本节介绍了配置签名算法的步骤。
SSL 客户端使用 signature_algorithms 扩展向服务器指示,必须在数字签名中使用哪些签名/哈希算法对。
该扩展的 extension_data 字段包含 supported_signature_algorithms 值。
支持的哈希算法:
md(5)
sha1(2)
sha224(3)
sha256(4)
sha384(5)
sha512(6)
支持的签名算法:
rsa
dsa
ecdsa
在 NSX Advanced Load Balancer 中,客户端设置的签名算法直接用作客户端 Hello 消息中的支持的签名算法。
服务器设置的支持的签名算法不会发送到客户端,而是用于确定共享签名算法集合及其顺序。
如果启用了客户端身份验证,则在证书请求消息中发送服务器设置的客户端身份验证签名算法。否则,不会使用这些算法。同样,客户端设置的客户端身份验证签名算法用于确定客户端身份验证共享签名算法集合。
如果安全级别禁止签名算法,则不会通告或使用这些算法。
配置签名算法
signature_algorithm 字段是在 SSL 配置文件配置中引入的。默认情况下,该字段设置为 auto。
show sslprofile System-Standard [admin]: > show sslprofile System-Standard +-------------------------------+----------------------------------------------------------------------------------+ | Field | Value | +-------------------------------+----------------------------------------------------------------------------------+ | uuid | sslprofile-9052601e-0203-4702-81fd-221d0f4a3c5a | | name | System-Standard | | accepted_versions[1] | | | type | SSL_VERSION_TLS1 | | accepted_versions[2] | | | type | SSL_VERSION_TLS1_1 | | accepted_versions[3] | | | type | SSL_VERSION_TLS1_2 | | accepted_ciphers | ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDH | | | E-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:EC | | | DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA | | | -AES256-SHA:ECDHE-RSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-S | | | HA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA | | --------------------Truncated Output---------------------- | | | | | prefer_client_cipher_ordering | False | | enable_ssl_session_reuse | True | | ssl_session_timeout | 86400 sec | | type | SSL_PROFILE_TYPE_APPLICATION | | ciphersuites | TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 | | enable_early_data | False | | ec_named_curve | auto | | signature_algorithm | auto | | tenant_ref | admin | +-------------------------------+----------------------------------------------------------------------------------+
默认情况下,NSX Advanced Load Balancer 支持 ECDSA+SHA256:RSA+SHA256(在 signature_algorithm 设置为 auto 时)。
修改签名算法,如下所示:
> configure sslprofile System-Standard sslprofile> signature_algorithm ECDSA+SHA256:RSA+SHA256:RSA-PSS+SHA256 Overwriting the previously entered value for signature_algorithm sslprofile> save
