Konfigurieren der ADC-Enrust-Integration

Das folgende fluss图表zeigt die Aufgaben, die Sie ausführen müssen, um Entrust HSM mit einem Citrix ADC zu verwenden:

Wie im vorherigen Flussdiagramm gezeigt, führen Sie die folgenden Aufgaben aus:

1. Aktivieren Sie远程配置推送auf dem HSM。
2. konfigureren Sie den ADC für die Verwendung des Entrust HSM。
   • Fügen Sie die nsip - address im HSM hinzu。
   • Konfigurieren Sie die Zugriffsberechtigung für den ADC auf dem RFS。
   • 配置文件自动启动Hardserver贝姆Booten。
   • 注册人您好，我们是ADC。
   • Fügen Sie RFS-Details zum ADC hinzu。
   • 同步人Sie den ADC mit dem RFS。
   • 斯特伦Sie sicher, dass委托HSM erfolgreich bem ADC注册员。
3. (可选)Erstellen Sie einen HSM-RSA-Schlüssel。
4. 配置图库:Entitäten auf dem Citrix ADC
   • Fügen Sie den HSM-Schlüssel hinzu。
   • Fügen Sie mit dem HSM-Schlüssel ein Zertifikatschlüsselpaar hinzu。
   • Fügen Sie einen virtuellen服务器hinzu。
   • Fügen Sie ein Serverobjekt hinzu。
   • Fügen Sie einen Dienst hinzu。
   • 宾登您的书房是一个虚拟服务器。
   • 宾登Sie das Zertifikatschlüsselpaar一个den virtuellen服务器。
   • Überprüfen Sie die配置。

HSM的委托

RFS的ip地址委托HSM，该死的配置，RFS和ihn schiet。verfahen Sie die NShield connectfrontplatte Entrust HSM，嗯folgende Verfahren auszuführen。

ip地址是指远程计算机委托HSM

1. Navigieren您祖茂堂systemconfiguration> configurationsdateioptionen > Automatisches Push zulassen．
2. 民意调查您在计算机ip地址(RFS)和配置系统。

Aktivieren Sie das Pushen der remoteconfigurationauf dem HSM

RFS的ip地址委托HSM，该死的配置，RFS和ihn schiet。verfahen Sie die NShield connectfrontplatte Entrust HSM，嗯folgende Verfahren auszuführen。

ip地址是指远程计算机委托HSM

1. Navigieren您祖茂堂systemconfiguration> configurationsdateioptionen > Automatisches Push zulassen．
2. 民意调查您在计算机ip地址(RFS)和配置系统。

konfigureren Sie den ADC für die Verwendung des Entrust HSM

Beispielwerte，死在dieser dokumtion verwendet werden

NSIP-Adresse = 10.217.2.43

Vertrauen Sie HSM ip - address =10.217.2.112 an

RFS-IP-Adresse = 10.217.2.6

Fügen Sie die nsip - address auf dem HSM hinzu

Normalerweise verwenden Sie die NShield Connect-Frontplatte, um Clients zum HSM hinzuzufügen。Weitere信息en finden Sie在NShield连接快速入门指南。

Alternativ können Sie mit dem den ADC als Client zum HSM hinzufügen。Um den ADC hinzuzufügen, müssen Sie die nsip address in HSM- configuration auf dem RFS hinzufügen und die configuration dann an das HSM übertragen。Bevor Sie die configuration pushen können, müssen Sie die elektronische seriennumber (ESN) des HSM kennen。

Um den ESN Ihres HSM abzurufen, führen Sie den folgenden Befehl auf dem RFS aus:

root@ns# /opt/nfast/bin/anonkneti  

Beispiel:

root@ns# /opt/nfast/bin/anonkneti 10.217.2.112 BD17-C807-58D9 5e30a698f7bab3b2068ca90a9488dc4e6c78d822 

模具编号BD17-C807-58D9。

Nachdem Sie die esn - number haben, verwenden Sie einen Editor wie vi, um die hsm - configurationsdatei auf dem RFS zu bearbeiten。

vi / opt / nfast / kmdata / hsm-BD17-C807-58D9 / config / config < !——NeedCopy >

Fugen您在hs_clients柴油机Abschnitt die folgenden Einträge hinzu:

