华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置SSL策略
配置SSL策略
前提条件
客户端或服务器已从CA(Certificate Authority,证书机构)申请了证书文件,并将证书上传到系统目录下名为security的子目录下。
背景信息
SSL利用数据加密、身份验证和消息完整性验证机制,为基于TCP可靠连接的应用层协议提供安全性保证。应用层协议可以关联SSL策略,使应用层协议与SSL结合,从而为应用层协议提供安全连接。
设备支持作为SSL客户端或者SSL服务器,角色不同对应SSL策略配置也不同,请根据设备所处的角色选择相应的配置。
操作步骤
- 设备作为客户端
- 执行命令system-view,进入系统视图。
- 执行命令ssl policy policy-name,配置SSL策略并进入SSL策略视图。
- (可选)执行命令ssl minimum version { tls1.1 | tls1.2 },配置当前SSL策略所采用的最低版本。
缺省情况下,SSL策略所采用的最低版本为TLS1.2。
SSL策略所支持的SSL版本包括TLS1.1、TLS1.2,其安全性依次升高,建议用户使用TLS1.2。
- (可选)执行命令ssl verify { basic-constrain | key-usage | version { cert-version3 | crl-version2 } } enable,使能证书校验功能。
缺省情况下,证书校验功能去使能。
- (可选)执行命令ssl verify certificate-chain minimum-path-length path-length,配置数字证书链的最小路径长度。
缺省情况下,数字证书链的最小路径长度是1。
- (可选)执行命令certificate load,加载数字证书。
仅当服务器要求对客户端进行身份认证时才需要配置此步骤。
当前支持PEM格式证书、PFX格式证书和PEM格式的证书链,请根据需要加载一个证书或者证书链。
- (可选)执行命令crl load { pem-crl | asn1-crl } crl-filename,加载数字证书撤销列表CRL(Certificate Revocation List)。
证书撤销列表CRL由CA发布的,列举着所有在有效期内但被撤销的无效的数字证书。客户端加载了CRL后,会检查服务器发送的证书是否在CRL中声明,以判断该证书是否有效。
一个SSL策略最多可以同时加载2个CRL。缺省情况下,SSL策略未加载CRL。
- 执行命令trusted-ca load,加载信任证书机构文件。
信任证书机构文件用于验证服务器发送的数字证书的真实性。一个SSL策略最多可以同时加载4个信任证书机构文件。 缺省情况下,SSL策略未加载信任证书机构文件。
- 执行命令commit,提交配置。
- 设备作为服务器
- 执行命令system-view,进入系统视图。
- 执行命令ssl policy policy-name,配置SSL策略并进入SSL策略视图。
- (可选)执行命令ssl minimum version { tls1.1 | tls1.2 },配置当前SSL策略所采用的最低版本。
缺省情况下,SSL策略所采用的最低版本为TLS1.2。
SSL策略所支持的SSL版本包括TLS1.1、TLS1.2,其安全性依次升高,建议用户使用TLS1.2。
- (可选)执行命令ssl verify { basic-constrain | key-usage | version { cert-version3 | crl-version2 } } enable,使能证书校验功能。
缺省情况下,证书校验功能去使能。
- (可选)执行命令ssl verify certificate-chain minimum-path-length path-length,配置数字证书链的最小路径长度。
缺省情况下,数字证书链的最小路径长度是1。
- 执行命令certificate load,加载数字证书。
当前支持PEM格式证书、PFX格式证书和PEM格式的证书链,请根据需要加载一个证书或者证书链。
- (可选)执行命令crl load { pem-crl | asn1-crl } crl-filename,加载数字证书撤销列表CRL。
证书撤销列表CRL(Certificate Revocation List)由CA发布的,列举着所有在有效期内但被撤销的无效的数字证书。服务器加载了CRL后,会检查客户端发送的证书是否在CRL中声明,以判断该证书是否有效。
一个SSL策略最多可以同时加载2个CRL。 缺省情况下,SSL策略未加载CRL。
- (可选)执行命令trusted-ca load,加载信任证书机构文件。
仅当服务器要求对客户端进行身份认证时才需要配置此步骤。
信任证书机构文件用于验证客户端发送的数字证书的真实性。一个SSL策略最多可以同时加载4个信任证书机构文件。 缺省情况下,SSL策略未加载信任证书机构文件。
- 执行命令commit,提交配置。
检查配置结果
执行命令display ssl policy policy-name,查看SSL策略的配置信息。