TLS协议配置

配置简介

tls_rule_conf.data配置TLS协议参数。

配置描述

配置项描述
VersionString
配置文件版本
ConfigObject
所有TLS协议配置
Config{k}String
标签
Config{v}Object
TLS协议配置详情
Config{v}.CertNameString
服务端证书名称(注:在server_cert_conf.data文件中定义)
Config{v}.NextProtosObject
TLS应用层协议列表
默认值为[“http/1.1”]
Config{v}.NextProtos[]String
TLS应用层协议, 合法值包括h2, spdy/3.1, http/1.1
Config{v}.GradeString
TLS安全等级, 合法值包括A+,A,B,C
Config{v}.ClientAuthBool
是否启用TLS双向认证
Config{v}.ClientCANameString
客户端证书签发CA名称
Config{v}.VipConfObject
VIP列表(注:优先依据VIP来确定TLS配置)
Config{v}.VipConf[]String
VIP
Config{v}.SniConfObject
域名列表,可选(注:无法依据VIP确定TLS配置时,使用SNI确定TLS配置)
Config{v}.SniConf[]String
域名
DefaultNextProtosObject
支持的TLS应用层协议列表
DefaultNextProtos[]String
TLS应用层协议, 合法值包括h2, spdy/3.1, http/1.1

配置示例

  1. {
  2. "Version": "20190101000000",
  3. "DefaultNextProtos": ["h2", "http/1.1"],
  4. "Config": {
  5. "example_product": {
  6. "VipConf": [
  7. "10.199.4.14"
  8. ],
  9. "SniConf": null,
  10. "CertName": "example.org",
  11. "NextProtos": [
  12. "h2",
  13. "http/1.1"
  14. ],
  15. "Grade": "B",
  16. "ClientCAName": ""
  17. }
  18. }
  19. }

安全等级说明

BFE支持多种安全等级(A+/A/B/C)。各安全等级差异在于支持的协议版本及加密套件。A+等级安全性最高、连通性最低;C等级安全性最低、连通性最高。

安全等级A+

支持协议支持加密套件
TLS1.2TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_OLD_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

安全等级A

支持协议支持加密套件
TLS1.2
TLS1.1
TLS1.0
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_OLD_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

安全等级B

支持协议支持加密套件
TLS1.2
TLS1.1
TLS1.0
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_OLD_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
SSLv3TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_SHA

安全等级C

支持协议支持加密套件
TLS1.2
TLS1.1
TLS1.0
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_OLD_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_SHA
SSLv3TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_SHA