F5 SSL证书 cipher配置

最新推荐文章于 2024-09-09 11:27:21 发布
最新推荐文章于 2024-09-09 11:27:21 发布
阅读量1.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/nella/p/9890246.html
本文详细介绍了如何在F5控制台上配置SSL Profile,包括登录控制台、选择配置文件、进入高级设置及自定义cipher配置的过程。提供了具体的cipher配置示例,并解释了各参数含义,如禁用SSLv2协议、不使用弱加密等。

1 . 登录F5控制台

2 .点击 Local Traffic > Profiles > SSL > Client.

3 . 点击需要配置的profile

4 . 在配置中选择高级选项

5 . 勾选定制, 在cipher框中输入相应配置

例如:

DEFAULT:ECDHE:ECDHE_ECDSA:DHE_DSS

DEFAULT:-RSA:!DES:!RC4:!SSLv2:!SSLv3:!TLSv1:TLSv1_2:COMPAT:AES128-GCM-SHA256

每个配置的意思可以查看下表:

 

ParameterDefinition
!SSLv2Do not use SSLv2 protocol
!EXPORTDo not use EXPORT grade (weak) ciphers
DHE+AES-GCMUse DHE+AES-GCM ciphers
DHE+AESUse DHE+AES ciphers
DHE+3DESUse DHE+3DES ciphers
RSA+AES-GCMUse RSA+AES-GCM ciphers
RSA+AESUse RSA+AES ciphers
RSA+3DESUse RSA+3DES ciphers
ECDHE+AES-GCMUse ECDHE+AES-GCM ciphers
ECDHE+AESUse ECDHE+AES ciphers
ECDHE+3DESUse ECDHE+3DES ciphers
-MD5Do not use MD5 ciphers
-SSLv3Do not use SSLv3 protocol
-RC4Do not use RC4 ciphers

