客户端ssl协议
阅读ssl协议时间:2021-02-243360 ()
I目录1 SSL1- 11。
1SSL配置文件1-11。
1.
1SSL安全机制1-11。
1.
2SSL协议结构1-11。
2SSL部署任务概要1-21。
配置SSL服务器端策略1-21。
配置SSL客户端策略1-31。
5SSL显示和维护1-41-11SSL1。
1安全套接字层(SSL )是一种安全协议,它为基于TCP的APP应用层协议(如HTTP )提供安全连接。
SSL协议广泛应用于电子商务、网银等领域,为APP应用层数据的传输提供安全性保证。
1.
1.
1SSL安全机制SSL提供的安全连接可以实现以下功能3360。 使用保证:数据传输机密性的:对称密钥算法加密传输的数据,并使用密钥交换算法(例如rivestshamirandadleman (RSA ) )加密传输对称密钥算法中使用的密钥。
有关对称密钥算法和非对称密钥算法RSA的详细信息,请参阅《安全配置指南》中的公钥管理。
认证数据源:基于数字证书使用数字签名方法来认证SSL服务器和SSL客户端。
SSL服务器和SSL客户端通过公共密钥基础架构(PKI )提供的机制获取数字证书。
有关PKI和数字证书的详细信息,请参阅《安全配置指南》中的PKI。
在保证数据完整性的:消息传输过程中使用消息认证码(MAC )验证消息的完整性。
MAC算法在密钥的参与下,将任意长度的原始数据转换为固定长度的数据,而不管原始数据如何变化,计算的固定长度的数据都不会变化。
如图1-1所示,使用MAC算法验证消息的完整性的过程是:a。
发送者在密钥参与下使用MAC算法计算消息的MAC值,并将MAC值添加到消息并发送给接收者。
b.
接收者使用相同的密钥和MAC算法计算消息的MAC值,并将其与接收到的MAC值进行比较。
c.
如果两者相同,则接收者认为消息没有被篡改; 否则,该消息被认为在发送过程中被篡改,接收方丢弃该消息。
图1-1MAC算法的图像1。
1.
2SSL协议结构如图1-2所示,SSL协议分为两层:下层SSL记录协议(SSLRecordProtocol ); 上层是SSL握手协议(SSLHandshakeProtocol )、SSL密码更改协议(SSLChangeCipherSpecProtocol )和SSL警报协议。
发送到密钥消息发送者消息接收者MAC密钥接收者比较消息计算MACMAC1-2图1-2SSL协议栈SSL记录协议:主要进行高层数据的分块、计算、MAC的添加、加密
SSL握手协议:协商用于通信的加密套件(数据加密算法、密钥交换算法、MAC算法等),实现服务器和客户端的认证,并在服务器和客户端之间安全地存储密钥
客户端和服务器通过握手建立会话。
会话包含一组参数,主要包括会话ID、对方的数字证书、加密套件和主密钥。
SSL加密更改协议:客户端和服务器端通过加密更改协议通知对方,后续消息将使用新协商的加密套件和密钥进行保护和发送。
SSL警告协议:用于向对方报告警告信息,并使对方进行适当的处理。
警告消息包含警告的重要性和说明。
1.
2SSL配置工作概要表1-1SSL配置工作概要配置工作说明详细配置SSL服务器端策略请在SSL服务器端进行本配置1。
3配置SSL客户端策略在SSL客户端上执行此配置1。
41.
3配置SSL服务器端策略SSL服务器端策略是启动服务器时使用的SSL参数。
只有与APP应用程序(如HTTPS )相关联时,才会启用SSL server端策略。
表1-2SSL服务器端策略操作命令配置说明创建进入“系统视图”的system-view-SSL服务器端策略,然后进入“SSL服务器端策略”视图的SSL server-policy-name (可选)用于配置SSL服务器端策略的PKI域pki-domaindomain-name默认情况下,未指定要在SSL服务器端策略中使用的PKI域。 如果客户端需要在服务器端进行基于数字证书的认证,则必须在SSL服务器端使用此命令指定PKI域。 此外,还将申请如何在此PKI域中为SSL服务器端的本地数字证书创建和配置PKI域。 SSL服务器端策略支持的加密套件cipher suite { dhe _ RSA _ AES _ 128 _ CBC _ sha,请参阅《安全配置指南》中的“PKI'1-3操作命令说明”
_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}*缺省情况下,SSL服务器端策略支持所有的加密套件配置SSL服务器上可以缓存的最大会话数目sessioncachesizesize缺省情况下,SSL服务器上可以缓存的最大会话数目为500个配置SSL服务器端要求对SSL客户端进行基于数字证书的身份验证client-verifyenable缺省情况下,SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证目前,SSL协议版本主要有SSL2.0、SSL3.
0和TLS1.
0(TLS1.
0对应SSL协议的版本号为3.
1).
设备作为SSL服务器时,可以与SSL3.
0和TLS1.
0版本的SSL客户端通信,还可以识别同时兼容SSL2.
0和SSL3.
0/TLS1.
0版本的SSL客户端发送的报文,并通知该客户端采用SSL3.
0/TLS1.
0版本与SSL服务器通信.
1.
4配置SSL客户端策略SSL客户端策略是客户端连接SSL服务器时使用的参数.
只有与应用层协议,如DDNS(DynamicDomainNameSystem,动态域名系统),关联后,SSL客户端策略才能生效.
表1-3配置SSL客户端策略配置任务命令说明进入系统视图system-view-创建SSL客户端策略,并进入SSL客户端策略视图sslclient-policypolicy-name缺省情况下,设备上不存在任何SSL客户端策略(可选)配置SSL客户端策略所使用的PKI域pki-domaindomain-name缺省情况下,没有指定SSL客户端策略所使用的PKI域如果服务器端需要对客户端进行基于数字证书的身份验证,则必须在SSL客户端使用本命令指定PKI域,并在该PKI域内为SSL客户端申请本地数字证书PKI域的创建及配置方法,请参见"安全配置指导"中的"PKI"配置SSL客户端策略支持的加密套件prefer-cipher{dhe_rsa_aes_128_cbc_sha|dhe_rsa_aes_256_cbc_sha|exp_rsa_des_cbc_sha|exp_rsa_rc2_md5|exp_rsa_rc4_md5|rsa_3des_ede_cbc_sha|rsa_aes_128_cbc_sha|rsa_aes_256_cbc_sha|rsa_des_cbc_sha|rsa_rc4_128_md5|rsa_rc4_128_sha}缺省情况下,SSL客户端策略支持的加密套件为rsa_rc4_128_md5配置SSL客户端策略使用的SSL协议版本version{ssl3.
0|tls1.
0}缺省情况下,SSL客户端策略使用的SSL协议版本为TLS1.
01-4配置任务命令说明配置客户端需要对服务器端进行基于数字证书的身份验证server-verifyenable缺省情况下,SSL客户端需要对SSL服务器端进行基于数字证书的身份验证1.
5SSL显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后SSL的运行情况,通过查看显示信息验证配置的效果.
表1-4SSL显示和维护操作命令显示SSL服务器端策略的信息displaysslserver-policy[policy-name]显示SSL客户端策略的信息displaysslclient-policy[policy-name]
ssl协议为你推荐
fc2最新域名 国外vps主机 快速域名备案 如何查询域名备案号 三级域名网站 备案域名出售 wordpress主机 vir hostgator vpsio z.com webhosting 鲨鱼机 免备案空间 gateone 网站监控 777te 52测评网 个人域名 vip购优汇 更多