操作场景

为了保证做了SSL卸载后的内网数据安全或代理访问加密的SSL应用，我们可以配置[SSL加密策略]对访问该虚拟服务的流量做SSL加密处理后再和节点进行通信。

操作步骤

[应用负载/SSL策略/SSL加密策略]，在[应用负载]菜单下，点击<SSL策略>，在右边SSL策略窗口中，选择[SSL加密策略]，点击<新增>。

界面如下图所示。

[SSL加密策略]下显示的SSL加密策略的[名称]、[描述]、[客户端证书]、[SSL协议]、[服务器名称SNI]、[服务器认证]、[CA证书]、[操作]，其中[操作]栏有“复制”按钮用于快速复制创建同样的SSL加密策略，“删除”按钮用于删除该单条配置。此处定义的[SSL加密策略]，可用于“虚拟服务”配置部分。

点击<新增>按钮，如下图所示。

客户端证书：配置使用的客户端证书，客户端可使用ECDSA商密证书、RSA商密证书或国密SM2证书，如服务器没有启用双向认证可不配置。

启用协议：配置和节点进行SSL通信使用的SSL协议版本。

加密算法：配置SSL通信使用的加密算法，客户端证书类型不同，可选择对应的加密算法。

会话复用：配置是否启用SSL会话复用。

• 缓存会话数量：配置缓存的会话数量，默认2000，范围100-5000。

• 缓存会话时间：配置缓存会话的超时时间，默认1800秒，范围10~86400。

服务器名称SNI：配置服务器域名。

服务器端认证：配置是否启用服务器端认证，“禁用”则不验证服务器的证书，“启用”启用后只有服务器的证书可信时才进行通信，默认禁用。

CA证书：配置选择服务器端认证的根证书，CA证书可以通过[资源管理/证书管理/CA证书]进行CA证书相关配置。

证书链深度：配置服务端的证书链遍历的最多证书数量。

CRL：配置选用的证书吊销列表，列表可以通过[资源管理/证书管理/CRL]进行CRL相关配置。