转载于:https://www.cnblogs.com/nella/p/9890246.html

9栋108
关注
F5-Log-TLS-Client-Ciphers-and-Protocol:为了在生产环境中加强TLS密码,可以使用它来识别连接到您的BIG-IP的客户端当前支持的密码
03-26
F5-Log-TLS-客户端密码和协议 为了在生产环境中加强TLS密码,可以使用它来识别连接到您的BIG-IP的客户端当前支持的密码。 用法 注意:此解决方案必须具备tcp配置文件。 注意:不需要client-ssl配置文件。 (不会受伤;只是不需要) 将所有文件复制到BIG-IP LTM上的/ var / tmp / 。 加载每个配置文件: tmsh load /sys config file /var/tmp/Library-Rule.tcl merge tmsh load /sys config file /var/tmp/rule_fingerprint_tls.tcl merge tmsh load /sys config file /var/tmp/data-group_tls_version_decoder.tcl merge tmsh load /sys confi
F5证书配置
weixin_33720078的博客
10-25 1859
几种格式文件的说明:csr——>在F5上生成的文件。包含了域名、公司名、部门名、城市、邮箱等信息。crt/cer——>公钥,证书文件,由权威证书机构颁发。key——>私钥,与csr配套生成,成对使用。例:1_root_bundle.crt——>证书链(包含证书的树型结构,追溯至根证书机构)2_test_wosign.com.crt——>公钥(证书...
【学习笔记】SSL证书之密码套件总览
Taki_UP的博客
09-09 943
1、概念:密码套件(Cipher Suites)定义了用于实现安全通信的实际协议。为了达到以上4个内容,Client和Server必须就具体协议达成一致,这就是。接下来几篇将介绍密码套件每个部分加密函数最常见的协议。
F5指南文档机密文档,非常好的资料
07-04
F5 指南,非常好,F5 指南,非常好,F5 指南,非常好,F5 指南,非常好,
TCP/IP四层模型以及F5部分相关配置
qq_43148894的博客
09-08 2270
OSI七层模型与TCP/IP协议簇对应关系: TCP/IP传输示意图: OSI七层模型以及各层功能: 以TCP/IP模型,各层协议: 一、网络接口层: Internetwork:互联网络 Ethernet v.2:网卡驱动 IEEE 802.2:IEEE 802又称为LMSC,是一个物理协议集,802网络是一系列局域网的总称,包含物理层PHY和MAC两个组件,MAC决定数据传输和访问媒介的规则,PHY定义其中细节,致力于研究局域网和城域网的物理层和MAC层中定义的服务和协议,对应OSI网络参考模型的最
ssl握手协议中的CipherSuite
gdfhhj的博客
02-13 6737
ssl握手协议中的CipherSuite
Jade5.0安全性增强指南:HTTPS部署与SSL证书配置详解
[Jade5.0安全性增强指南:HTTPS部署与SSL证书配置详解](https://www.f5.com/content/dam/f5-com/nginx-import/nginx-decrypts-https-traffic.png) # 摘要 本文介绍了Jade5.0的简介及其安全重要性,深入探讨了HTTPS...
F5 One Connect高级配置:定制化优化,专家级配置全解析
[F5 One Connect高级配置:定制化优化,专家级配置全解析](https://wtit.com/wp-content/uploads/2019/09/f5-oneconnect-og.jpg) 参考资源链接:[F5负载均衡的One Connect原理与工作机制详解]...
mbedtls交换服务器证书,mbedtls | 07 - DH秘钥协商算法的配置与使用
weixin_32751961的博客
07-30 1006
mbedtls系列文章Demo工程源码https://github.com/Mculover666/mbedtls-study-demo本工程基于STM32L41RCT6开发板,包含了本系列文章中所编写的所有Demo,持续更新……文章目录mbedtls系列文章Demo工程源码一、DH秘钥协商算法二、DH秘钥协商功能的配置和使用1. 配置2. DH秘钥协商功能API说明3. 编写测试函数4. 测试...
F5 Big-IP配置】:实现多数据中心智能路由的秘诀
本文针对多数据中心智能路由技术进行了综合论述,重点介绍了F5 Big-IP的基础理论与配置实践,阐述了智能路由原理、数据中心间的关键技术和通信协议。文章详细说明了F5 Big-IP产品的硬件和软件架构,以及如何在多数据...
配置F5和客户端之间的SSL
weixin_33811539的博客
12-09 1276
2019独角兽企业重金招聘Python工程师标准>>> ...
关于 ECDSA ECDH ECDHE
a2337116的博客
07-20 3771
ECDSA与ECDH ECDSA 指利用椭圆曲线算法进行数字签名 ECDH 指利用椭圆曲线算法进行密钥协商 理论上是可以共用同一组曲线模型和生成参数分别进行DSA(Digital Signature Algorithm)和DH(Diffie-Hellman)两种算法, EC代表椭圆曲线. (不推荐共用一组参数, 可以使用openssl编码实现) ECDHE与ECDH ECDHE是ECDH的延伸, 它也是密钥协商, 只是它每次进行TLS握手时都进行密钥商(E=Ephemeral), 它比ECDH..
