安全前端配置文件
除了默认前端和默认后端配置文件,新的默认安全前端配置文件从版本12.1开始可用。Qualys SSL实验室A+评级(截至2018年5月)所需的设置已预装到这个配置文件中。在前面,您必须显式地设置SSL前端概要文件或SSL虚拟服务器上A+评级所需的每个参数。现在可以将ns_default_ssl_profile_secure_frontend配置文件绑定到SSL虚拟服务器,并且在SSL虚拟服务器上自动设置所需的参数。
注意:
安全前端配置文件不可编辑。
当启用默认前端配置文件时,默认前端配置文件将自动与所有SSL虚拟服务器绑定。要获得A+评级,必须显式绑定ns_default_ssl_profile_secure_frontend配置文件,并将SHA2/SHA256服务器证书绑定到SSL虚拟服务器。
安全前端轮廓参数
使用默认设置的参数在这里列出:
SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED禁止SSL重协商:NONSECURE HSTS: ENABLED HSTS inclesubdomains: YES HSTS Max-Age: 15552000 Cipher Name: SECURE Priority:1 安全密码别名
一种新的安全的密码别名加入并结合到安全前端轮廓。要列出此别名的一部分的密码,在命令提示符下键入:show密码SECURE
显示出密码SECURE 1)密码名称:TLS1.2-ECDHE-RSA-AES256-GCM-SHA384优先级:1说明:TLSv1.2工作Kx的= ECC-DHE金= RSA的Enc = AES-GCM(256)的Mac = AEAD =十六进制编码0xc030 2)密码名称:TLS1.2-ECDHE-RSA-AES128-GCM-SHA256优先级:2说明:TLSv1.2工作Kx的= ECC-DHE AU = RSA的Enc = AES-GCM(128)的Mac = AEAD =十六进制编码3 0xc02f)密码名称:TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384优先级:3说明:TLSv1.2工作Kx的= ECC-DHE AU = ECDSA的Enc = AES-GCM(256)的Mac = AEAD =十六进制编码0xc02c 4)密码名称:TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256优先级:4说明:TLSv1.2工作Kx的= ECC-DHE金= ECDSA的Enc = AES-GCM(128)的Mac = AEAD =十六进制编码完成0xc02b < -NeedCopy - >配置
执行以下步骤:
- 添加负载平衡型SSL的虚拟服务器。
- 绑定SHA2/SHA256证书。
- 启用默认配置文件。
- 绑定安全的前端轮廓到SSL虚拟服务器。
通过使用CLI为SSL虚拟服务器获得A+评级
在命令提示符处,输入:
添加磅虚拟服务器<名称> <的serviceType> <端口>绑定SSL虚拟服务器 -certkeyName <字符串>集ssl参数-defaultProfile ENABLED设置SSL虚拟服务器 -sslProfile ns_default_ssl_profile_secure_frontend显示SSL虚拟服务器[] <! - NeedCopy - > 例子:
加磅虚拟服务器的SSL-vsvr SSL 192.0.2.240 443绑定SSL虚拟服务器的SSL-vsvr -certkeyName letrsa将SSL参数-defaultProfile启用保存您的配置使默认的配置文件之前。你不能撤消更改。你确定要启用默认的配置文件?[Y / N]是设定SSL虚拟服务器的SSL vsvr -sslProfile ns_default_ssl_profile_secure_frontend <! - NeedCopy - >SH SSL虚拟服务器的SSL-vsvr为VServer的SSL-vsvr先进的SSL配置:配置文件名称:ns_default_ssl_profile_secure_frontend 1)CertKey名称:letrsa服务器证书完成<! - NeedCopy - >sh ssl profile ns_default_ssl_profile_secure_frontend 1)名称:ns_default_ssl_profile_secure_frontend(前端)SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Client Auth: DISABLED仅使用绑定CA证书:DISABLED严格CA检查:NO Session Reuse: ENABLED Timeout: 120 seconds DH:DISABLED DH Private-Key expones Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Deny SSL Renegotiation NONSECURE Non FIPS Ciphers: DISABLED Cipher Redirect: DISABLED SSL Redirect: DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK:NO Tickets Per Authentication Context: 1 Push Encryption Trigger: Always Push Encryption Trigger timeout: 1 ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header check for SNI enabled SSL session: NO Push flag: 0x0 (Auto) SSL量子大小:8kb加密触发超时100ms加密触发包计数:45主题/发布者名称插入格式:Unicode SSL拦截:DISABLED SSL拦截OCSP检查:ENABLED SSL拦截端到端重协商:ENABLED SSL拦截每服务器最大重用会话:10会话票据:DISABLED HSTS: ENABLED HSTS inclesubdomains: YES HSTS Max-Age: 15552000 ECC Curve:P_256, P_384, P_224, P_521 1) Cipher Name: SECURE Priority:1 Description:预定义Cipher Alias 1) Vserver Name: v2 Done 通过使用GUI为SSL虚拟服务器获得A+评级
- 导航到流量管理>负载均衡>虚拟服务器,并选择一个SSL虚拟服务器。
- 在“高级设置”中,单击“SSL配置文件”。
- 选择ns_default_ssl_profile_secure_frontend。
- 单击确定。
- 单击Done。
复制!
失败的!