在会话密钥#重新协商之前，使用会话密钥加密的数据量(以字节为单位)，或0表示无限制。(默认= \ * 1024 \ 1024 * 8 b = 8 mb)。# datelimit =INT addr=10.217.2.43 clientperm=unpriv keyhash=0000000000000000000000000000000000000000 esn= timelimit=86400 datelimit =8388608 ----- 

Hinweis:Fügen Sie einen oder mehere Bindestriche als Trennzeichen ein, um mehere Einträge im selben Abschnitt hinzuzufügen。

Führen Sie den folgenden Befehl auf dem RFS aus, um die configuration an den HSM zu übertragen:

/opt/nfast/bin/cfg-pushnethsm——address=<委托HSM的IP地址>——force /opt/nfast/kmdata/ HSM - bd17 - c807 - 58d9 /config/config 

Beispiel:

/opt/nfast/bin/cfg-pushnethsm——address=10.217.2.112——force /opt/nfast/kmdata/ sm- bd17 - c807 - 58d9 /config/config 

Zugriffsberechtigung für den ADC auf dem RFS

Um die Zugriffsberechtigung für den ADC auf dem RFS zu konfigurieren, führen Sie den folgenden Befehl auf dem RFS aus:

/opt/nfast/bin/rfs-setup——force -g——write-noauth  

Beispiel:

[root@localhost bin]# /opt/nfast/bin/rfs-setup——force -g——write-noauth 10.217.2.43添加read-only remote_file_system entries确保目录/opt/nfast/kmdata/local存在添加新的writable remote_file_system entries确保目录/opt/nfast/kmdata/local/sync-store存在保存新的配置文件并配置hardserver Done 

在弗文登9004号港，我们将为erreichen kann的委托提供服务。

配置文件自动启动hardserver贝姆Booten

您的大数据，并启动您的小设备。温思喷射模具设备启动和设计大型化，Hardserverwild die自动完成gestartet。

Geben Sie an der shell - eingabeauforderung Folgendes ein:

触摸/var/opt/nfast/bin/thales_hsm_is_enrolled < !——NeedCopy >

Geben Sie an der eingabeauforderung Folgendes ein:

重新启动< !——NeedCopy >

HSM im ADC注册员

Ändern Sie das Verzeichnis在/var/opt/nfast/bin。

Um HSM-Details zur ADC- configuration hinzuzufügen, führen Sie den folgenden Befehl auf dem ADC aus:

nethsmenroll——force < thales_nshield connect_ip_address > $(anonkneti < thales_nshield connect_ip_address >)

Beispiel:

(anonkneti 10.217.2.112) OK配置硬服务器的nethsm导入

Dieser Schritt fügt die folgenden Einträge nach der Zeile # ntoken_esn=ESN imnethsm_importsAbschnitt der Datei /var/opt/nfast/kmdata/config/config

local_module=0 remote_ip=10.217.2.112 remote_port=9004 remote_esn=BD17-C807-58D9 keyhash=5e30a698f7bab3b2068ca90a9488dc4e6c78d822 timelimit=86400 datelimit =8388608 privileged=0 privileged_use_high_port=0 ntoken_esn= 

Ändern Sie das Verzeichnis in /var/opt/nfast/bin und führen Sie den folgenden Befehl auf dem ADC aus:

触摸“thales_hsm_is_enrolled”< !——NeedCopy >

Hinweis:Um einen HSM zu entfernen, der für den ADC注册员，geben Sie Folgendes ein:

./nethsmenroll——删除 

Hinzufügen von RFS-Details zum ADC

Um RFS-Details hinzuzufügen， ändern Sie das Verzeichnis in /var/opt/nfast/bin/ und führen Sie dann den folgenden Befehl aus:

./rfs-sync——no-authenticate——setup  

Beispiel:

./ RFS -sync——No -authenticate——setup 10.217.2.6当前没有RFS同步配置。配置成功地写;新的配置细节:在10.217.2.6:9004使用RFS:不进行身份验证。<！——NeedCopy >

Dieser Schritt fügt die folgenden Einträge nach der Zeile # local_esn=ESN imrfs_sync_clientAbschnitt der Datei /var/opt/nfast/kmdata/config/config