在linux怎么更新证书,F5 更新证书
weixin_30175731的博客
05-15 1255
【System】 --> 【Certificate Management】 --> 【Traffic Certificate Management】 --> 【SSL Certificate List】 --> 【Import SSL Certificates and Keys】https://f5-hkg1.dtops.com/tmui/Control/jspmap/tm...
F5负载的应用
安余生的博客
01-18 9585
1. F5是什么 一般负载分为软件负载和硬件负载,比如软件中使用nginx等工具实现负载均衡,而F5负载均衡器就是硬件网络性能优化设备。 他不同于交换机、路由器这些网络基础设备,而是建立在现有网络结构上用来增加网络带宽和吞吐量的的硬件设备。 2. F5工作原理 ①、客户发出服务请求到VIP ②、BIGIP接收到请求,将数据包中目的IP地址改为选中的后台服务器IP地址,然后将数据包发出到后台选定的服务器 ③、后台服务器收到后,将应答包按照其路由发回到BIGIP ④、BIGIP收...
F5 SSL证书安装配置指南
weixiao20210727的博客
08-31 475
1、当系统的负荷已经到80%以上时,不推荐在当前设备进行SSL加解密业务配置2、用户的服务器公钥、私钥等证书,一定要注意保密,特别是私钥。
f5配置多少个服务器证书,F5部署SSL证书
weixin_42563415的博客
07-29 643
为了保证可以兼容所有浏览器,我们必须在服务器上安装中间证书,请到 中间证书下载工具,输入您的Server.cer,然后下载中间证书,请将中间证书保存为Chain.cer。证书文件的上传导入服务器证书文件(公钥)选择“LocalTraffic>>SSLCertificates>>ImportSSLCertificatesandKeys”:ImportT...
服务器证书安装配置指南(F5版本10)
weixin_34293059的博客
01-14 284
一、生成证书请求生成证书请求:选择Local Traffic-〉SSL Certificates-〉Create参考证书申请表填写证书请求信息新建证书请求时,请设置“Challenge Password”为空。Symantec证书暂不支持在F5中指定该参数。证书密钥长度请选额2048位。点击Download test_cert.csr。将证书请求文件(yourname.c...
F5负载均衡替换SSL证书
Ren_gw的博客
11-15 4265
确认ssl证书 证书由公钥和私钥构成,包含server.pem和server.key。 登录F5后台地址 确认是否具有两层F5,一般证书配置在第一层F5。 导入公钥和私钥 点击菜单中System>File Management >SSL Certtificate List >import .导入key .导入certificate .新建client引用证书 点击Local Traffic >Profiles >SSL &g...
F5 LTM 知识点和实验 2-负载均衡基础概念
cnxhsy的博客
07-26 3892
每一个模块都影响其他的模块,他们都是用层级关系的,比如一个node的健康检测为不正常,会直接将所有有关此node的pool member都会被认定为不正常,但是反过来,一个pool member不正常,不会影响node的状态,当pool member所有成员都不正常,pool会被认定为不正常,同时也会影响virtual server的状态。是创建pool池的基础。使用源地址源端口转换的坏处,你会发现,在后端服务器上抓到的包,源地址全是F5的浮动ip,如果你做日志记录或者来源认证,你会变得很麻烦。
ssl nginx配置 如何配置完整证书
最新发布
04-23
<think>好的,用户的问题是关于如何在Nginx中正确配置SSL完整证书链,同时解决版本1证书扩展导致的无效问题。根据用户提供的引用内容和我之前的回答,我需要综合这些信息来给出准确的解决方案。 首先,用户之前遇到了X.509 v1证书的兼容性问题,因为v1不支持扩展,而用户现在可能在使用这种证书时遇到了错误。用户现在想知道如何在Nginx中正确配置SSL,尤其是证书链的配置,以避免这些问题。 我需要回顾之前的回答,其中提到升级到v3证书是根本解决方案,同时还要确保证书链完整。根据引用[1],Nginx的SSL配置涉及ssl_certificate和ssl_certificate_key指令,但用户可能没有正确合并中间证书到服务器证书中,导致证书链不完整。这也是常见的SSL配置错误。 另外,引用[2]提到Nginx转发时可能没有正确传递客户端证书,但用户当前的问题是关于服务器证书链的问题,所以重点应放在服务器配置上。引用[3]涉及自签名证书的生成,这可能与用户的问题相关,但用户更可能需要的是如何正确配置现有证书链。 用户的需求明确:配置Nginx支持完整的证书链,并解决v1证书扩展错误。因此,解决方案应包括以下步骤: 1. **确保证书链完整**:将服务器证书、中间证书和根证书按顺序合并到一个文件中,配置ssl_certificate指向该文件。这可以避免浏览器因缺少中间证书而无法验证链的问题。 2. **使用v3证书替换v1证书**:指导用户生成或获取符合v3标准的证书,避免扩展字段导致的解析错误。这里需要提供具体的openssl命令示例,包括添加扩展如subjectAltName。 