SSL简介基础架构

SSLv3和RC4实现中的漏洞强调需要使用最新的密码和协议来协商网络连接的安全设置。实现对配置的任何更改(比如在数千个SSL端点禁用SSLv3)都是一个繁琐的过程。因此，作为SSL端点配置的一部分的设置已经转移到SSL概要文件，以及默认密码。要实现配置中的更改(包括密码支持)，您只需要修改绑定到实体的概要文件。

默认的前端和后端SSL配置文件包含了所有的默认密码和ECC曲线，以及旧配置文件中的部分设置。附录中提供了默认概要文件的示例输出。“启用默认配置文件”操作自动将默认前端配置文件绑定到所有前端实体，默认后端配置文件绑定到所有后端实体。您可以修改默认配置文件以适合您的部署。您还可以创建自定义概要文件并将它们绑定到SSL实体。

前端概要文件包含适用于前端实体的参数。也就是说，它们应用于从客户端接收请求的实体。通常，这个实体是Citrix ADC设备上的SSL虚拟服务器或透明SSL服务。后端概要文件包含适用于后端实体的参数。也就是说，它们应用于ADC设备上向后端服务器发送客户端请求的实体。通常，这个实体是Citrix ADC设备上的SSL服务。如果您尝试配置不支持的参数，则会出现错误错误:指定的参数不适用于这种类型的SSL配置文件出现了。

重要的：

• SSL配置文件优先于SSL参数设置ssl参数命令，然后将配置文件绑定到SSL实体，则配置文件中的设置优先。

• 升级后，如果启用默认配置文件，则无法撤消更改。也就是说，不能禁用配置文件。在启用配置文件之前，保存配置并创建配置文件（ns.conf）的副本。但是，如果不想使用默认配置文件中的功能，可以继续使用旧的SSL配置文件。有关这些配置文件的更多信息，请参见传统SSL配置文件．

• 从11.1 51.x版开始，在GUI和CLI中，启用默认配置文件时会添加一个确认提示，以防止错误地启用它。

命令:

设置ssl参数-defaultProfile ENABLED在启用默认配置文件之前保存配置。您无法撤消更改。是否确实要启用默认配置文件？[Y/N]完成了<--需要复制-->

默认情况下，一些SSL参数称为全局参数，适用于所有SSL端点。但是，如果配置文件绑定到SSL端点，则全局参数不适用。而应用配置文件中指定的设置。

点需要注意

1. 配置文件可以绑定到多个虚拟服务器，但虚拟服务器只能绑定一个配置文件。
2. 要删除绑定到虚拟服务器的配置文件，请首先解除该配置文件的绑定。
3. 密码或密码组可以绑定到具有不同优先级的多个配置文件。
4. 一个配置文件可以以不同的优先级绑定多个密码和密码组。
5. 对密码组的更改会立即反映在所有配置文件以及其中一个配置文件绑定到的所有虚拟服务器中。
6. 如果密码套件是密码组的一部分，请编辑密码组，在从配置文件中删除密码套件之前先删除该密码套件。
7. 如果未为附加到配置文件的密码套件或密码组分配优先级，则会在配置文件中为其分配最低优先级。
8. 可以从现有的密码组和密码套件创建自定义密码组(也称为用户定义密码组)。如果创建密码组A，并添加已有密码组X和Y，则Y优先级低于X，即先添加的密码组优先级高。
9. 如果密码套件是连接到相同配置文件的两个密码组的一部分，则不会添加密码套件作为第二密码组的一部分。更高优先级的密码套件在处理流量时生效。
10. 密码组不会在配置文件中扩展。结果，配置文件（NS.CONF）中的行数大大减少。例如，如果两个包含15个CIPHERS的密码组绑定到千ssl虚拟服务器，则扩展在配置文件中添加30 * 1000密码相关条目。使用新的配置文件，它只有两个条目：每个C密码组都绑定到配置文件。
11. 从现有密码和密码组创建用户定义的密码组是复制-粘贴操作。原组中的任何变化都不会反映在新组中。
12. 用户定义的密码组列出了它是一部分的所有配置文件。
13. 配置文件列出它绑定的所有SSL虚拟服务器，服务和服务组。
14. 如果启用了默认SSL配置文件特性，则使用配置文件设置或更改SSL实体的任何属性。例如虚拟服务器、服务、服务组或内部服务。