...... remote_ip=10.217.2.6 remote_port=9004 use_kneti=no local_esn= 

Hinweis:Um einen RFS zu entfernen, der für den ADC注册员，geben Sie Folgendes ein:

。/ rfs_sync删除< !——NeedCopy >

同步器des ADC mit dem RFS

Um alle Dateien zu synchronisieren， ändern Sie das Verzeichnis in /var/opt/nfast/bin und führen Sie dann den folgenden Befehl auf dem ADC aus:

。/ rfs-sync——更新< !——NeedCopy >

Dieser Befehl ruft alle World-Dateien, Moduldateien und Schlüsseldateien aus dem Verzeichnis /opt/nfast/kmdata/local auf dem RFS ab und legt sie in das Verzeichnis /var/opt/nfast/kmdata/local auf dem ADC。Citrix empfiehlt, die World-Dateien, die Module_xx_xx_xxxx-Dateien, wobei XXXX_XXXX_XXXX der ESN des registererten HSM ist, und die erforderlichen RSA-Schlüssel und Zertifikatdateien manuell zu kopieren。

斯特伦Sie sicher, dass der Entrust HSM erfolgreich bem ADC注册师

Nachdem Sie den ADC mit dem RFS synchronisiert haben, gehen Sie folgendermaßen vor:

• 斯特伦你好，小混蛋HardserverBetrieb lauft。(Entvertrauen Sie Server läuft)。
• Rufen Sie den Status der konfigurerten ab, und überprüfen Sie, ob die Werte für das Feld n_modules (Anzahl der Module) und die Felder km Info ungleich Null sind。
• Stellen Sie sicher, dass der HSM korrekt register ist und vom ADC verwendbar ist(状态0x2可用)
• 拉登西测试麻省理工ordnungsgemäßsigtestausfuhren。

Ändern Sie das Verzeichnis in /var/opt/nfast/bin, und führen Sie an der shell - eingabeauforderung die folgenden Befehle aus:

root@ns# ./chkserv root@ns# ./nfkminfo root@ns# ./sigtest 

Ein Beispiel finden Sie in安航．

Erstellen进行HSM-RSA-Schlussels

努尔RSA-Schlüssel werden als HSM-Schlüssel unterstützt。

Hinweis:Überspringen Sie diesen Schritt, wenn Schlüssel bereits im/ opt / nfast / kmdata /当地我们要遵守“vorhanden sind”的标准。

Erstellen Sie einen RSA-Schlüssel, ein selbstsigniertes Zertifikat und eine Zertifikatsignieranforderung(证书签名请求，CSR)。Senden Sie die CSR an eine Zertifizierungsstelle, um ein Serverzertifikat abrufen zu können。

贝斯彼尔斯特尔:

• RSA-Schlussel einbetten: key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
• Selbstsigniertes Zertifikat: beispiel_selfcert
• Zertifikatsignaturanforderung: beispiel_req

Hinweis:DergeneratekeyBefehl世界在der打击FIPS 140-2 3级安全世界unterstützt。Ein Administratorkartenset (ACS) oder Ein Operatorkarten-Set (OCS) word benötigt, um viele Vorgänge zu steuern, einschließlich der Erstellung von Schlüsseln und OCSs。您要是窝generatekeyBefehl ausführen, werden Sie aufgefordert, eine ACS- oder OCS-Karte einzulegen。Weitere Informationen zur击杀FIPS 140-2 3级安全世界finden Sie im NShield Connect Benutzerhandbuch。

我是佛根登·贝斯皮尔世界2级安全世界verwendet。我是费特德鲁克·达吉斯泰特的贝斯皮尔。

Beispiel:

[root@localhost bin]# ./generatekey embed size:密钥大小?(bits, minimum 1024) [1024] > 2048 OPTIONAL: pubexp: RSA密钥的公共指数(hex)?[] > embedsavefile:要写入密钥的文件名?[] > example plainname:密钥名?[] > example x509country:国家代码?[] > US x509province:州还是省?[] > CA x509locality: City or locality?[] >圣克拉拉x509org:组织?[] > Citrix x509orgunit:组织单位?[] > NS x509dnscommon:域名? [] > m.giftsix.com x509email: Email address? [] > example@citrix.com nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] > digest: Digest to sign cert req with? (md5, sha1, sha256, sha384, sha512) [default sha1] > sha512 key generation parameters: operation Operation to perform generate application Application embed verify Verify security of key yes type Key type RSA size Key size 2048 pubexp Public exponent for RSA key (hex) embedsavefile Filename to write key to example plainname Key name example x509country Country code US x509province State or province CA x509locality City or locality Santa Clara x509org Organisation Citrix x509orgunit Organisation unit NS x509dnscommon Domain name m.giftsix.com x509email Email address example@citrix.com nvram Blob in NVRAM (needs ACS) no digest Digest to sign cert req with sha512 Key successfully generated. Path to key: /opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78 You have new mail in /var/spool/mail/root 