3. **配置Nginx的SSL参数**:设置ssl_protocols和ssl_ciphers以禁用不安全的协议和算法,同时启用现代加密方式。例如,禁用TLSv1TLSv1.1,仅使用TLSv1.2及以上版本,并设置强密码套件。 4. **验证配置证书链**:提供openssl命令来检查证书链是否完整,以及使用在线工具如SSL Labs的测试工具,确保配置正确。 5. **处理兼容性问题**:如果用户必须临时使用v1证书,可能需要调整解析器设置或升级OpenSSL版本,但应强调这存在安全风险,并建议尽快升级到v3。 此外,需要指出用户之前配置中可能的错误,比如未正确合并中间证书,或者使用了过时的协议版本。同时,确保Nginx配置中的ssl_certificate包含完整的链,而不仅仅是服务器证书。这可能涉及到具体的操作步骤,如合并证书文件的顺序是否正确。 最后,生成相关问题,帮助用户进一步理解相关配置和可能遇到的问题,例如如何检测证书链是否完整,如何更新OpenSSL版本等。</think>### 分步解决方案:Nginx中配置SSL完整证书链并修复v1证书扩展错误 --- #### **1. 确保证书链完整性** **问题根源**: 当服务器证书未正确包含中间证书时,客户端(如浏览器)无法构建完整的信任链,导致SSL握手失败或证书警告[^1]。 **操作步骤**: 1. **合并证书链**: 将服务器证书、中间证书(CA Bundle)和根证书按顺序合并为一个文件: ```bash cat your_domain.crt intermediate.crt root.crt > full_chain.crt ``` - **顺序要求**:服务器证书 → 中间证书1 → 中间证书2 → 根证书(自上而下信任链) 2. **配置Nginx使用完整链**: ```nginx server { listen 443 ssl; server_name yourdomain.com; ssl_certificate /etc/nginx/ssl/full_chain.crt; # 完整证书ssl_certificate_key /etc/nginx/ssl/private.key; # 私钥 # 强制禁用v1证书(若存在) ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; } ``` --- #### **2. 替换v1证书为v3证书** **关键操作**: 使用OpenSSL生成符合X.509 v3标准的证书(强制包含扩展字段): ```bash openssl req -x509 -newkey rsa:2048 -nodes -keyout server.key \ -out server.crt -days 365 -sha256 \ -addext "subjectAltName = DNS:yourdomain.com" # 必需扩展[^2] ``` - **参数说明**: - `-sha256`:强制使用SHA-256签名算法(避免弱签名) - `-addext`:添加SubjectAltName扩展(现代浏览器强制要求) --- #### **3. 验证Nginx配置证书链** **诊断命令**: 1. **检查证书链完整性**: ```bash openssl verify -CAfile full_chain.crt server.crt # 输出应为:server.crt: OK ``` 2. **测试Nginx配置语法**: ```bash nginx -t # 必须返回"syntax is ok" ``` 3. **在线验证工具**: 使用[SSL Labs SSL Test](https://www.ssllabs.com/ssltest/)检测证书链和协议兼容性。 --- #### **4. 处理v1证书的临时兼容(不推荐)** **风险场景**: 若必须临时使用v1证书,需**手动调整OpenSSL配置**: ```nginx ssl_protocols TLSv1.2; # 最低协议版本 ssl_conf_command Options PrioritizeChaCha; # 绕过部分扩展检查(OpenSSL 1.1.1+) ``` - **警告**: 此配置可能导致现代浏览器(Chrome 90+)拦截连接并提示`NET::ERR_CERT_INVALID`[^3]。 --- ### **配置示例对比** | 错误配置(导致链不完整) | 正确配置(完整证书链) | |------------------------------|----------------------------------| | `ssl_certificate domain.crt` | `ssl_certificate full_chain.crt` | | `ssl_protocols TLSv1;` | `ssl_protocols TLSv1.2 TLSv1.3;` | --- ### **相关问题** 1. 如何检测Nginx是否发送了完整的证书链? 2. 为什么现代浏览器要求SSL证书必须包含SubjectAltName扩展? 3. OpenSSL 3.0对证书验证有哪些更严格的限制? [^1]: 中间证书缺失会导致浏览器提示`ERR_SSL_VERSION_OR_CIPHER_MISMATCH` [^2]: 自Chrome 58起,SubjectAltName(SAN)扩展为强制要求,CN字段不再作为域名验证依据 [^3]: 扩展字段缺失或版本不匹配会触发`SSL_ERROR_BAD_CERT_DOMAIN`错误
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值