为TLS配置密钥和证书

可以使用TLS加密通信防止对本机与计算机等其他设备之间交换的数据的嗅探、欺骗和篡改。配置TLS加密通信设置时,必须指定用于加密的密钥和证书(服务器证书)。可以使用本机上预装的密钥和证书,也可以生成自己的密钥和证书,或者从证书颁发机构获取。配置这些设置需要“管理员”权限。
如果要使用自己生成的密钥和证书,请在生成密钥和证书后执行以下步骤。 生成用于网络通信的密钥和证书
如果要使用从证书颁发机构(CA)获取的密钥和证书,请在注册密钥和证书后执行以下步骤。 注册密钥和证书

设置TLS

1
启动“远程用户界面”。启动远程用户界面
2
单击门户页面上的[设置/注册]。远程用户界面屏幕
3
单击[网络设置]  [TLS设置]。
4
单击[密钥和证书]。
5
为要用于TLS加密通信的密钥和证书点击[使用]。
如果要使用预装的密钥和证书,请选择[Default Key]。
6
单击[网络设置]  [TLS设置]。
7
指定[最高版本] 和 [最低版本]。
8
选择要使用的算法,并点击[确定]。
可以使用以下TLS版本和算法的组合。
:可用
-:不可用
算法
TLS版本
[TLS 1.3]
[TLS 1.2]
[TLS 1.1]
[TLS 1.0]
[加密算法]
[AES-CBC(256-bit)]
-
[AES-GCM(256-bit)]
-
-
[3DES-CBC]
-
[AES-CBC(128-bit)]
-
[AES-GCM(128-bit)]
-
-
[CHACHA20-POLY1305]
-
-
-
[密钥交换算法]
[RSA]
-
[ECDHE]
[X25519]
-
-
-
[签名算法]
[RSA]
[ECDSA]
[HMAC算法]
[SHA1]
-
[SHA256]
-
-
[SHA384]
-
-
如果选择了[CHACHA20-POLY1305]或[X25519],则无法使用[以FIPS 140-2作为加密方法的格式]。
通过TLS启动远程用户界面
如果在启用了TLS时尝试启动远程用户界面,可能会显示与安全证书相关的安全警报。在此情况下,检查在地址栏中是否输入了正确的URL,然后继续显示远程用户界面屏幕。启动远程用户界面
批量导入/批量导出
此设置可以使用支持批量导入该设置的模型进行导入/导出。导入/导出设置数据
批量导出时此设置包括在[设置/注册基本信息]中。导入/导出所有设置

设置安全强度和加密方法

1
启动“远程用户界面”。启动远程用户界面
2
单击门户页面上的[设置/注册]。远程用户界面屏幕
3
单击[安全设置]  [加密/密钥设置]。
4
单击[加密设置]中的[编辑]。
5
配置加密设置和加密方法,然后单击[确定]。
[禁止使用弱加密]
选中此复选框以禁止使用密钥长度为1024位或更短的弱加密。要禁止使用弱加密的密钥和证书,需选择[禁止使用弱加密的密钥/证书]。
[以FIPS 140-2作为加密方法的格式]
选中此复选框,令使用加密的功能符合FIPS 140-2。
如选择[以FIPS 140-2作为加密方法的格式],可以使TLS通信加密方法符合美国政府批准的FIPS(联邦信息处理标准)140-2要求,但同时以下限制适用。
当为使用未获得FIPS认可的算法(低于RSA2048位)的TLS指定证书时,将出现错误。
如果通信目标不支持FIPS认可的加密算法,将出现通信错误。
[CHACHA20-POLY1305] 和 [X25519] 将不再可用。
批量导入/批量导出
此设置可以使用支持批量导入该设置的模型进行导入/导出。导入/导出设置数据
批量导出时此设置包括在[设置/注册基本信息]中。导入/导出所有设置
7Y6Y-04F