Ergebnis:

Sie haben eine CSR (example_req)， ein selbststsigniertes Zertifikat (example_selfcert) und eine Anwendungsschlüssel-Token im Einbettungsformat (/opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78) erstellt。

Da der ADC Schlüssel nur im einfachen格式unterstützt, müssen Sie den Einbettungsschlüssel in einen einfachen Schlüssel konvertieren。

Um den Einbettungsschlüssel in einen einfachen Schlüssel zu konvertieren, führen Sie den folgenden Befehl auf dem RFS aus:

[root@localhost bin]# ./generatekey -r simple from-application:(embed, simple) [embed] > embed from-ident:源密钥标识符?(c6410ca00af7e394157518cb53b2db46ff18ce29, 2ed5428aaeae1e159bdbd63f25292c7113ec2c78) [default c6410ca00af7e394157518cb53b2db46ff18ce29] > 2ed5428aaeae1e159bdbd63f25292c7113ec2c78 ident: Key identifier?[] > examplersa2048key plainname:密钥名称?[] > examplersa2048key密钥生成参数:operation执行retarget application application simple verify验证密钥的安全性yes from-application源应用embed from-ident源密钥标识2ed5428aaeae1e159bdbd63f25292c7113ec2c78 ident密钥标识examplersa2048key plainname密钥名称examplersa2048key密钥成功重目标。密钥路径:“/opt/nfast/kmdata/local/key_simple_examplersa2048key 

Wichtig:

Wenn Sie zur Eingabe der Quellschlüsselkennung aufgefordert werden, geben Sie2 ed5428aaeae1e159bdbd63f25292c7113ec2c78als Einbettungsschlussel静脉。

Ergebnis:

Ein Schlüssel mit dem Präfix key_simple (z.B. key_simple_examplersa2048key) wirstellt。

Hinweis:exampleersa2048key ist der Schlüsselbezeichner (Ident) und wird im ADC als HSM-Schlüsselname bezeichnet。Eine Schlüsselkennung ist eindeutig。Alle einfachen Dateien haben das Präfix key_simple。

konfigureren Sie die Entitäten im ADC

Bevor der ADC Datenverkehr verarbeiten kann, müssen Sie Folgendes tun:

1. Funktionen aktivieren。
2. Fügen Sie eine Subnetz-IP (SNIP) - address hinzu。
3. Fügen Sie dem ADC den HSM-Schlüssel hinzu。
4. Fügen Sie mit dem HSM-Schlüssel ein Zertifikatschlüsselpaar hinzu。
5. Fügen Sie einen virtuellen服务器hinzu。
6. Fügen Sie ein Serverobjekt hinzu。
7. Fügen Sie einen Dienst hinzu。
8. 宾登您的书房是一个虚拟服务器。
9. 宾登Sie das Zertifikatschlüsselpaar一个den virtuellen服务器。
10. Überprüfen Sie die配置。

Aktivieren von Funktionen auf dem ADC

Lizenzen müssen auf dem ADC vorhanden sein, bevor Sie ein Feature aktivieren können。

Aktivieren eines mit der CLI功能

Führen Sie an der eingabeauforderung die folgenden Befehle aus:

启用功能lb启用功能SSL 

Aktivieren eines功能mit der GUI

Navigieren您祖茂堂系统>设置und wählen Sie in der Gruppe莫迪和Funktionen死亡的选择Basisfunktionen konfigurierenaus und wählen你好，丹恩SSL-Offloading来自。

Hinzufugen静脉Subnetz-IP-Adresse

Weitere Informationen zu Subnetz-IP-Adressen finden在Konfigurieren冯Subnetz-IP-Adressen．