使用CLI保存配置

在命令提示下，键入：

保存配置shellroot@ns#cd/nsconfigroot@ns#cp ns.conf ns.conf.ns<--需要复制-->

例子:

保存配置shellroot@ns#cd/nsconfigroot@ns#cp ns.conf ns.conf.ns.11.0.jun.16<--需要复制-->

启用默认配置文件

重要的：

升级软件并启用默认配置文件之前，请保存配置。

从版本11.1 build 51.x开始，在GUI和CLI中，当您启用默认配置文件时会出现确认提示，以避免错误地启用它。

命令:下面的命令启用缺省配置文件，并将此配置文件绑定到已经绑定了配置文件的SSL实体。也就是说，如果配置文件(例如P1)已经绑定到SSL实体，则默认的前端配置文件或默认的后端配置文件将替换P1。旧的profile (P1)没有被删除。它现在是一个增强的SSL配置文件，包含早期的设置，密码和ECC曲线。如果不想使用默认配置文件，可以显式地将P1绑定到SSL实体。

设置ssl参数-defaultProfile ENABLED在启用默认配置文件之前保存配置。您无法撤消更改。是否确实要启用默认配置文件？[Y/N]完成了<--需要复制-->

将软件升级到支持增强的概要文件基础结构的构建版本，然后启用默认概要文件。

笔记：

• 如果传统配置文件（p1）已绑定到SSL实体，并且启用默认配置文件，则默认配置文件覆盖了前面的绑定。也就是说，默认配置文件绑定到SSL实体。如果不希望绑定默认配置文件，则必须再次将P1绑定到SSL实体。

• 单个操作（启用默认配置文件或设置ssl参数-已启用defaultProfile)启用（绑定）默认前端配置文件和默认后端配置文件。

用例

启用默认概要文件后，它们将被绑定到所有SSL端点。默认概要文件是可编辑的。如果您的部署使用大多数默认设置，而只更改少数参数，那么您可以编辑默认概要文件。更改会立即反映到所有端点。您还可以使用一些自定义和默认参数创建自定义SSL概要文件，并将其绑定到SSL实体。

以下流程图解释了必须执行的步骤:

1. 有关软件升级的信息请参见升级系统软件．

2. 使用CLI或GUI启用默认配置文件。

• 在命令行中，输入:设置ssl参数-已启用defaultProfile
• 如果您愿意使用GUI，导航到交通管理>SSL.>更改高级SSL设置，向下滚动并选择启用默认配置文件．

如果在升级之前配置文件未绑定到端点，则默认配置文件将绑定到SSL端点。如果在升级之前将配置文件绑定到端点，则在升级之后将绑定相同的配置文件，并向配置文件添加默认密码。

1. （可选）手动更改默认配置文件中的任何设置。

• 在命令行中，输入:设置SSL配置文件然后是要修改的参数。
• 如果您愿意使用GUI，导航到系统>轮廓在里面SSL配置文件，选择一个配置文件并单击编辑．

SSL配置文件参数

您可以在SSL配置文件中设置以下SSL参数。您可以在SSL虚拟服务器中设置其中一些参数。有关SSL虚拟服务器参数的详细信息，请参阅SSL虚拟服务器参数．

在Citrix ADC设备的后端支持安全重新协商

注意:此参数在版本13.0 build 58.x及更高版本中引入。在早期版本和构建中，后端仅支持非安全的重新协商。

以下平台支持此功能：

• VPX
• MPX平台包含N2或N3芯片
• 基于Intel Coleto SSL芯片的平台

FIPS平台尚不支持该功能。

默认情况下，在ADC设备的后端拒绝安全重新协商。也就是说,denySSLReneg参数设置为ALL(默认)。

要允许在后端进行安全的重新协商，请为denySSLReneg参数：

• 不
• FRONTEND_CLIENT
• FRONTEND_CLIENTSERVER
• 不安全的

通过CLI开启安全重协商功能

在命令提示下，键入：

设置ssl配置文件-denySSLReneg

例子:

