2.3. cn=encryption,cn=config
加密相关属性存储在 cn=encryption,cn=config 条目下。cn=encryption,cn=config 条目是 nsslapdEncryptionConfig 对象类的实例。
2.3.1. allowWeakCipher
此属性控制允许或拒绝弱密码。默认值取决于 nsSSL3Ciphers 参数中设置的值。
密码被认为较弱,如果:
它们是可导出的。
可导出的密码在密码名称中被标记为
EXPORT。例如,在TLS_RSA_EXPORT_WITH_RC4_40_MD5中。它们比 3DES 算法的对称和更弱。
对于加密和解密,对称加密都使用相同的加密密码。
- 密钥长度比 128 位短。
必须重启服务器才能使此属性生效。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 |
|
| 语法 | DirectoryString |
| 示例 | allowWeakCipher: on |
2.3.2. allowWeakDHParam
与目录服务器关联的网络安全服务(NSS)库至少需要 2048 位 Diffie-Hellman (DH)参数。但是,一些客户端连接到目录服务器(如 Java 1.6 和 1.7 客户端)只支持 1024 位 DH 参数。allowWeakDHParam 参数允许您启用对目录服务器中弱 1024 位 DH 参数的支持。
必须重启服务器才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | off |
| 语法 | DirectoryString |
| 示例 | allowWeakDHParam: off |
2.3.3. nsSSL3Ciphers
此属性指定加密目录服务器在加密通信过程中使用的集合。
此参数中设置的值会影响 allowWeakCipher 参数的默认值。详情请查看 第 2.3.1 节 “allowWeakCipher”。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 以逗号分隔的 NSS 支持的密码列表。另外,还可使用以下参数: * 默认:启用 NSS 公告的默认密码,除了弱密码除外。如需更多信息,请参阅 列出 SSL 连接支持的密码套件。
* +all :所有密码都已启用。如果启用了 * -all :所有密码都被禁用。 |
| 默认值 | default |
| 语法 | DirectoryString
使用加号(
要启用除 |
| 示例 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
2.3.4. nsSSLActivation
此属性显示是否为给定安全模块启用 TLS 密码系列。
| 条目 DN | cn=encryptionType,cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsSSLActivation: on |
2.3.5. nsSSLClientAuth
此属性显示目录服务器如何强制实施客户端身份验证。它接受以下值:
-
off- 目录服务器不接受客户端身份验证 -
allowed(默认)- 目录服务器将接受客户端身份验证,但不需要它 -
必需- 所有客户端都必须使用客户端身份验证。
必须重启服务器才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | off | 允许 | 必需 |
| 默认值 | allowed |
| 语法 | DirectoryString |
| 示例 | nsSSLClientAuth: allowed |
2.3.6. nsSSLEnabledCiphers
目录服务器自动生成多值 nsSSLEnabledCiphers 属性。属性是只读的,显示 Directory 服务器当前使用的密码。列表可能与您在 nsSSL3Ciphers 属性中设置的相同。例如,如果您在 nsSSL3Ciphers 属性中设置了弱密码,但 allowWeakCipher 被禁用,则 nsSSLEnabledCiphers 属性不会列出弱密码,也不会使用它们。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=config |
| 有效值 | 此属性的值是自动生成的和只读。 |
| 默认值 | |
| 语法 | DirectoryString |
| 示例 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
2.3.7. nsSSLPersonalitySSL
此属性包含用于 SSL 的证书名称。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 证书 nickname |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLPersonalitySSL: Server-Cert |
2.3.8. nsSSLSessionTimeout
