交换机怎么配置TLS1.2

配置SSL客户端策略

1. 功能简介

SSL客户端策略是客户端连接SSL服务器时使用的参数。只有与应用层协议，如DDNS（Dynamic Domain Name System，动态域名系统），关联后，SSL客户端策略才能生效。有关DDNS的详细介绍请参见“三层技术-IP业务配置指导”中的“域名解析”。

2. 配置限制和指导

对安全性要求较高的环境下，建议不要为SSL客户端指定SSL3.0版本。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建SSL客户端策略，并进入SSL客户端策略视图。

ssl client-policy policy-name

(3)     配置SSL客户端策略所使用的PKI域。

pki-domain domain-name

缺省情况下，未指定SSL客户端策略所使用的PKI域。

如果服务器端需要对客户端进行基于数字证书的身份验证，则必须在SSL客户端指定PKI域，并在该PKI域内为SSL客户端申请本地数字证书。PKI域的创建及配置方法，请参见“安全配置指导”中的“PKI”。

(4)     配置SSL客户端策略支持的加密套件。

（非FIPS模式）

prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha | dhe_rsa_aes_256_cbc_sha256 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }

（FIPS模式）

prefer-cipher { ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_256_gcm_sha384 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_256_gcm_sha384 | rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_128_gcm_sha256 | rsa_aes_256_cbc_sha | rsa_aes_256_cbc_sha256 | rsa_aes_256_gcm_sha384 }

缺省情况下：

（非FIPS模式）

SSL客户端策略支持的加密套件为rsa_rc4_128_md5。

（FIPS模式）

SSL客户端策略支持的加密套件为rsa_aes_128_cbc_sha。

(5)     配置SSL客户端策略使用的SSL协议版本。

（非FIPS模式）

version { ssl3.0 | tls1.0 | tls1.1 | tls1.2 }

（FIPS模式）

version { tls1.0 | tls1.1 | tls1.2 }

缺省情况下，SSL客户端策略使用的SSL协议版本为TLS 1.0。

(6)     配置客户端需要对服务器端进行基于数字证书的身份验证。

server-verify enable

缺省情况下，SSL客户端需要对SSL服务器端进行基于数字证书的身份验证