设置ssl配置文件ns\U默认\U ssl\U配置文件\U后端-denySSLReneg非安全完成sh ssl配置文件ns\U默认\U ssl\U配置文件\U后端1）名称：ns\U默认\U ssl\U配置文件\U后端（后端）SSLv3:禁用TLSv1.0:启用TLSv1.1:启用TLSv1.2:启用TLSv1.3:禁用服务器身份验证：禁用仅使用绑定CA证书：禁用严格CA检查：无会话重用：启用超时：300秒DH:禁用临时RSA:禁用拒绝SSL重新协商非安全非FIPS密码：禁用密码重定向：禁用SSL重定向：禁用发送关闭通知：是严格Sig摘要检查：禁用推送加密触发器：始终推送加密触发器超时：1毫秒SNI：禁用OCSP绑定：禁用对启用SNI的SSL会话的严格主机头检查：无推送标志：0x0（自动）SSL量子大小：8 kB加密触发超时100毫秒加密触发数据包计数：45 ECC曲线：P_256，P_384，P_224，P_521 1）密码名称：默认\u后端优先级：2描述：预定义密码别名1）服务名称：s187完成<！--NeedCopy-->

通过使用GUI启用安全重新协商

1. 导航到系统>配置文件>SSL配置文件．
2. 添加或编辑配置文件。

3. 设置否认SSL重新谈判除了全部之外的任何价值。

主机头验证

注意:此参数在版本13.0 build 52.x中引入。

对于HTTP/1.1，客户端必须使用多个连接来处理多个请求。使用HTTP/2，客户端可以跨域重用由同一证书覆盖的连接。对于支持SNI的会话，ADC设备必须能够控制如何验证HTTP主机报头以适应此更改。在早期构建中，如果启用了参数(设置为“Yes”)且请求不包含SNI启用会话的主机头，则会删除请求。如果该参数被禁用(设置为“No”)，设备将不执行验证。一个新参数SNIHTTPHostMatch添加到SSL配置文件和SSL全局参数中，以便更好地控制此验证。此参数可以取三个值；证书、严格和无。这些值仅适用于启用SNI的会话。必须在SSL虚拟服务器或绑定到虚拟服务器的配置文件上启用SNI，并且HTTP请求必须包含主机头。

• 证书-如果请求中的主机头值包含在用于建立此SSL会话的证书中，则会转发连接。
• 严格-仅当请求中的主机头值与SSL连接的客户端Hello消息中传递的服务器名称值匹配时，才会转发连接。
• 否-未验证主机标头值。

可能的值：NO，CERT，严格默认值：CERT

随着新参数的引入SNIHTTPHostMatch这名男子的行为发生了变化dropReqWithNoHostHeader参数设置dropReqWithNoHostHeader参数不再影响如何根据SNI证书验证主机标头。

使用CLI设置SSL配置文件参数

在命令提示下，键入：

设置ssl配置文件[-ssllogProfile][-dh（已启用|已禁用）-dhFile][-dhCount][-dhKeyExpSizeLimit（已启用|已禁用）][-eRSA（已启用|已禁用）[-sessReuse（已启用|已禁用）[-sessstimeout][-cipherRedirect（已启用|已禁用）[-cipherURL][-clientAuth（启用|禁用）[-clientCert（强制|可选）][-sslRedirect（启用|禁用）][-redirectPortRewrite（启用|禁用）][-ssl3（启用|禁用）][-tls1（启用|禁用）][-tls11（启用|禁用）[-tls12（启用|禁用）][-tls13（启用|禁用[-SNISS13（ENABLED | DISABLED）[-ocspstapping（ENABLED | DISABLED）][-serverAuth（ENABLED | DISABLED）][-commonName][-pushEncTrigger][-sendCloseNotify（YES | NO）][-clearTextPort][-insertionEncoding（Unicode | UTF-8）][-denySSLReneg[-quantumSize][-strictCAChecks（YES NO）][-encryptTriggerPktCount][-pushFlag][-dropReqWithNoHostHeader（YES | NO）][-SNIHTTPHostMatch][-PushEntTriggerTimeout][-sslTriggerTimeout][-ClientAuthuseBundcachain（ENABLED | DISABLED）][-sslInterception（ENABLED | DISABLED）][-SSLIRENG（ENABLED | DISABLED）[-ssliOCSPCheck（ENABLED | DISABLED）][-sslimaxsersperserver][-HSTS（ENABLED | DISABLED）][-maxage][-IncludeSubdomains（YES | NO）][-preload（YES NO）][-sessionTicket sessionkit（ENABLED | DISABLED）][-sessionticketliferate][-sessionTicketKeyRefresh]（ENABLED | DISABLED）{-sessionTicketKeyData}[-sessionKeyLifeTime][-preversationkeyLifetime][-cipherName-cipherPriority][-stricsigdigestCheck（ENABLED | DISABLED）[-skipclientcleinterpolicycheck（ENABLED | DISABLED）][-zeroRttEarlyData（ENABLED | disable[-tls13SessionTicketsPerAuthContext][-dheKeyExchangeWithPsk（是|否）]<！--NeedCopy-->

