ip https ssl-server-policy access-policy 这条命令

您好，参考

1.4  配置SSL服务器端策略

1. 功能简介

SSL服务器端策略是设备作为服务器时使用的SSL参数。只有与HTTPS（Hypertext Transfer Protocol Secure，超文本传输协议的安全版本）等应用关联后，SSL服务器端策略才能生效。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建SSL服务器端策略，并进入SSL服务器端策略视图。

ssl server-policy policy-name

(3)     配置SSL服务器端策略所使用的PKI域。

pki-domain domain-name

缺省情况下，未指定SSL服务器端策略所使用的PKI域。

如果客户端需要对服务器端进行基于数字证书的身份验证，则必须在SSL服务器端指定PKI域，并在该PKI域内为SSL服务器端申请本地数字证书。PKI域的创建及配置方法，请参见“安全配置指导”中的“PKI”。

(4)     配置SSL服务器端策略支持的加密套件。

ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecc_sm2_sm1_sm3 | ecc_sm2_sm4_sm3 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_sm2_sm1_sm3 | ecdhe_sm2_sm4_sm3 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha | rsa_sm1_sha | rsa_sm1_sm3 | rsa_sm4_sha | rsa_sm4_sm3 } *

缺省情况下，SSL服务器端策略支持所有的加密套件。

(5)     （可选）配置SSL服务器上缓存的最大会话数目和SSL会话缓存的超时时间。

session { cachesize size | timeout time } *

缺省情况下，SSL服务器上缓存的最大会话数目为500个，SSL会话缓存的超时时间为3600秒。

(6)     配置SSL服务器端对SSL客户端的身份验证方案。

client-verify { enable | optional }

缺省情况下，SSL服务器端不要求对SSL客户端进行基于数字证书的身份验证。

SSL服务器端在基于数字证书对SSL客户端进行身份验证时，除了对SSL客户端发送的证书链进行验证，还要检查证书链中的除根CA证书外的每个证书是否均未被吊销。

(7)     （可选）配置SSL协商时SSL服务器端发送完整的证书链。

certificate-chain-sending enable

缺省情况下，SSL协商时，SSL服务器端只发送本地证书，不发送证书链。