若要在個別的連線伺服器執行個體上指定本機接受原則,您必須將內容新增至 locked.properties 檔案。如果 locked.properties 檔案不存在於伺服器上,您必須建立該檔案。
您要為想要設定的每個安全性通訊協定,新增 secureProtocols.n 項目。請使用下列語法:secureProtocols.n=安全性通訊協定。
您要為想要設定的每個加密套件,新增 enabledCipherSuite.n 項目。請使用下列語法:enabledCipherSuite.n=加密套件。
變數 n 是您循序 (1、2、3) 新增到每個項目類型的整數。
您需要新增 honorClientOrder 項目以控制加密套件的優先順序。通常,伺服器的加密套件順序不重要,且系統會使用用戶端的順序。若要改為使用伺服器的加密套件順序,請使用下列語法:
honorClientOrder=false
請確認 locked.properties 檔案中的項目擁有正確的語法,且加密套件和安全性通訊協定的名稱拼寫正確。檔案中的任何錯誤都可能會造成用戶端與伺服器之間的交涉失敗。
程序
範例: 個別伺服器上的預設接受原則
下列範例說明 locked.properties 檔案中,指定預設原則所需的項目:
# The following list should be ordered with the latest protocol first: secureProtocols.1=TLSv1.2 # This setting must be the latest protocol given in the list above: preferredSecureProtocol=TLSv1.2 # The order of the following list is unimportant unless honorClientOrder is false: enabledCipherSuite.1=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 enabledCipherSuite.2=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 enabledCipherSuite.3=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 enabledCipherSuite.4=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 # Use the client's ordering of cipher suites (ignores the ordering given above): honorClientOrder=true
備註: 在 FIPS 模式中,僅會啟用 GCM 加密套件。