使用GUI设置SSL配置文件参数

要添加个人资料：

1. 导航到系统>配置文件．
2. 选择SSL配置文件．点击添加．
3. 为不同的参数指定值。
4. 点击好的．
5. 点击完成．

要重用现有的SSL配置文件:

1. 导航到系统>配置文件．
2. 选择现有配置文件并单击添加．
3. 指定其他名称，更改任何参数，然后单击好的．
4. 点击完成．

TLS会话票据扩展

SSL握手是CPU密集型操作。如果启用会话重用，则跳过现有客户端的服务器/客户端密钥交换操作。他们被允许恢复他们的会议。此操作提高了响应时间，并增加了服务器可以支持的每秒SSL事务数。但是，服务器必须存储每个会话状态的详细信息，该状态消耗内存，并且如果请求在跨服务器的负载平衡，则难以在多个服务器之间共享。

Citrix ADC设备支持SessionTicket TLS扩展。使用此扩展表示会话详细信息存储在客户端而不是服务器上。客户端必须通过在客户端Hello消息中包含会话票证TLS扩展来指示它支持此机制。对于新客户端，此扩展是空的。服务器在NewSessionTicket握手消息中发送新会话票证。会话票证通过使用只有服务器知道的密钥对进行加密。如果服务器现在无法发出新票证，它将完成常规握手。

此特性仅在前端SSL配置文件中可用，且仅在设备充当服务器并生成会话票据的通信前端可用。

限制

• FIPS平台不支持此特性。
• 此功能仅支持TLS版本1.1和1.2。
• 会话票证不支持SSL会话ID持久性。

使用CLI启用TLS会话票证扩展

在命令提示下，键入：

set ssl profile  -sessionTicket (ENABLED | DISABLED) [-sessionTicketLifeTime  

论据：

sessionticket：TLS会话票据扩展状态。使用此扩展表明会话细节存储在客户端而不是服务器上，如RFC 5077中定义的那样。

取值为:ENABLED、DISABLED

默认值:禁用

sessionticketlife:指定时间，以秒为单位，会话票据过期后必须重新发起SSL握手。

默认值:300

最小值:0

最大值：172800

例子:

添加ssl配置文件配置文件1-启用sessionTicket-sessionTicketlifeTime 300完成<--需要复制-->

通过GUI启用TLS会话票据扩展

1. 导航到系统>轮廓．选择SSL配置文件．
2. 点击添加并为配置文件指定一个名称。
3. 选择会议票．
4. 可选地,指定会话票证生存期（秒）．

安全会话票据的实现

通过使用TLS会话票证，客户机可以使用简化的握手来更快地重新连接到服务器。但是，如果会话票证长期未加密或更改，则可能会带来安全风险。您可以通过使用对称密钥加密会话票证来保护它们。要实现前向保密，可以指定刷新会话票证密钥的时间间隔。

设备默认生成会话票据密钥。但是，如果部署中的多个设备需要对彼此的会话票据进行解密，那么它们都必须使用相同的会话票据密钥。因此，必须在所有设备上手动设置(添加或加载)相同的会话票据密钥数据。Session-ticket关键数据包括以下信息:

