Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

思科 ASA 系列命令参考，S 命令

第 16 章      至 storage-objects 命令

使用指南

从

 ASA 版本 9.3(2) 开始，此命令替换了 ssl encryption 命令。

建议的设置为

 medium。使用 high 可能会限制连接。如果仅配置了几个密码，使用 custom 可能

会限制功能。限制默认定制值会限制出站连接，包括集群。

有关使用

 OpenSSL 的密码的详细信息，请参阅 

。

使用

 show ssl ciphers all 命令可查看哪些密码支持哪些版本的列表。例如：

These are the ciphers for the given cipher level; not all ciphers are supported by all 

versions of SSL/TLS.

These names can be used to create a custom cipher list:

  DHE-RSA-AES256-SHA256 (tlsv1.2)

  AES256-SHA256 (tlsv1.2)

  DHE-RSA-AES128-SHA256 (tlsv1.2)

  AES128-SHA256 (tlsv1.2)

  DHE-RSA-AES256-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)

  AES256-SHA (sslv3, tlsv1, tlsv1.1, dtlsv1, tlsv1.2)

  DHE-RSA-AES128-SHA (tlsv1, tlsv1.1, dtlsv1, tlsv1.2)

  AES128-SHA (sslv3, tlsv1, tlsv1.1, dtlsv1, tlsv1.2)

  DES-CBC3-SHA (sslv3, tlsv1, tlsv1.1, dtlsv1, tlsv1.2)

  RC4-SHA (sslv3, tlsv1)

  RC4-MD5 (sslv3, tlsv1)

  DES-CBC-SHA (sslv3, tlsv1)

  NULL-SHA (sslv3, tlsv1)

ASA 将支持的密码的优先级顺序指定为：

TLSv1.2 (1-9) 支持的密码

DHE-RSA-AES256-SHA256

AES256-SHA256

DHE-RSA-AES128-SHA256

AES128-SHA256

DHE-RSA-AES256-SHA

AES256-SHA

DHE-RSA-AES128-SHA

AES128-SHA

DES-CBC3-SHA

TLSv1.1 或 TLSv1.2 (10-13) 不支持的密码

RC4-SHA

RC4-MD5

DES-CBC-SHA

NULL-SHA

示例

以下示例展示如何将

 ASA 配置为使用符合 FIPS 的 TLSv1.1 密码：

ciscoasa(config)# ssl cipher tlsv1.1 fips

以下示例展示如何将

 ASA 配置为使用 SSLv3 定制密码：

ciscoasa(config)# ssl cipher sslv3 custom "RC4:ALL:!DH"