虽然在几乎所有情况下都不需要更改默认设置,但您可以配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和加密算法。
默认设置包括使用 128 位或 256 位 AES 加密的密码套件,匿名 DH 算法除外,并按强度对其进行排序。默认情况下,TLS v1.1 和 TLS v1.2 处于启用状态。TLS v1.0 和 SSL v3.0 处于禁用状态。
前提条件
熟悉 Unified Access Gateway REST API。安装了 Unified Access Gateway 的虚拟机上的以下 URL 中提供了该 API 的规范:https://access-point-appliance.example.com:9443/rest/swagger.yaml。
熟悉用于配置密码套件和协议的特定属性:cipherSuites、ssl30Enabled、tls10Enabled、tls11Enabled 和 tls12Enabled。
过程
- 创建一个 JSON 请求以指定要使用的协议和密码套件。
以下示例使用默认设置。
{
"cipherSuites": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA",
"ssl30Enabled": "false",
"tls10Enabled": "false",
"tls11Enabled": "true",
"tls12Enabled": "true"
}
- 使用 REST 客户端(如 curl 或 postman)通过 JSON 请求调用 Unified Access Gateway REST API 并配置协议和密码套件。
在此示例中,access-point-appliance.example.com 是 Unified Access Gateway 设备的完全限定域名。
curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json
ciphers.json 是在上一步中创建的 JSON 请求。