安全的前端配置文件
除了默认前端和默认后端配置文件外,12.1版还提供了新的默认安全前端配置文件。Qualys SSL实验室A+评级所需的设置(截至2018年5月)已预加载到此配置文件中。之前,您必须在SSL前端配置文件或SSL虚拟服务器上显式设置A+评级所需的每个参数。现在,您可以将ns_default_ssl_profile_secure_前端配置文件绑定到ssl虚拟服务器,并在ssl虚拟服务器上自动设置所需的参数。
注:
安全前端配置文件不可编辑。
启用默认配置文件时,默认前端配置文件将自动绑定到所有SSL虚拟服务器。要获得A+评级,必须显式绑定ns_default_ssl_profile_secure_前端配置文件,并将SHA2/SHA256服务器证书绑定到ssl虚拟服务器。
安全前端配置文件参数
参数的默认设置如下所示:
SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED禁止SSL重协商:NONSECURE HSTS: ENABLED HSTS inclesubdomains: YES HSTS Max-Age: 15552000 Cipher Name: SECURE Priority:1
安全密码别名
添加一个新的安全密码别名并绑定到安全前端配置文件。要列出此别名的一部分密码,请使用命令提示符类型:show cipher SECURE
显示密码安全1)密码名称:TLS1.2-ECDHE-RSA-AES256-GCM-SHA384优先级:1描述:TLSv1.2 Kx = ECC-DHE盟= RSA Enc = AES-GCM (256) Mac = AEAD HexCode = 0 xc030 2)密码名称:TLS1.2-ECDHE-RSA-AES128-GCM-SHA256优先级:2描述:TLSv1.2 Kx = ECC-DHE盟= RSA Enc = AES-GCM (128) Mac = AEAD HexCode = 0 xc02f 3)密码名称:TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384优先级:3 Description: TLSv1.2 Kx= ec - dhe Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c 4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256优先级:4 Description: TLSv1.2 Kx= ec - dhe Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b Done
配置
执行以下步骤:
- 添加SSL类型的负载均衡虚拟服务器。
- 绑定SHA2/SHA256证书。
- 启用默认配置文件。
- 配置安全前端配置文件与SSL虚拟服务器绑定。
通过使用CLI为SSL虚拟服务器获得A+评级
在命令提示下,键入:
add lb vserver bind ssl vserver -certkeyName set ssl parameter -defaultProfile ENABLED set ssl vserver -sslProfile ns_default_ssl_profile_secure_frontend show ssl vserver []
例子:
add lb vserver SSL -vsvr SSL 192.0.2.240 443 bind SSL vserver SSL -vsvr -certkeyName letrsa set SSL parameter -defaultProfile ENABLED启用默认配置文件前请保存配置。您不能撤消这些更改。您确定要启用默认配置文件吗?[Y/N] Y set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend
sh sslvserver ssl-vsvr vserver的高级ssl配置ssl-vsvr: Profile Name: ns_default_ssl_profile_secure_frontend 1) CertKey Name: letrsa Server Certificate Done
sh ssl配置文件ns_默认\u ssl_配置文件\u安全\u前端1)名称:ns_默认\u ssl_配置文件\u安全\u前端(前端)SSLv3:禁用TLSv1.0:禁用TLSv1.1:禁用TLSv1.2:启用TLSv1.3:禁用客户端身份验证:禁用仅使用绑定CA证书:禁用严格CA检查:无会话重用:启用超时:120秒DH:禁用DH私钥指数大小限制:禁用临时RSA:启用刷新计数:0拒绝SSL重新协商非安全非FIPS密码:禁用密码重定向:禁用SSL重定向:禁用发送关闭通知:是严格Sig摘要检查:禁用零RTT早期数据:禁用与PSK的DHE密钥交换:每个身份验证上下文无票据:1推送加密触发器:始终推送加密触发器超时:1毫秒SNI:禁用OCSP装订:禁用严格启用SNI的SSL会话的主机头检查:无推送标志:0x0(自动)SSL量子大小:8 kB加密触发超时100毫秒加密触发数据包计数:45主题/颁发者名称插入格式:Unicode SSL拦截:禁用SSL拦截OCSP检查:启用SSL拦截端到端重新协商:启用SSL拦截每个服务器的最大重用会话数:10会话票证:禁用HSTS:启用HSTS包括子域:是HSTS最大年龄:15552000 ECC曲线:P_256,P_384,P_224,P_521 1)密码名称:安全优先级:1描述:预定义密码别名1)Vserver名称:v2完成<--需要复制-->
使用GUI获得SSL虚拟服务器的A+评级
- 导航到流量管理>负载平衡>虚拟服务器,然后选择SSL虚拟服务器。
- 在高级设置中,单击SSL配置文件。
- 选择ns\默认\ ssl\配置文件\安全\前端。
- 单击OK。
- 单击Done。
安全的前端配置文件
本文
复制!
失败了!