Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.5. 将应用程序从下列系统范围的加密策略中排除

您可以通过在应用程序中直接配置支持的密码套件和协议来自定义应用程序使用的加密设置。

您还可以从 /etc/crypto-policies/back-ends 目录中删除与应用程序相关的符号链接,并使用您自定义的加密设置来替换它。此配置可防止对使用排除后端的应用程序使用系统范围的加密策略。此外,红帽不支持此修改。

2.5.1. 选择不使用系统范围的加密策略的示例
复制链接

curl

要指定 curl 工具使用的密码,请使用 --ciphers 选项,并提供以冒号分隔的密码列表作为值。例如: 

$ curl <https://example.com> --ciphers '@SECLEVEL=0:DES-CBC3-SHA:RSA-DES-CBC3-SHA'
Copy to Clipboard Toggle word wrap

如需更多信息,请参阅 curl(1) 手册页。

Libreswan
如需更多信息,请参阅 保护网络 文档中的 在 Libreswan 中启用旧的密码和算法 部分。
Mozilla Firefox
虽然您无法在 Mozilla Firefox Web 浏览器中选择不使用系统范围的加密策略,但您可以在 Firefox 的配置编辑器中进一步限制支持的密码和 TLS 版本。在地址栏中输入 about:config ,并根据需要修改 security.tls.version.min 选项的值。将 security.tls.version.min 设置为 1,允许将 TLS 1.0 作为最低要求,security.tls.version.min 2 启用 TLS 1.1,如此等等。
OpenSSH 服务器

要为您的 OpenSSH 服务器选择不使用系统范围的加密策略,请在位于 /etc/ssh/sshd_config.d/ 目录中的置入配置文件中指定加密策略。使用小于 50 的两位数字前缀,以便在 50-redhat.conf 文件前面,以及一个 .conf 后缀,如 49-crypto-policy-override.conf

详情请查看 sshd_config(5) 手册页。

OpenSSH 客户端

要为您的 OpenSSH 客户端选择不使用系统范围的加密策略,请执行以下任务之一:

  • 对于给定的用户,使用 ~/.ssh/config 文件中特定于用户的配置覆盖全局 ssh_config
  • 对于整个系统,在 /etc/ssh/ssh_config.d/ 目录中的置入配置文件中指定加密策略,具有小于 50 的两位数前缀,以便按字典顺序排列在 50-redhat.conf 文件之前,并具有 .conf 后缀,例如 49-crypto-policy-override.conf

详情请查看 ssh_config(5) 手册页。

wget

要自定义 wget 网络下载器使用的加密设置,请使用 --secure-protocol 和-- ciphers 选项。例如: 

$ wget --secure-protocol=TLSv1_1 --ciphers="SECURE128" <https://example.com>
Copy to Clipboard Toggle word wrap

如需更多信息,请参阅 wget(1) 手册页中的 HTTPS(SSL/TLS)选项部分。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat