为TLS配置密钥和证书
可以使用TLS加密通信防止对本机与计算机等其他设备之间交换的数据的嗅探、欺骗和篡改。配置TLS加密通信设置时,必须指定用于加密的密钥和证书(服务器证书)。可以使用本机上预装的密钥和证书,也可以生成自己的密钥和证书,或者从证书颁发机构获取。配置这些设置需要“管理员”或“网络管理员”权限。
|
如果要使用自己生成的密钥和证书,请在生成密钥和证书后执行以下步骤。 生成用于网络通信的密钥和证书 如果要使用从证书颁发机构(CA)获取的密钥和证书,请在注册密钥和证书后执行以下步骤。 注册密钥和证书 |
设置TLS
1
按 
(设置/注册)。
(设置/注册)。2
按<参数选择> 
<网络> <TCP/IP设置> <TLS设置>。
<网络> <TCP/IP设置> <TLS设置>。3
按<密钥和证书>。
4
选择要用于TLS加密通信的密钥和证书,然后按<设置为默认密钥> <是>。
<是>。
如果要使用预装的密钥和证书,请选择<Default Key>。
TLS加密通信无法使用<Device Signature Key>(用于设备签名),也无法使用<AMS>(用于访问限制)。
5
按<确定>。
6
按<指定允许的版本>。
7
指定<最高版本>和<最低版本>,按<确定>。
,按<确定>。8
选择每个算法的设置。
9
选择要使用的算法 按 <确定>。
按 <确定>。示例:选择<加密算法设置>时
显示的项目可能因算法不同而异。
可以使用以下TLS版本和算法的组合。
:可用-:不可用
算法 | TLS版本 | |||
<TLS 1.3> | <TLS 1.2> | <TLS 1.1> | <TLS 1.0> | |
<加密算法设置> | ||||
<AES-CBC(256位)> | - | | | |
<AES-GCM(256位)> | | | - | - |
<3DES-CBC> | - | | | |
<AES-CBC(128位)> | - | | | |
<AES-GCM(128位)> | | | - | - |
<CHACHA20-POLY1305> | | - | - | - |
<密钥交换算法设置> | ||||
<RSA> | - | | | |
<ECDHE> | | | | |
<X25519> | | - | - | - |
<签名算法设置> | ||||
<RSA> | | | | |
<ECDSA> | | | | |
<HMAC算法设置> | ||||
<SHA1> | - | | | |
<SHA256> | | | - | - |
<SHA384> | | | - | - |
10
按 (设置/注册) (设置/注册) <应用设置更改> <是>。
(设置/注册) (设置/注册) <应用设置更改> <是>。重新启动本机后设置才会应用。
通过TLS启动远程用户界面 |
如果在启用了TLS时尝试启动远程用户界面,可能会显示与安全证书相关的安全警报。在此情况下,检查在地址栏中是否输入了正确的URL,然后继续显示远程用户界面屏幕。启动远程用户界面 |
设置安全强度和加密方法
1
按 (设置/注册)。
(设置/注册)。2
按<管理设置> <安全设置> <加密设置>。
<安全设置> <加密设置>。3
配置加密设置和加密方法。
<禁止使用弱加密>将此项设为<打开>以禁止使用密钥长度为1024位或更短的弱加密。要禁止使用弱加密的密钥和证书,将<禁止使用弱加密的密钥/证书> 设为 <打开>。
<以FIPS 140-2作为加密方法的格式>将此项设为 <打开>,令使用加密的功能符合FIPS 140-2。
|
如将<以FIPS 140-2作为加密方法的格式> 设为 <打开>,可以使TLS通信加密方法符合美国政府批准的FIPS(联邦信息处理标准)1402要求,但同时以下限制适用。 当为使用未获得FIPS认可的算法(低于RSA2048位)的TLS指定证书时,将出现错误。 如果通信目标不支持FIPS认可的加密算法,将出现通信错误。 <CHACHA20-POLY1305> 和 <X25519> 将不再可用 |