• 会议的机票的名字。
• 用于加密或解密票据的会话AES密钥。
• 会话HMAC密钥，用于计算票据摘要。

您现在可以配置长度为64字节的会话票证密钥数据，以支持RFC 5077中建议的256位HMAC密钥。为了向后兼容，还支持48字节的密钥长度。

注意:

在手动输入会话票据键数据时，确保HA设置或集群设置中所有Citrix ADC设备的配置是相同的。

这个sessionTicketKeyLifeTime参数指定刷新会话票证密钥的频率。您可以设置prevSessionTicketKeyLifeTime在生成新密钥后，指定将维护先前会话票键将维护前一个会话票证键的长度，以便使用该密钥在新密钥后进行解密。这个prevSessionTicketKeyLifeTime设置可以延长客户端使用缩写握手重新连接的时间。例如,如果sessionTicketKeyLifeTime设置为10分钟prevSessionTicketKeyLifeTime到5分钟，10分钟后生成一个新密钥，并用于所有新会话。但是，先前连接的客户有另外5分钟，以便以前发布的票据获得缩写握手。

使用CLI配置SSL会话票证数据

在命令提示下，键入：

SET SSL Profile  -sessionticket启用-sessionTicketLifetime  -sessionTicketkeyrefresh（已启用|已禁用）] -sessionTicketkeylifetime  [-PREVSESSIONTICKETKEYLIFETIME ] <！ -  yourcopy  - >

论据：

sessionticket.:使用RFC 5077描述的会话票据。建立初始握手需要cpu密集型的公钥加密操作。与启用设置时，服务器向客户端发出会话票据，客户端可以使用该票据执行缩写握手。

可能值：已启用、已禁用。默认值：禁用

sessionticketlife：会话票证的生存期（以秒为单位）。在此时间到期后，客户端无法使用此票证恢复其会话。

最大值：172800.最小值：0。默认值：300。

sessionticketkeyrefresh.：当Session-ticket键终身参数指定的时间到期时，重新生成用于加密或解密会话票证的Session-Ticket键。如果启用SessionTicket，则会启用自动启用。如果管理员输入会话票据数据，则禁用。

可能值：已启用、已禁用。默认值：已启用

sessionKeyLifeTime:用于加密由Citrix ADC设备发出的会话票据的对称密钥的生存期，以秒为单位。

最大值：86400。最小值：600。默认值：3000

PreSessionKeyLifetime：用于加密会话票证的上一个对称密钥在会话票证密钥生存期到期后对现有客户端保持有效的时间（秒）。在这段时间内，现有客户端可以使用上一个会话票证密钥恢复会话。新客户端的会话票证使用新密钥加密。

最大值：172800。最小值：0。默认值：0

例子:

设置ssl配置文件ns_默认\u ssl_配置文件\u前端-启用sessionTicket-启用sessionTicketlifeTime 120-启用sessionTicketKeyRefresh-启用sessionTicketKeyLifeTime 100-prevSessionTicketKeyLifeTime 60完成显示ssl配置文件ns_默认\u ssl_配置文件\u前端会话票证：启用的会话票证生存期：120（秒）会话密钥自动刷新：启用的会话密钥生存期：100（秒）上一个会话密钥生存期：60（秒）<--需要复制-->

使用GUI配置SSL会话票证数据

1. 导航到系统>轮廓，然后选择SSL配置文件．

2. 选择ns_default_ssl_profile_frontend点击编辑．

3. 在里面基本设置部分，点击铅笔图标并设置以下参数:

   • 会议票
   • 会话票证生存期（秒）
   • 会话票证密钥自动刷新
   • 会话票据密钥寿命(秒)
   • 上一届会话票证终身（秒）

4. 点击好的．

通过CLI手工输入SSL会话票据数据

在命令提示下，键入：

设置ssl配置文件-启用sessionTicket设置ssl配置文件-sessionTicketKeyData显示ssl配置文件ns\u默认\u ssl\u配置文件\u前端<--需要复制-->

论据：

sessionticket.:使用RFC 5077描述的会话票据。建立初始握手需要cpu密集型的公钥加密操作。与启用设置时，服务器向客户端发出会话票据，客户端可以使用该票据执行缩写握手。

