Cipher-Suites einrichten
Cipher Suites sind eine Kombination aus Algorithmen und Protokollen, mit denen Netzverbindungen während des TLS-Handshakes geschützt werden können. IBM Cloud® Internet Services sichert Netzverbindungen mithilfe von Edge-und Ursprungs-Cipher-Suites.
Kantenverschlüsselungssuites
Die folgenden Chiffrierwerte werden am Rand der cloud (Cloud Edge) unterstützt. Sie können die Chiffren, die für Ihre Domain verwendet werden, über das CIS CLI-Plugin auf die IBM Cloud CLI beschränken. Lesen Sie hierzu die Beschreibung der Option
ciphers
im Artikel zum Befehl domain settings.
OpenSSL-Name | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | IANA-Name |
---|---|---|---|---|---|
ECDHE-ECDSA-AES128-GCM-SHA256 | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ||||
ECDHE-ECDSA-CHACHA20-POLY1305 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ||||
ECDHE-RSA-AES128-GCM-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ||||
ECDHE-RSA-CHACHA20-POLY1305 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ||||
ECDHE-ECDSA-AES128-SHA256 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ||||
ECDHE-ECDSA-AES128-SHA | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ||||
ECDHE-RSA-AES128-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ||||
ECDHE-RSA-AES128-SHA | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ||||
AES128-GCM-SHA256 | TLS_RSA_WITH_AES_128_GCM_SHA256 | ||||
AES128-SHA256 | TLS_RSA_WITH_AES_128_CBC_SHA256 | ||||
AES128-SHA | TLS_RSA_WITH_AES_128_CBC_SHA | ||||
ECDHE-ECDSA-AES256-GCM-SHA384 | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ||||
ECDHE-ECDSA-AES256-SHA384 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ||||
ECDHE-RSA-AES256-GCM-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ||||
ECDHE-RSA-AES256-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ||||
ECDHE-RSA-AES256-SHA | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ||||
AES256-GCM-SHA384 | TLS_RSA_WITH_AES_256_GCM_SHA384 | ||||
AES256-SHA256 | TLS_RSA_WITH_AES_256_CBC_SHA256 | ||||
AES256-SHA | TLS_RSA_WITH_AES_256_CBC_SHA | ||||
DES-CBC3-SHA | TLS_RSA_WITH_3DES_EDE_CBC_SHA | ||||
AEAD-AES128-GCM-SHA256 | TLS_AES_128_GCM_SHA256 | ||||
AEAD-AES256-GCM-SHA384 | TLS_AES_256_GCM_SHA384 | ||||
AEAD-CHACHA20-POLY1305-SHA256 | TLS_CHACHA20_POLY1305_SHA256 |
Ursprungsverschlüsselungssuites
Die folgenden Chiffrierwerte werden bei der Herkunft unterstützt. Sie können die Chiffren, die für Ihre Domain verwendet werden, über das CIS CLI-Plugin auf die IBM Cloud CLI beschränken. Lesen Sie hierzu die Beschreibung der Option ciphers
im Artikel zum Befehl domain settings.
OpenSSL-Name | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | IANA-Name |
---|---|---|---|---|---|
AEAD-AES128-GCM-SHA256 [1] | TLS_AES_128_GCM_SHA256 | ||||
AEAD-AES256-GCM-SHA384 [2] | TLS_AES_256_GCM_SHA384 | ||||
AEAD-CHACHA20-POLY1305-SHA256 [3] | TLS_CHACHA20_POLY1305_SHA256 | ||||
ECDHE-ECDSA-AES128-GCM-SHA256 | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ||||
ECDHE-RSA-AES128-GCM-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ||||
ECDHE-RSA-AES128-SHA | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ||||
AES128-GCM-SHA256 | TLS_RSA_WITH_AES_128_GCM_SHA256 | ||||
AES128-SHA | TLS_RSA_WITH_AES_128_CBC_SHA | ||||
ECDHE-ECDSA-AES256-GCM-SHA384 | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ||||
ECDHE-RSA-AES256-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ||||
AES256-SHA | TLS_RSA_WITH_AES_256_CBC_SHA | ||||
DES-CBC3-SHA | TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Cipher-Suites über die Befehlszeilenschnittstelle verwalten
Sie können Cipher Suites über die Befehlszeilenschnittstelle verwalten.
Mit Edge-Cipher-Suites über die Befehlszeilenschnittstelle arbeiten
-
Legen Sie in der
ibmcloud cis domain-settings
-CLI die folgende Variable fest:ciphers
: Eine zulässige Liste von Chiffren für die TLS-Terminierung im FormatBoringSSL
. Dieser Befehl listet nur Chiffrierwerte auf, die von Kunden zugelassen werden. Wenn keine Chiffren angegeben sind, ist die Liste leer und es werden die Standardchiffren verwendet. Eine Liste der Standardverschlüsselungen finden Sie unter Edge-Cipher-Suites. -
Legen Sie in der
ibmcloud cis domain-settings-update
-CLI die folgende Variable fest:ciphers
: Eine Zulassungsliste mit Chiffrierwerten für die TLS-Terminierung Diese Chiffren müssen im FormatBoringSSL
vorliegen.
Cipher Suites mit der API verwalten
Sie können Cipher Suites mit der API verwalten.
Abrufen von Chiffren mit der API
Führen Sie die folgenden Schritte aus, um Chiffrierwerte mit der API abzurufen:
- Richten Sie Ihre Umgebung mit den richtigen Variablen ein.
- Speichern Sie alle Variablen, die in den API-Befehlen verwendet werden sollen. Beispiel:
crn
(Zeichenfolge): Der vollständige URL-codierte Cloud-Ressourcenname (CRN) der Ressourceninstanz.zone_identifier
(Zeichenfolge): Die Zonen-ID.
- Wenn alle Variablen initiiert sind, erhalten Sie die Chiffren:
curl -X GET https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'accept: application/json' -H 'x-auth-user-token: Bearer xxxxxx'
Aktualisieren von Chiffren mit der API
Führen Sie die folgenden Schritte aus, um Verschlüsselungen mit der API zu aktualisieren.
- Richten Sie Ihre Umgebung mit den richtigen Variablen ein.
- Speichern Sie alle Variablen, die in den API-Befehlen verwendet werden sollen. Beispiel:
crn
(Zeichenfolge): Der vollständige URL-codierte Cloud-Ressourcenname (CRN) der Ressourceninstanz.zone_identifier
(Zeichenfolge): Die Zonen-ID.value
(Zeichenfolge): Die Cipher-Suites, die Sie einschließen wollen
- Wenn alle Variablen initiiert sind, erhalten Sie die Chiffren:
curl -X PATCH https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'x-auth-user-token: Bearer xxxxxx' -d '{"value": ["AES256-GCM-SHA384", "AES256-SHA256"]}'
-
Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎
-
Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎
-
Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