虽然在几乎所有情况下都不需要更改默认设置,但您可以配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和加密算法。

默认设置包括使用 128 位或 256 位 AES 加密的密码套件,匿名 DH 算法除外,并按强度对其进行排序。默认情况下,TLS v1.1 和 TLS v1.2 处于启用状态。TLS v1.0 和 SSL v3.0 处于禁用状态。

前提条件

  • 熟悉 Unified Access Gateway REST API。安装了 Unified Access Gateway 的虚拟机上的以下 URL 中提供了该 API 的规范:https://access-point-appliance.example.com:9443/rest/swagger.yaml
  • 熟悉用于配置密码套件和协议的特定属性:cipherSuitesssl30Enabledtls10Enabledtls11Enabledtls12Enabled

过程

  1. 创建一个 JSON 请求以指定要使用的协议和密码套件。
    以下示例使用默认设置。
    {
    "cipherSuites": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA",
      "ssl30Enabled": "false",
      "tls10Enabled": "false",
      "tls11Enabled": "true",
      "tls12Enabled": "true"
    }
  2. 使用 REST 客户端(如 curlpostman)通过 JSON 请求调用 Unified Access Gateway REST API 并配置协议和密码套件。

    在此示例中,access-point-appliance.example.comUnified Access Gateway 设备的完全限定域名。

    curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json
    ciphers.json 是在上一步中创建的 JSON 请求。

结果

将使用指定的密码套件和协议。