安全前端配置
除了默认前端和默认后端配置文件外,12.1版还提供了一个新的默认安全前端配置文件。从Qualys SSL Labs获得A+评级所需的设置(截至2018年5月)已预加载到此配置文件中。在前面,您必须显式地在SSL前端概要文件或SSL虚拟服务器上设置A+评级所需的每个参数。现在可以将ns_default_ssl_profile_secure_frontend配置文件绑定到SSL虚拟服务器,并在SSL虚拟服务器上自动设置所需的参数。
注意:
安全前端配置文件不可编辑。
启用默认配置文件时,默认前端配置文件将自动绑定到所有SSL虚拟服务器。要获得A+评级,您必须显式绑定ns_default_ssl_profile_secure_frontend配置文件,并将SHA2/SHA256服务器证书绑定到您的SSL虚拟服务器。
安全前端轮廓参数
参数及其默认设置列在这里:
SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Deny SSL Renegotiation: NONSECURE HSTS: ENABLED HSTS IncludeSubDomains: YES HSTS Max-Age: 15552000 Cipher Name: SECURE Priority:1 安全密码别名
添加一个新的安全密码别名并将其绑定到安全前端配置文件。要列出该别名中的密码,请在命令提示符处键入:show cipher SECURE
1)密码名:TLS1.2-ECDHE-RSA-AES256-GCM-SHA384优先级:1描述:TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030 2)密码名:TLS1.2-ECDHE-RSA-AES128-GCM-SHA256优先级:2描述:TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f 3)密码名:TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384优先级:3描述:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c 4)密码名:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02cTLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256优先级:4描述:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b Done 配置
请执行以下步骤:
- 添加SSL类型的负载均衡虚拟服务器。
- 绑定SHA2/SHA256证书。
- 启用默认配置文件。
- 将安全前端配置文件绑定到SSL虚拟服务器。
该任务指导管理员通过CLI命令获取SSL虚拟服务器的A+评级
在命令提示符下,输入:
add lb vserver bind ssl vserver -certkeyName set ssl parameter -defaultProfile ENABLED set ssl vserver -sslProfile ns_default_ssl_profile_secure_frontend show ssl vserver [] 例子:
add lb vserver SSL -vsvr SSL 192.0.2.240 443 bind SSL vserver SSL -vsvr -certkeyName letrsa set SSL parameter -defaultProfile ENABLED启用默认配置文件前请先保存配置。您无法撤消更改。您确定要启用默认配置文件吗?[Y/N] Y set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend sh dswaretool . sh ssl vserver ssl-vsvr vserver ssl高级配置ssl-vsvr: Profile Name: ns_default_ssl_profile_secure_frontend 1) CertKey Name: letrsa Server Certificate Done sh dswaretool . sh ssl profile ns_default_ssl_profile_secure_frontend 1)名称:ns_default_ssl_profile_secure_frontend(前端)SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED客户端认证:DISABLED仅使用绑定CA证书:DISABLED CA严格检查:NO会话重用:ENABLED超时时间:120秒DH: DISABLED DH私钥指数大小限制:DISABLED临时RSA: ENABLED刷新计数:0拒绝ssl重协商NONSECURE非FIPS密码:DISABLED Cipher重定向:DISABLED SSL重定向:DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 Push Encryption Trigger: Always Push Encryption Trigger timeout: 1ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header Check for SNI enabled SSL会话:NO Push flag: 0x0 (Auto) SSL量子大小:8kb加密触发超时时间100ms加密触发报文计数:45 Subject/Issuer Name插入格式:Unicode SSL拦截:DISABLED SSL拦截OCSP Check: ENABLED SSL拦截端到端重协商:ENABLED SSL拦截每服务器最大重用会话数:10会话票:DISABLED HSTS: ENABLED HSTS包括esubdomains: YES HSTS Max-Age: 15552000 ECC Curve: P_256, P_384, P_224, P_521 1)密码名:SECURE优先级:1描述:预定义密码别名1)Vserver Name: v2 Done 使用GUI为SSL虚拟服务器获得A+评级
- 导航到流量管理>负载均衡>虚拟服务器,并选择SSL虚拟服务器。
- 在“高级设置”中,单击“SSL配置文件”。
- 选择ns_default_ssl_profile_secure_frontend。
- 单击OK。
- 单击Done。
安全前端配置
复制!
失败了!