在 ADC 设备上配置用户定义的密码组
密码组是一组密码套件,您可以将其绑定到 NetScaler 设备上的 SSL 虚拟服务器、服务或服务组。密码套件包括协议、密钥交换 (Kx) 算法、身份验证 (Au) 算法、加密 (Enc) 算法和消息验证码 (Mac) 算法。您的设备附带了一组预定义的密码组。当您创建 SSL 服务或 SSL 服务组时,ALL 密码组将自动绑定到该服务或 SSL 服务组。但是,当您创建 SSL 虚拟服务器或透明 SSL 服务时,DEFAULT 密码组会自动绑定到该虚拟服务器或透明 SSL 服务。此外,您可以创建用户定义的密码组并将其绑定到 SSL 虚拟服务器、服务或服务组。
注意: 如果您的 MPX 设备没有任何许可证,则只有 EXPORT 密码绑定到您的 SSL 虚拟服务器、服务或服务组。
要创建用户定义的密码组,请先创建密码组,然后将密码或密码组绑定到该组。如果您指定密码别名或密码组,则密码别名或组中的所有密码都将添加到用户定义的密码组中。您也可以将单个密码(密码套件)添加到用户定义的组中。但是,您不能修改预定义的密码组。在删除密码组之前,请解除该组中所有密码套件的绑定。
将密码组绑定到 SSL 虚拟服务器、服务或服务组,会将密码附加到绑定到实体的现有密码中。要将特定的密码组绑定到实体,必须先取消绑定到该实体的密码或密码组的绑定。然后将特定的密码组绑定到实体。例如,要仅将 AES 密码组绑定到 SSL 服务,请执行以下步骤:
-
解除创建服务时默认绑定到服务的默认密码组 ALL 的绑定。
unbind ssl service <service name> -cipherName ALL <!--NeedCopy--> -
将 AES 密码组绑定到服务
bind ssl service <Service name> -cipherName AE <!--NeedCopy-->如果您想绑定 AES 之外的密码组 DES,请在命令提示符处键入:
bind ssl service <service name> -cipherName DES <!--NeedCopy-->
注意: 免费的 NetScaler 虚拟设备仅支持 DH 密码组。
使用 CLI 配置用户定义的密码组
在命令提示符处,键入以下命令以添加密码组或将密码添加到先前创建的组,然后验证设置:
add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <cipherGroup/cipherName>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
示例:
add ssl cipher test
Done
bind ssl cipher test -cipherName ECDHE
Done
sh ssl cipher test
1) Cipher Name: TLS1-ECDHE-RSA-AES256-SHA Priority : 1
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014
2) Cipher Name: TLS1-ECDHE-RSA-AES128-SHA Priority : 2
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013
3) Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384 Priority : 3
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA-384 HexCode=0xc028
4) Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256 Priority : 4
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA-256 HexCode=0xc027
5) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030
6) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f
7) Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA Priority : 7
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA1 HexCode=0xc00a
8) Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA Priority : 8
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA1 HexCode=0xc009
9) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384 Priority : 9
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA-384 HexCode=0xc024
10) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256 Priority : 10
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA-256 HexCode=0xc023
11) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 Priority : 11
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c
12) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority : 12
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b
13) Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 13
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012
14) Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA Priority : 14
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=3DES(168) Mac=SHA1 HexCode=0xc008
15) Cipher Name: TLS1-ECDHE-RSA-RC4-SHA Priority : 15
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=RC4(128) Mac=SHA1 HexCode=0xc011
16) Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA Priority : 16
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=RC4(128) Mac=SHA1 HexCode=0xc007
17) Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca8
18) Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 Priority : 18
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca9
Done
bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
<!--NeedCopy-->
使用 CLI 解除密码与密码组的绑定
在命令提示符处,键入以下命令以解除密码与用户定义的密码组的绑定,然后验证设置:
show ssl cipher <cipherGroupName>
unbind ssl cipher <cipherGroupName> -cipherName <string>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
使用 CLI 删除密码组
注意: 您无法删除内置密码组。在删除用户定义的密码组之前,请确保密码组为空。
在命令提示符处,键入以下命令以删除用户定义的密码组,然后验证配置:
rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
示例:
rm ssl cipher test Done
sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
<!--NeedCopy-->
使用 GUI 配置用户定义的密码组
- 导航到“流量管理”>“SSL”>“密码组”。
- 单击添加。
- 指定密码组的名称。
- 单击“添加”查看可用的密码和密码组。
- 选择密码或密码组,然后单击箭头按钮添加它们。
- 单击创建。
- 单击关闭。
要使用 CLI 将密码组绑定到 SSL 虚拟服务器、服务或服务组,请执行以下操作:
在命令提示符处,键入以下内容之一:
bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
bind ssl serviceGroup <serviceGroupName> -cipherName <string>
<!--NeedCopy-->
示例:
bind ssl vserver ssl_vserver_test -cipherName test
Done
bind ssl service nshttps -cipherName test
Done
bind ssl servicegroup ssl_svc -cipherName test
Done
<!--NeedCopy-->
要使用 GUI 将密码组绑定到 SSL 虚拟服务器、服务或服务组,请执行以下操作:
-
导航到流量管理 > 负载平衡 > 虚拟服务器。
要提供服务,请将虚拟服务器替换为服务。对于服务组,将虚拟服务器替换为服务组。
打开虚拟服务器、服务或服务组。
-
在 高级设置中,选择 SSL 密码。
-
将密码组绑定到虚拟服务器、服务或服务组。
将单个密码绑定到 SSL 虚拟服务器或服务
您也可以将单个密码而不是密码组绑定到虚拟服务器或服务。
要使用 CLI 绑定密码: 在命令提示符处,键入:
bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
<!--NeedCopy-->
示例:
bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
<!--NeedCopy-->
要使用 GUI 将密码绑定到 SSL 虚拟服务器,请执行以下操作:
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 选择 SSL 虚拟服务器,然后单击“编辑”。
- 在 高级设置中,选择 SSL 密码。
- 在Cipher Suites中,选择添加。
- 在可用列表中搜索密码,然后单击箭头将其添加到配置列表中。
- 单击“确定”。
- 单击 Done(完成)。
要将密码绑定到 SSL 服务,请在用服务替换虚拟服务器后重复上述步骤。