IBM Cloud Docs
Cipher-Suites einrichten

Cipher-Suites einrichten

Cipher Suites sind eine Kombination von Algorithmen und Protokollen, die dazu beitragen, Netzwerkverbindungen während des TLS-Handshakes zu sichern. IBM Cloud® Internet Services sichert Netzwerkverbindungen durch die Verwendung von Edge- und Origin-Cipher Suites.

Kantenverschlüsselungssuites

Die folgenden Chiffrierwerte werden am Rand der cloud (Cloud Edge) unterstützt. Sie können die Chiffren, die für Ihre Domain verwendet werden, über das CIS CLI-Plugin auf die IBM Cloud CLI beschränken. Lesen Sie hierzu die Beschreibung der Option ciphers im Artikel zum Befehl domain settings.

Kantenverschlüsselungssuites
OpenSSL-Name TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 IANA-Name
ECDHE-ECDSA-AES128-GCM-SHA256 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305 Verfügbar TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-RSA-AES128-GCM-SHA256 Verfügbar TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-CHACHA20-POLY1305 Verfügbar TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-SHA256 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ECDHE-ECDSA-AES128-SHA Verfügbar Verfügbar Verfügbar TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES128-SHA256 Verfügbar TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES128-SHA Verfügbar Verfügbar Verfügbar TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
AES128-GCM-SHA256 Verfügbar TLS_RSA_WITH_AES_128_GCM_SHA256
AES128-SHA256 Verfügbar TLS_RSA_WITH_AES_128_CBC_SHA256
AES128-SHA Verfügbar Verfügbar Verfügbar TLS_RSA_WITH_AES_128_CBC_SHA
ECDHE-ECDSA-AES256-GCM-SHA384 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE-ECDSA-AES256-SHA384 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-GCM-SHA384 Verfügbar TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA384 Verfügbar TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-SHA Verfügbar Verfügbar Verfügbar TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES256-GCM-SHA384 Verfügbar TLS_RSA_WITH_AES_256_GCM_SHA384
AES256-SHA256 Verfügbar TLS_RSA_WITH_AES_256_CBC_SHA256
AES256-SHA Verfügbar Verfügbar Verfügbar TLS_RSA_WITH_AES_256_CBC_SHA
DES-CBC3-SHA Verfügbar TLS_RSA_WITH_3DES_EDE_CBC_SHA
AEAD-AES128-GCM-SHA256 Verfügbar TLS_AES_128_GCM_SHA256
AEAD-AES256-GCM-SHA384 Verfügbar TLS_AES_256_GCM_SHA384
AEAD-CHACHA20-POLY1305-SHA256 Verfügbar TLS_CHACHA20_POLY1305_SHA256

Ursprungsverschlüsselungssuites

Die folgenden Chiffrierwerte werden bei der Herkunft unterstützt. Sie können die Chiffren, die für Ihre Domain verwendet werden, über das CIS CLI-Plugin auf die IBM Cloud CLI beschränken. Lesen Sie hierzu die Beschreibung der Option ciphers im Artikel zum Befehl domain settings.

Ursprungsverschlüsselungssuites
OpenSSL-Name TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 IANA-Name
AEAD-AES128-GCM-SHA256 [1] Verfügbar TLS_AES_128_GCM_SHA256
AEAD-AES256-GCM-SHA384 [2] Verfügbar TLS_AES_256_GCM_SHA384
AEAD-CHACHA20-POLY1305-SHA256 [3] Verfügbar TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256 Verfügbar TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-SHA Verfügbar Verfügbar Verfügbar TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
AES128-GCM-SHA256 Verfügbar TLS_RSA_WITH_AES_128_GCM_SHA256
AES128-SHA Verfügbar Verfügbar Verfügbar TLS_RSA_WITH_AES_128_CBC_SHA
ECDHE-ECDSA-AES256-GCM-SHA384 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA384 Verfügbar TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
AES256-SHA Verfügbar Verfügbar Verfügbar TLS_RSA_WITH_AES_256_CBC_SHA
DES-CBC3-SHA Verfügbar TLS_RSA_WITH_3DES_EDE_CBC_SHA

Cipher-Suites über die Befehlszeilenschnittstelle verwalten

Sie können Cipher Suites über die CLI verwalten.

