操作场景

为了在客户不修改服务器端应用直接将HTTP、SMTP、LDAP等应用升级到SSL加密的HTTPS、SMTP_SSL、LDAPS等或为了降低服务器做证书卸载的压力、集中管理SSL证书等原因，我们可以配置[SSL卸载策略]对访问该虚拟服务的流量做SSL卸载

处理，使得客户端需要使用SSL加密应用进行通信，现已全面支持国密算法。

操作步骤

[应用负载/SSL策略/SSL卸载策略]，在[应用负载]菜单下，点击<SSL策略>，在右边SSL策略窗口中，选择[SSL卸载策略]，点击<新增>。

界面如下图所示。

[SSL卸载策略]下显示的SSL卸载策略的[名称]、[描述]、[ECDSA服务器证书]、[RSA服务器证书]、[SSL协议]、[服务器名称SNI]、[客户端认证]、[CA证书]、[操作]，其中[操作]栏有“复制”按钮用于快速复制创建同样的SSL卸载策略，“删除”按钮用于删除该单条配置。此处定义的[SSL卸载策略]，可用于“虚拟服务”配置部分，现已支持国密协议、国密加密算法和国密证书。

点击<新增>按钮，如下图所示。

ECDSA服务器证书：配置当协商为商密算法时，服务端使用的ECDSA商密证书。

RSA服务器证书：配置当协商为商密算法时，服务端使用的RSA商密证书。

SM2服务器签名证书：配置当协商为国密算法时，服务端使用的SM2国密签名证书。

SM2服务器加密证书：配置当协商为国密算法时，服务端使用的SM2国密加密证书。

服务类型：配置虚拟服务的类型，可选HTTPS或SSL。

启用协议：配置和客户端进行SSL通信使用的SSL协议版本。

• 当协议版本未启用时配置当AD不支持客户端所用的协议时的动作，若[服务类型]选择SSL，则为拒绝；若[服务类型]选择HTTPS，可选择拒绝或响应自定义内容，自定义内容可以通过[资源管理/自定义内容]进行相关配置，内置的内容如下。

加密算法：配置SSL通信使用的加密算法，服务器证书类型不同，可选择对应的加密算法。

服务器名称SNI：配置服务器域名。

Session Ticket 扩展：配置是否启用Session Ticket 扩展，启用后优化SSL交互过程。SSL session ticket记录了加密参数，用于后续请求，减少握手次数，降低反复握手请求导致的高延迟，提高SSL握手效率。

会话复用：配置是否启用SSL会话复用。

• 缓存会话数量：配置缓存的会话数量，默认2000，范围100-5000。

• 缓存会话时间：配置缓存会话的超时时间，默认1800秒，范围10~86400。

客户端认证：配置是否启用客户端认证，[禁用]则只进行服务器认证，即单向认证，[启用]启用后服务器和客户端都要进行认证，即双向认证，默认禁用。

开启客户端认证后，对应配置如下：

CA证书：配置选择客户端认证的根证书，CA证书可以通过[资源管理/证书管理/CA证书]进行CA证书相关配置。

证书链深度：配置客户端的证书链遍历的最多证书数量。

客户端认证URI匹配：配置需要提交客户端证书认证的是全部URI还是指定URI，默认为全部，即所有URI都需要认证。填写指定的URI，指定某个URI是否需要客户端认证。URI示例：/index.html，支持通配符?和*，选择指定URI后，默认*即所有URI无需客户端认证。

CRL：配置选用的证书吊销列表，列表可以通过[资源管理/证书管理/CRL]进行CRL相关配置。

认证失败规则：配置客户端证书认证失败后的动作，可选认证失败规则，失败后执行的动作，动作可选允许、拒绝或返回自定义内容。