跳转至

TLS协议配置

配置简介

tls_rule_conf.data配置TLS协议参数。

配置描述

配置项 描述
Version String
配置文件版本
Config Object
所有TLS协议配置
Config{k} String
标签
Config{v} Object
TLS协议配置详情
Config{v}.CertName String
服务端证书名称(注:在server_cert_conf.data文件中定义)
Config{v}.NextProtos Object
TLS应用层协议列表
默认值为["http/1.1"]
Config{v}.NextProtos[] String
TLS应用层协议, 合法值包括h2, spdy/3.1, http/1.1
Config{v}.Grade String
TLS安全等级, 合法值包括A+,A,B,C
Config{v}.ClientAuth Bool
是否启用TLS双向认证
Config{v}.ClientCAName String
客户端证书签发CA名称
Config{v}.VipConf Object
VIP列表(注:优先依据VIP来确定TLS配置)
Config{v}.VipConf[] String
VIP
Config{v}.SniConf Object
域名列表,可选(注:无法依据VIP确定TLS配置时,使用SNI确定TLS配置)
Config{v}.SniConf[] String
域名
DefaultNextProtos Object
支持的TLS应用层协议列表
DefaultNextProtos[] String
TLS应用层协议, 合法值包括h2, spdy/3.1, http/1.1

配置示例

{
    "Version": "20190101000000",
    "DefaultNextProtos": ["h2", "http/1.1"],
    "Config": {
        "example_product": {
            "VipConf": [
                "10.199.4.14"
            ],
            "SniConf": null,
            "CertName": "example.org",
            "NextProtos": [
                "h2",
                "http/1.1"
            ],
            "Grade": "B",
            "ClientCAName": ""
        }
    }
}

安全等级说明

BFE支持多种安全等级(A+/A/B/C)。各安全等级差异在于支持的协议版本及加密套件。A+等级安全性最高、连通性最低;C等级安全性最低、连通性最高。

安全等级A+

支持协议 支持加密套件
TLS1.2 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_OLD_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

安全等级A

支持协议 支持加密套件
TLS1.2
TLS1.1
TLS1.0
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_OLD_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

安全等级B

支持协议 支持加密套件
TLS1.2
TLS1.1
TLS1.0
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_OLD_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
SSLv3 TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_SHA

安全等级C

支持协议 支持加密套件
TLS1.2
TLS1.1
TLS1.0
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_OLD_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_SHA
SSLv3 TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_SHA