256_sha
      • tls1_ck_dhe_dss_with_aes_256_sha
      • tls1_ck_dhe_rsa_with_aes_128_sha
      • tls1_ck_dhe_dss_with_aes_128_sha
      • tls12_ck_rsa_aes_256_cbc_sha256

      配置算法套定制策略中支持的算法套，SSL协商时将使用定制策略中配置的策略进行协商。

      绑定算法套定制策略时，指定的算法套策略中需存在算法套。

      绑定的SSL算法套定制策略中如果仅有一种类型的算法（RSA或DSS），SSL策略需要加载对应类型的证书，确保SSL协商时能成功。

   6. 加载数字证书并指定私钥文件。

      一个SSL策略只能加载一个证书或者证书链（证书链是指从终端实体证书到根证书的一系列可信任证书构成的证书序列）。如果已经加载了证书或者证书链，加载新证书或者证书链之前必须先执行命令undo certificate load卸载旧证书或者证书链。请根据证书类型，选择相应的配置。

      说明：

      配置SSL策略加载证书或证书链时，证书或证书链中密钥对长度最大为2048位。如果该长度超过2048位，证书文件或证书链文件将无法上传到设备中使用。

      • 加载PEM格式的数字证书或证书链。根据用户从CA处获取的是数字证书还是证书链，以下两条命令选择一条执行。
        • 执行命令certificate load pem-cert cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code，加载PEM格式的数字证书并指定私钥文件。

        • 执行命令certificate load pem-chain cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code，加载PEM格式的证书链并指定私钥文件。

      • 执行命令certificate load asn1-cert cert-filename key-pair { dsa | rsa } key-file key-filename，加载ASN1格式的数字证书并指定私钥文件。
      • 执行命令certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code，加载PFX格式的数字证书并指定私钥文件。
      说明：

      从V200R002及之后版本降级至以前版本时，需要先备份当前配置中加载的SSL私钥文件。