IBM Cloud Docs
Cipher-Suites einrichten

Cipher-Suites einrichten

Cipher Suites sind eine Kombination aus Algorithmen und Protokollen, mit denen Netzverbindungen während des TLS-Handshakes geschützt werden können. IBM Cloud® Internet Services sichert Netzverbindungen mithilfe von Edge-und Ursprungs-Cipher-Suites.

Kantenverschlüsselungssuites

Die folgenden Chiffrierwerte werden am Rand der cloud (Cloud Edge) unterstützt. Sie können die Chiffren, die für Ihre Domain verwendet werden, über das CIS CLI-Plugin auf die IBM Cloud CLI beschränken. Lesen Sie hierzu die Beschreibung der Option ciphers im Artikel zum Befehl domain settings.

Kantenverschlüsselungssuites
OpenSSL-Name TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 IANA-Name
ECDHE-ECDSA-AES128-GCM-SHA256 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305 Verfügbar TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-RSA-AES128-GCM-SHA256 Verfügbar TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-CHACHA20-POLY1305 Verfügbar TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-SHA256 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ECDHE-ECDSA-AES128-SHA Verfügbar Verfügbar Verfügbar TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES128-SHA256 Verfügbar TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES128-SHA Verfügbar Verfügbar Verfügbar TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
AES128-GCM-SHA256 Verfügbar TLS_RSA_WITH_AES_128_GCM_SHA256
AES128-SHA256 Verfügbar TLS_RSA_WITH_AES_128_CBC_SHA256
AES128-SHA Verfügbar Verfügbar Verfügbar TLS_RSA_WITH_AES_128_CBC_SHA
ECDHE-ECDSA-AES256-GCM-SHA384 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE-ECDSA-AES256-SHA384 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-GCM-SHA384 Verfügbar TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA384 Verfügbar TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-SHA Verfügbar Verfügbar Verfügbar TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES256-GCM-SHA384 Verfügbar TLS_RSA_WITH_AES_256_GCM_SHA384
AES256-SHA256 Verfügbar TLS_RSA_WITH_AES_256_CBC_SHA256
AES256-SHA Verfügbar Verfügbar Verfügbar TLS_RSA_WITH_AES_256_CBC_SHA
DES-CBC3-SHA Verfügbar TLS_RSA_WITH_3DES_EDE_CBC_SHA
AEAD-AES128-GCM-SHA256 Verfügbar TLS_AES_128_GCM_SHA256
AEAD-AES256-GCM-SHA384 Verfügbar TLS_AES_256_GCM_SHA384
AEAD-CHACHA20-POLY1305-SHA256 Verfügbar TLS_CHACHA20_POLY1305_SHA256

Ursprungsverschlüsselungssuites

Die folgenden Chiffrierwerte werden bei der Herkunft unterstützt. Sie können die Chiffren, die für Ihre Domain verwendet werden, über das CIS CLI-Plugin auf die IBM Cloud CLI beschränken. Lesen Sie hierzu die Beschreibung der Option ciphers im Artikel zum Befehl domain settings.

Ursprungsverschlüsselungssuites
OpenSSL-Name TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 IANA-Name
AEAD-AES128-GCM-SHA256 [1] Verfügbar TLS_AES_128_GCM_SHA256
AEAD-AES256-GCM-SHA384 [2] Verfügbar TLS_AES_256_GCM_SHA384
AEAD-CHACHA20-POLY1305-SHA256 [3] Verfügbar TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256 Verfügbar TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-SHA Verfügbar Verfügbar Verfügbar TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
AES128-GCM-SHA256 Verfügbar TLS_RSA_WITH_AES_128_GCM_SHA256
AES128-SHA Verfügbar Verfügbar Verfügbar TLS_RSA_WITH_AES_128_CBC_SHA
ECDHE-ECDSA-AES256-GCM-SHA384 Verfügbar TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA384 Verfügbar TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
AES256-SHA Verfügbar Verfügbar Verfügbar TLS_RSA_WITH_AES_256_CBC_SHA
DES-CBC3-SHA Verfügbar TLS_RSA_WITH_3DES_EDE_CBC_SHA

Cipher-Suites über die Befehlszeilenschnittstelle verwalten

Sie können Cipher Suites über die Befehlszeilenschnittstelle verwalten.

Mit Edge-Cipher-Suites über die Befehlszeilenschnittstelle arbeiten

  • Legen Sie in der ibmcloud cis domain-settings-CLI die folgende Variable fest:

    ciphers: Eine zulässige Liste von Chiffren für die TLS-Terminierung im Format BoringSSL. Dieser Befehl listet nur Chiffrierwerte auf, die von Kunden zugelassen werden. Wenn keine Chiffren angegeben sind, ist die Liste leer und es werden die Standardchiffren verwendet. Eine Liste der Standardverschlüsselungen finden Sie unter Edge-Cipher-Suites.

  • Legen Sie in der ibmcloud cis domain-settings-update-CLI die folgende Variable fest:

    ciphers: Eine Zulassungsliste mit Chiffrierwerten für die TLS-Terminierung Diese Chiffren müssen im Format BoringSSL vorliegen.

Cipher Suites mit der API verwalten

Sie können Cipher Suites mit der API verwalten.

Abrufen von Chiffren mit der API

Führen Sie die folgenden Schritte aus, um Chiffrierwerte mit der API abzurufen:

  1. Richten Sie Ihre Umgebung mit den richtigen Variablen ein.
  2. Speichern Sie alle Variablen, die in den API-Befehlen verwendet werden sollen. Beispiel:
    • crn (Zeichenfolge): Der vollständige URL-codierte Cloud-Ressourcenname (CRN) der Ressourceninstanz.
    • zone_identifier (Zeichenfolge): Die Zonen-ID.
  3. Wenn alle Variablen initiiert sind, erhalten Sie die Chiffren:
curl -X GET https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'accept: application/json' -H 'x-auth-user-token: Bearer xxxxxx'

Aktualisieren von Chiffren mit der API

Führen Sie die folgenden Schritte aus, um Verschlüsselungen mit der API zu aktualisieren.

  1. Richten Sie Ihre Umgebung mit den richtigen Variablen ein.
  2. Speichern Sie alle Variablen, die in den API-Befehlen verwendet werden sollen. Beispiel:
    • crn (Zeichenfolge): Der vollständige URL-codierte Cloud-Ressourcenname (CRN) der Ressourceninstanz.
    • zone_identifier (Zeichenfolge): Die Zonen-ID.
    • value(Zeichenfolge): Die Cipher-Suites, die Sie einschließen wollen
  3. Wenn alle Variablen initiiert sind, erhalten Sie die Chiffren:
curl -X PATCH https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'x-auth-user-token: Bearer xxxxxx' -d '{"value": ["AES256-GCM-SHA384", "AES256-SHA256"]}'


  1. Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎

  2. Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎

  3. Obwohl TLS 1.3 den gleichen Chiffriersuitenraum wie frühere TLS-Versionen verwendet, sind die Chiffriersuiten von TLS 1.3 anders definiert und spezifizieren nur die symmetrischen Chiffrierungen und können nicht für TLS 1.2 verwendet werden. Ebenso können TLS 1.2 und niedrigere Cipher Suites nicht mit TLS 1.3 (IETF TLS 1.3 draft 21) verwendet werden. BoringSSL kodiert auch die Verschlüsselungspräferenzen in dieser Reihenfolge für TLS 1.3 fest. ↩︎