更新时间:2023-06-05
操作场景
为了保证做了SSL卸载后的内网数据安全或代理访问加密的SSL应用,我们可以配置[SSL加密策略]对访问该虚拟服务的流量做SSL加密处理后再和节点进行通信。
操作步骤
[应用负载/SSL策略/SSL加密策略],在[应用负载]菜单下,点击<SSL策略>,在右边SSL策略窗口中,选择[SSL加密策略],点击<新增>。
界面如下图所示。
[SSL加密策略]下显示的SSL加密策略的[名称]、[描述]、[客户端证书]、[SSL协议]、[服务器名称SNI]、[服务器认证]、[CA证书]、[操作],其中[操作]栏有“复制”按钮用于快速复制创建同样的SSL加密策略,“删除”按钮用于删除该单条配置。此处定义的[SSL加密策略],可用于“虚拟服务”配置部分。
点击<新增>按钮,如下图所示。
客户端证书:配置使用的客户端证书,客户端可使用ECDSA商密证书或RSA商密证书,如服务器没有启用双向认证可不配置。
启用协议:配置和节点进行SSL通信使用的SSL协议版本,支持TLS1.3协议。
加密算法:配置SSL通信使用的加密算法,客户端证书类型不同,可选择对应的加密算法。
会话复用:配置是否启用SSL会话复用。
• 缓存会话数量:配置缓存的会话数量,默认2000,范围100-5000。
• 缓存会话时间:配置缓存会话的超时时间,默认1800秒,范围10~86400。
服务器名称SNI:配置服务器域名。
服务器端认证:配置是否启用服务器端认证,“禁用”则不验证服务器的证书,“启用”启用后只有服务器的证书可信时才进行通信,默认禁用。
CA证书:配置选择服务器端认证的根证书,CA证书可以通过[资源管理/证书管理/CA证书]进行CA证书相关配置。
证书链深度:配置服务端的证书链遍历的最多证书数量。
CRL:配置选用的证书吊销列表,列表可以通过[资源管理/证书管理/CRL]进行CRL相关配置。