Abrufen der Cipher Suites über die CLI

Um die Variable cipher aufzulisten, führen Sie den folgenden Befehl aus:

ibmcloud cis domain-settings DNS_DOMAIN_ID [-g, --group GROUP | -f, --feature FEATURE] [-i, --instance INSTANCE] [--output FORMAT]

Befehlsoptionen

DNS_DOMAIN_ID
Die ID der DNS-Domäne. Diese Option ist erforderlich.
-f, --feature
Gibt die zu prüfende Domäneneinstellungsfunktion an. Diese Option schließt sich gegenseitig aus mit -g, --group. Setzen Sie diese Option auf die folgende Variable:
  • ciphers: Definiert eine Liste zulässiger TLS-Chiffre-Suiten für die Edge-TLS-Terminierung unter Verwendung des BoringSSL-Chiffre-Formats. Dieser Befehl listet nur Chiffriersuiten auf, die Kunden ausdrücklich zugelassen haben. Wenn keine Cipher Suites in der Liste aufgeführt sind, gibt der Befehl eine leere Liste zurück und verwendet die Standard-Cipher Suites. Eine Liste der Standard-Cipher-Suites finden Sie unter Edge-Cipher-Suites.
Beispiel

Rufen Sie ciphers-Einstellungen für die Domäne 31984fea73a15b45779fa0df4ef62f9b ab.

ibmcloud cis domain-settings -f "ciphers" 31984fea73a15b45779fa0df4ef62f9b -i "cis-demo"

Weitere Informationen finden Sie unter ibmcloud cis domain-settings.

Aktualisieren der Cipher Suites über die CLI

Um die Variable cipher zu aktualisieren, führen Sie den folgenden Befehl aus:

ibmcloud cis domain-settings-update DNS_DOMAIN_ID (-f, --feature FEATURE) (-v, --value VALUE) [-i, --instance INSTANCE] [--output FORMAT]

Befehlsoptionen

DNS_DOMAIN_ID

Die ID der DNS-Domäne. Diese Option ist erforderlich.

-f, --feature

Merkmal der zu aktualisierenden Domäneneinstellungen. Diese Option ist erforderlich. Gültiger cipher Wert ist:

  • ciphers: Eine Liste der zulässigen Chiffren für die TLS-Terminierung. Diese Chiffren müssen im Format BoringSSL vorliegen.
-v, --value

Gibt den Wert an, der für das Merkmal in der Domäne festgelegt werden soll. Diese Option ist erforderlich.

  • Gültige Werte für tls_client_auth sind on und off.
  • Gültige Werte für Chiffren sind:
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-CHACHA20-POLY1305
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-RSA-CHACHA20-POLY1305
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-ECDSA-AES128-SHA
    • ECDHE-RSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA
    • AES128-GCM-SHA256
    • AES128-SHA256
    • AES128-SHA
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA
    • AES256-GCM-SHA384
    • AES256-SHA256
    • AES256-SHA
    • DES-CBC3-SHA
    • default

Verwenden Sie z. B. -v default, um bestimmte konfigurierte Cipher Suites wie -v AES256-SHA256,AES256-SHA auf den Standardwert zurückzusetzen.

Beispiel

Aktivieren Sie tls_client_auth für die Domäne 31984fea73a15b45779fa0df4ef62f9b.

ibmcloud cis domain-settings-update -f tls_client_auth -v on 31984fea73a15b45779fa0df4ef62f9b -i "cis-demo"

Weitere Informationen finden Sie unter ibmcloud cis domain-settings-update.

Um zur Standard-Cipher-Liste zurückzukehren, geben Sie -v default nach -f ciphers an.

Cipher Suites mit der API verwalten

Sie können Cipher Suites mit der API verwalten.

Abrufen von Chiffren mit der API

Führen Sie die folgenden Schritte aus, um Chiffrierwerte mit der API abzurufen:

  1. Richten Sie Ihre Umgebung mit den richtigen Variablen ein.
  2. Speichern Sie alle Variablen, die in den API-Befehlen verwendet werden sollen. Beispiel:
    • crn (Zeichenfolge): Der vollständige URL-codierte Cloud-Ressourcenname (CRN) der Ressourceninstanz.
    • zone_identifier (Zeichenfolge): Die Zonen-ID.
  3. Wenn alle Variablen initiiert sind, erhalten Sie die Chiffren:
curl -X GET https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'accept: application/json' -H 'x-auth-user-token: Bearer xxxxxx'

Aktualisieren von Chiffren mit der API

Führen Sie die folgenden Schritte aus, um Verschlüsselungen mit der API zu aktualisieren.

  1. Richten Sie Ihre Umgebung mit den richtigen Variablen ein.
  2. Speichern Sie alle Variablen, die in den API-Befehlen verwendet werden sollen. Beispiel:
    • crn (Zeichenfolge): Der vollständige URL-codierte Cloud-Ressourcenname (CRN) der Ressourceninstanz.
    • zone_identifier (Zeichenfolge): Die Zonen-ID.
    • value(Zeichenfolge): Die Cipher-Suites, die Sie einschließen wollen
  3. Wenn alle Variablen initiiert sind, erhalten Sie die Chiffren:
curl -X PATCH https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'x-auth-user-token: Bearer xxxxxx' -d '{"value": ["AES256-GCM-SHA384", "AES256-SHA256"]}'

  1. Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎

  2. Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎

  3. Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