此属性设置 TLS 连接的生命周期持续时间。最小超时值为 5 秒。如果设置了较小的值,则会自动被 5 秒替代。大于有效范围内的最大值的值由范围内的最大值替换。
必须重启服务器才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效范围 | 5 秒到 24 小时 |
| 默认值 | 0,这意味着使用上面有效范围内的最大值。 |
| 语法 | 整数 |
| 示例 | nsSSLSessionTimeout: 5 |
2.3.9. nsSSLSupportedCiphers
此属性包含服务器支持的密码。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 特定的系列、密码和强度字符串 |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
2.3.10. nsSSLToken
此属性包含服务器使用的令牌(安全模块)的名称。
| 条目 DN | cn=encryption,cn=config |
| 有效值 | 模块名称 |
| 默认值 | |
| 语法 | DirectoryString |
| 例如: | nsSSLToken: internal (软件) |
2.3.11. nsTLS1
启用 TLS 版本 1。与 TLS 使用的密码在 nsSSL3Ciphers 属性中定义。
如果将 sslVersionMin 和 sslVersionMax 参数与 nsTLS1 结合使用,Directory 服务器会从这些参数中选择最安全的设置。
必须重启服务器才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsTLS1: on |
2.3.12. nsTLSAllowClientRenegotiation
目录服务器使用 SSL_OptionSet () 网络安全服务(NSS)功能以及 SSL_ENABLE_RENEGOTIATION 选项来控制 NSS 的 TLS 重新协商行为。
nsTLSAllowClientRenegotiation 属性控制目录服务器传递给 SSL_ENABLE_RENEGOTIATION 选项的值:
-
如果您在 上设置了
nsTLSAllowClientRenegotiation:,则目录服务器会将SSL_RENEGOTIATE_REQUIRES_XTN传递给SSL_ENABLE_RENEGOTIATION选项。在这种情况下,NSS 允许使用 RFC 5746 进行安全重新协商尝试。 -
如果您设置了
nsTLSAllowClientRenegotiation: off,目录服务器会将SSL_RENEGOTIATE_NEVER传递给SSL_ENABLE_RENEGOTIATION选项。在这种情况下,NSS 会拒绝所有重新协商尝试,甚至是安全的尝试。
有关 NSS TLS 重新协商行为的详情,请查看 NSS 中的 RFC 5746 实现(网络安全服务) 部分,红帽是否受 TLS 重新协商 MITM 攻击(CVE-2009-3555)? 文章。
必须重启该服务才能使此属性生效。
| 参数 | 描述 |
|---|---|
| 条目 DN | cn=encryption,cn=config |
| 有效值 | on | off |
| 默认值 | on |
| 语法 | DirectoryString |
| 示例 | nsTLSAllowClientRenegotiation: on |
2.3.13. sslVersionMax
设置要使用的 TLS 协议的最大版本。默认情况下,这个值被设置为系统中安装的 NSS 库中最新可用协议版本。
必须重启服务器才能使此属性生效。
如果将 sslVersionMin 和 sslVersionMax 参数与 nsTLS1 结合使用,Directory 服务器会从这些参数中选择最安全的设置。
| 条目 DN | cn=encryption,cn=config |
| 有效值 |
TLS 协议版本,如 |
| 默认值 | 在系统中安装的 NSS 库中的最新可用协议版本 |
| 语法 | DirectoryString |
| 例如: | sslVersionMax: TLS1.2 |
2.3.14. sslVersionMin
sslVersionMin 参数设置 TLS 协议 Directory 服务器使用的最小版本。但是,默认情况下,Directory 服务器根据系统范围的加密策略自动设置此参数。如果您在 /etc/crypto-policies/config 文件中将加密策略配置集设置为:
-
DEFAULT、FUTURE或FIPS,目录服务器将sslVersionMin设置为TLS1.2 -
LEGACY, Directory Server 将sslVersionMin设置为TLS1.0
或者,您可以手动将 sslVersionMin 设置为高于加密策略中定义的值。
必须重启该服务才能使此属性生效。
| 条目 DN | cn=encryption,cn=config |
| 有效值 |
TLS 协议版本,如 |
| 默认值 | 取决于您设置的系统范围的加密策略配置集。 |
| 语法 | DirectoryString |
| 例如: | sslVersionMin: TLS1.2 |