可能值：已启用、已禁用。默认值：禁用

sessionTicketKeyData:包含会话票证名称（0–15字节）、用于加密或解密会话票证的会话AES密钥（16–31字节）以及用于计算票证摘要的会话HMAC密钥（32–63字节）。由管理员外部生成并添加到Citrix ADC设备。

最大长度:64字节

例子:

设置ssl配置文件ns_默认\u ssl_配置文件\u前端-sessionTicket已启用完成设置ssl配置文件ns_默认\u ssl_配置文件\u前端-sessionTicketKeyData 111111111111111111111111111111111111111完成显示ssl配置文件ns_默认\u ssl_配置文件\u前端1）名称：ns_默认\u ssl_配置文件\u前端（前端）SSLv3:已启用TLSv1.0:已启用TLSv1.1:已启用TLSv1.2:已启用客户端身份验证：已禁用仅使用绑定CA证书：已禁用严格CA检查：无会话重用：已启用超时：120秒DH:已禁用DH私钥指数大小限制：已禁用临时RSA:已启用刷新计数：0拒绝SSL重新协商所有非FIPS密码：已禁用Cipher重定向：禁用SSL重定向：禁用发送关闭通知：是推送加密触发器：始终推送加密触发器超时：1毫秒SNI：禁用OCSP绑定：禁用对启用SNI的SSL会话的严格主机头检查：无推送标志：0x0（自动）SSL量子大小：8 kB加密触发超时100毫秒加密触发数据包计数：45主题/颁发者名称插入格式：Unicode会话票证：启用会话票证生存期：300（秒）会话密钥自动刷新：禁用会话密钥生存期：3000（秒）上一个会话密钥生存期：0（秒）会话密钥数据：84dad1afc6d56b0deeb0a7fd7f299a207e8d8c15cdd087a5684a11a329fd732e87a0535d90883 47E8C181BA266F5C8838AE472CB3AB9255B683BF922FAD32CEE816C32998EF7CDEB278E93AC37882E3 ECC曲线：P_256，P_384，P_224，P_521）密码名称：默认优先级：4描述：预定义密码别名1）内部服务名称（前端）：nsrnatsip-127.0.0.1-5061 2）内部服务名称（前端）：nskrpcs-127.0.0.1-3009 3）内部服务名称（前端）：nshttps-：：1l-443 4）内部服务名称（前端）：nsrpcs-：：1l-3008 5）内部服务名称（前端）：nshttps-127.0.0.1-443 6）内部服务名称（前端）：nsrpcs-127.0.0.1-3008 7）Vserver Name:v1 Done<！--NeedCopy-->

使用GUI手动键入SSL会话票证数据

1. 导航到系统>配置文件，然后选择SSL配置文件．

2. 选择ns_default_ssl_profile_frontend点击编辑．

3. 在里面基本设置部分，点击铅笔图标并设置以下参数:

   • 会议票
   • 会话票据关键数据
   • 确认会话票据关键数据

4. 点击好的．

在Citrix ADC非FIPS平台上支持SSL握手中的扩展主密钥

注意:此参数在版本13.0 build 61.x中引入。

扩展主密钥（EMS）是传输层安全性（TLS）的可选扩展协议。添加了一个新参数，该参数适用于前端和后端SSL配置文件，以支持Citrix ADC设备上的EMS。如果该参数已启用且对等方支持EMS，则ADC设备将使用EMS计算。如果对等方不支持EMS，则即使参数设备上已启用er。有关EMS的更多信息，请参阅RFC 7627。

注意:EMS仅适用于使用TLS协议版本1.0、1.1或1.2的握手。

EMS平台支持

• MPX和SDX平台包含Cavium N3芯片或英特尔Coleto Creek加密卡。以下平台搭载英特尔Coleto芯片:
• MPX 5900
• MPX /有关8900
• MPX /有关26000
• MPX/SDX 26000-50S
• 议员/有关26000 - 100 g
• MPX/SDX 15000-50G