Fügen Sie eine snip - address hinzu und überprüfen Sie die configuration mit der CLI

Führen Sie an der eingabeauforderung die folgenden Befehle aus:

add ns ip   -type SNIP show ns ip 

Beispiel:

add ns ip 192.168.17.253 255.255.248.0 -type SNIP Done show ns ip Ipaddress流量域类型模式Arp Icmp Vserver状态--------- -------------- ----------- ----------- ------ 1)192.168.17.251 0 NetScaler ip Active Enabled Enabled NA Enabled 2) 192.168.17.252 0 VIP Active Enabled Enabled Enabled Enabled 3) 192.168.17.253 0 SNIP Active Enabled Enabled NA Enabled Done 

Fügen Sie eine snip - address hinzu und überprüfen Sie die configuration mit der GUI

Navigieren您祖茂堂System > Netzwerk > ip， fügen Sie eine ip - address hinzu und wählen Sie denIP-Typ als Subnetz-IP来自。

HSM-Schlüssel und -Zertifikat在den ADC kopieren

Verwenden Sie ein Dienstprogramm zur sicheren Dateiübertragung, um den Schlüssel (key_simple_examplersa2048key) sicher in den/var/opt/nfast/kmdata/local在书房的Zertifikat (example_selfcert)/ nsconfig / ssl奥特纳auf dem ADC zu kopieren。

Fügen Sie den Schlüssel auf dem ADC hinzu

Alle Schlüssel haben ein Schlüssel-einfaches Präfix。wen Sie den Schlüssel zum ADC hinzufügen, verwenden Sie die Ident als HSM-Schlüsselname。文德hinzugefügte Schlüssel beispielsweise KEY_Simple_XXXX劳泰，劳泰HSM-Schlüsselname XXXX。

Wichtig:

• Der HSM-Schlüsselname muss mit Der Ident übereinstimmen, die Sie beim Konvertieren eines Einbettungsschlüssels in ein einfaches Schlüsselformat angegeben haben。
• 死Schlüssel müssen im/var/opt/nfast/kmdata/local/Verzeichnis des ADC vorhanden sein。

Hinzufügen eines HSM-Schlüssels mit der CLI

Führen Sie an der shell - eingabeauforderung den folgenden Befehl aus:

添加ssl hsmKey  -key  

Beispiel:

添加ssl hsmKey examplersa2048key——NeedCopy >

Hinzufügen eines HSM-Schlüssels mit der GUI

Navigieren您祖茂堂流量管理> SSL > HSMund fügen Sie einen HSM-Schlüssel hinzu。

Hinzufügen eines Zertifikatschlüsselpaars auf dem ADC

信息en zu Zertifikatschlüsselpaaren finden Sie unterHinzufügen oder Aktualisieren eines Zertifikatschlüsselpaares．

Hinzufügen eines Zertifikatschlüsselpaars mit der CLI

Führen Sie an der eingabeauforderung den folgenden Befehl aus:

添加ssl certKey  -cert  -hsmKey  

Beispiel:

添加ssl certKey key22 -cert example_selfcert -hsmKey examplersa2048key Done 

Hinzufügen eines Zertifikatschlüsselpaars mit der GUI

Navigieren您祖茂堂流量管理> SSL >证书， und fügen Sie ein Zertifikatschlüsselpaar hinzu。

Hinzufügen eines virtuellen服务器

信息en einem virtuellen服务器发现您在配置des virtuellen SSL-Servers．

配置文件SSL-basierten virtuellen服务器mit der CLI

Führen Sie an der eingabeauforderung den folgenden Befehl aus:

添加lb vserver     

Beispiel:

添加lb vserver v1 SSL 192.168.17.252 443 

配置ssl basierten virtuellen服务器的GUI

Navigieren您祖茂堂流量管理>负载均衡> Virtuelle服务器， erstellen Sie einen virtuellen服务器和协议SSL和。

Hinzufugen进行Serverobjekts

Bevor Sie ein Serverobjekt zum ADC hinzufügen können, vergewissern Sie siich, dass Sie einen后端服务器erstellt haben。集成python - http - server - module auf einem Linux-System verwendet。

Beispiel:

python -m SimpleHTTPServer 80 

Hinzufügen eines serverobjeckts mit der CLI

Führen Sie an der eingabeauforderung den folgenden Befehl aus:

