Skip To Content

限制 TLS 协议和密码套件

作为组织管理员,您可以指定门户内部 Web 服务器用来保护通信安全的传输层安全性 (TLS) 协议和加密算法。 您的组织可能需要使用特定的 TLS 协议和加密算法。 将门户指定为使用认证的协议和算法可确保您的门户始终遵从组织的安全策略。

默认 TLS 协议

默认情况下,门户配置为使用 TLSv1.3TLSv1.2 协议。 您也可以使用以下步骤启用 TLSv1TLSv1.1 协议。

使用默认加密算法

门户默认配置为按下面所列顺序使用以下加密算法:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384(仅限 TLSv1.3
  • TLS_AES_128_GCM_SHA256(仅限 TLSv1.3

出于安全原因,在先前版本中默认启用的几种加密算法已被禁用。 如果更低版本客户端需要,它们可以启用。 有关支持算法完整列表的信息,请参阅下面的加密套件参考

可以使用 Portal Administrator Directory 指定门户要使用的 TLS 协议和加密算法。

  1. 打开 Portal Administrator Directory 并以组织管理员的身份登录。

    URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin

  2. 单击安全性 > SSLCertificates > 更新
  3. SSL 协议文本框中,指定要使用的协议。 如果指定了多个协议,请用逗号分隔每个协议,例如 TLSv1.2, TLSv1.1
    注:

    请确保托管 Web Adaptor 的 Web 服务器已配置为使用您启用的协议。 如果您使用的是 Java Web Adaptor,则托管 Web Adaptor 的 Web 服务器必须使用 Java 8。

  4. 密码套件文本框中,指定要使用的加密算法。 如果指定了多个算法,请用逗号分隔每个算法,例如 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA
  5. 单击更新

    如果指定了无效的协议或密码套件,则会返回一个错误。

密码套件参考

门户支持以下算法:

密码 ID名称密钥交换验证算法加密算法散列算法
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA
0x1302 TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1301 TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256

术语

上表中使用了以下术语:

  • ECDH - 椭圆曲线 Diffie-Hellman
  • DH—Diffie-Hellman
  • RSA—Rivest, Shamir, Adleman
  • ECDSA - 椭圆曲线数字签名算法
  • AES - 高级加密标准
  • GCM - Galois/计数器模式, 密码区块加密的操作模式
  • CBC - 密码块链接
  • 3DES - 三重数据加密算法
  • SHA - 安全散列算法