您还可以使用“show hardware”命令来确定您的设备是否有COLTO（COL）或N3芯片。

• 不带加密卡的MPX和SDX平台（仅限软件）。

• 纯软件平台:VPX、CPX和BLX。

无法在以下平台上启用EMS：

• MPX 9700 FIPS和MPX 14000 FIPS平台。

• 包含Cavium N2加密芯片的MPX和SDX平台。

如果启用该参数，则ADC设备将尝试在TLS 1.2、TLS 1.1和TLS 1.0连接中使用EMS。该设置不影响TLS 1.3或SSLv3连接。

要允许EMS与对等方协商，请启用绑定到虚拟服务器（前端）或服务（后端）的SSL配置文件上的设置。

通过命令行开启网管

在命令提示下，键入：

SET SSL Profile [-allowextendedmastersecret（是|否）]

例子

设置ssl配置文件ns\U默认\U ssl\U配置文件\U前端-allowExtendedMasterSecret是设置ssl配置文件ns\U默认\U ssl\U配置文件\U后端-allowExtendedMasterSecret是<--需要复制-->

的默认值如下表所示allowExtendedMasterSecret参数用于不同的默认配置文件和用户定义的配置文件。

使用GUI启用EMS

1. 导航到系统>配置文件>SSL配置文件．
2. 添加配置文件或编辑配置文件。

3. 设置允许扩展主秘密是的。

支持处理客户端Hello消息中的ALPN扩展

注意：13.0版build 61.x及更高版本支持此功能。

一个参数山莨菪碱添加到前端SSL配置文件中，以协商由SSL_TCP虚拟服务器处理的连接的ALPN扩展中的应用程序协议。如果在客户端hello消息的ALPN扩展中接收到相同的协议，则只协商SSL配置文件中指定的协议。

注意:这个山莨菪碱参数仅在前端SSL配置文件中支持，并适用于由SSL_TCP类型的虚拟服务器处理的SSL连接。

使用CLI在前端SSL配置文件中设置协议

在命令提示下，键入：

设置ssl配置文件ns\U默认\U ssl\U配置文件\U前端-alpnProtocol

这个山莨菪碱参数可以接受三个值。最大长度:4096字节。

• 无：未进行应用程序协议协商。此设置为默认设置。
• HTTP1：HTTP1可以作为应用协议进行协商。
• HTTP2:HTTP2可以作为应用协议进行协商。

例子:

set ssl profile ns_default_ssl_profile_frontend -ALPNProtocol HTTP2 > sh ssl profile ns_default_ssl_profile_frontend 1)名称:ns_default_ssl_profile_frontend(前端)SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Client Auth: DISABLED仅使用绑定的CA证书:DISABLED严格的CA检查:NO Session Reuse: ENABLED Timeout: 120 seconds DH: DISABLED DH Private-Key exponsize Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Deny SSL Renegotiation ALL Non FIPS Cipher: DISABLED Cipher Redirect: DISABLED SSL Redirect: DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data:禁用她密钥交换和相移键控:没有票/验证上下文:1把加密触发:总是把加密触发超时:1 SNI女士:禁用OCSP装订:禁用严格主机头检查SNI启用SSL会话:没有匹配HTTP主机头SNI: CERT推动国旗:0 x0(汽车)SSL量子尺寸:8kb加密触发超时100ms加密触发包数:45主题/发布者名称插入格式:Unicode SSL拦截:禁用SSL拦截OCSP检查:启用SSL拦截端到端重协商:启用SSL拦截每服务器最大复用会话:10会话票据:禁用HSTS:禁用HSTS包括ubdomains: NO HSTS Max-Age: 0 HSTS Preload: NO Allow Extended Master Secret: NO Send ALPN Protocol: HTTP2 Done 

使用GUI在前端SSL配置文件中设置协议

1. 导航到系统>配置文件，然后选择SSL配置文件．

2. 选择ns_default_ssl_profile_frontend点击编辑．

3. 在里面ALPN协议列表，选择HTTP2．

加载旧配置

启用缺省配置文件是不可逆转的。但是，如果您决定您的部署不需要默认概要文件，那么您可以加载在启用默认概要文件之前保存的旧配置。在重新启动设备后，更改将生效。

使用CLI加载旧配置

在命令提示下，键入：

壳root@ns#清除配置root@ns#cd/nsconfigroot@ns#cp ns.conf.ns.11.0.jun.16 ns.confroot@ns#重新启动<--需要复制-->