添加server   

Beispiel:

添加服务器s1 192.168.17.246 

Hinzufügen eines Serverobjekts mit der GUI

Navigieren您祖茂堂流量管理>负载均衡>服务器， und fügen Sie einen Server hinzu。

Hinzufugen进行Dienstes

Weitere Informationen找到你Konfigurieren冯Diensten．

CLI下的配置文件

Führen Sie an der eingabeauforderung den folgenden Befehl aus:

添加service     

Beispiel:

添加service sr1 s1 HTTP 80 

图形用户界面的配置

Navigieren您祖茂堂流量管理>负载均衡> Dienste， und erstellen Sie einen Dienst。

宾登您的书房是一个虚拟服务器

Weitere Informationen找到你Binden von Diensten一个den虚拟ssl服务器．

Binden eines Dienstes一个einen virtuellen服务器

Führen Sie an der eingabeauforderung den folgenden Befehl aus:

绑定lb vserver   

Beispiel:

绑定lb vserver v1 sr1 

Binden eines Dienstes一个einen virtuellen服务器的图形用户界面

1. Navigieren您祖茂堂流量管理>负载均衡> Virtuelle服务器．
2. Öffnen Sie einen virtuellen Server, und klicken Sie im Bereich Dienste auf, um einen Dienst an den virtuellen Server zu binden。

宾登Sie das Zertifikatschlüsselpaar an den virtuellen Server auf dem ADC

Weitere Informationen找到你Binden des Zertifikatschlüsselpaars an den virtuellen SSL-Server．

Binden Sie ein Zertifikatschlüsselpaar an einen virtuellen Server mit der CLI

Führen Sie an der eingabeauforderung den folgenden Befehl aus:

绑定ssl vserver  -certkeyName  

Beispiel:

bind ssl vserver v1 -certkeyName key22警告:当前证书替换之前的绑定

Binden Sie ein Zertifikatschlüsselpaar an einen virtuellen Server mit der GUI

1. Navigieren您祖茂堂流量管理>负载均衡> Virtuelle服务器．
2. Öffnen Sie einen virtuellen SSL-Server, und kicken Sie unterErweiterte设置汪汪汪SSL-Zertifikat．
3. Binden Sie ein Serverzertifikat一个den virtuellen服务器。

Uberprufen der Konfiguration

所以zeigen Sie die configuration mit der CLI an:

Führen Sie an der eingabeauforderung die folgenden Befehle aus:

show lb vserver  show ssl vserver  

Beispiel:

show lb vserver v1 v1 (192.168.17.252:443) - SSL Type: ADDRESS State: UP最近一次状态变化是在Wed Oct 29 03:11:11 2014自上次状态变化时间:0天，00:01:25.220有效状态:UP Client Idle Timeout: 180秒Down状态flush: ENABLED Disable Primary vserver On Down: DISABLED Appflow logging: ENABLED否。of Bound Services: 1 (Total) 1 (Active) Configured Method: LEASTCONNECTION Current Method: Round Robin, Reason: Bound service's state 's state changed to UP Mode: IP Persistence: NONE Vserver IP and Port insertion: OFF Push: DISABLED Push Vserver: Push Multi Clients: NO Push Label Rule:无L2Conn: OFF Skip Persistence:无icmresponse: PASSIVE RHIstate: PASSIVE New service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0 Mac模式Retain Vlan: DISABLED DBS_LB: DISABLED Process Local:禁用DISABLED Traffic Domain: 0 1) sr1 (192.168.17.246: 80) - HTTP State: UP Weight: 1 Done 

sh / etc / vserver . sh ssl vserver v1高级ssl配置:DH: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120秒Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED SSLv2: DISABLED SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: DISABLED TLSv1.2: DISABLED Push Encryption Trigger: Always Send Close-Notify: YES ECC Curve:P_256, P_384, P_224, P_521 1) CertKey名称:key22服务器证书1)Cipher名称:DEFAULT描述:预定义Cipher别名Done 

所以zeigen Sie die configuration mit der GUI an:

Navigieren您祖茂堂流量管理>负载均衡> Virtuelle服务器， und doppelklicken Sie auf einen virtuellen SSL-Server, um ihn zu öffnen und die configuration anzuzeigen。