apache指定CipherSuite

Question

出于某些安全原因，我需要在我的webapp中使用TLS1.2协议。我可以编辑httpd配置文件来选择ssl协议和sslCipherSuite，但是当我发现如果我将sslCipherSuite设置为HIGH:!aNULL:!MD5时，它会启用很少的CipherSuite集。

我可以为它指定一个sslCipherSuite，比方说"TLS_RSA_WITH_AES_128_CBC_SHA256“吗？

我的httpd版本是Apache/2.2.15

谢谢。

Answer 1

我需要为我的webapp使用TLS1.2协议。

如果要强制执行TLS1.2，则需要相应地设置协议版本，而不是密码套件。相关选项是SSLProtocol。为了只允许TLSv1.2使用和禁止以前的协议版本，请使用：

 SSLProtocol TLSv1.2

有关更多细节，请参见正式文件。

我可以为它指定一个sslCipherSuite，比方说"TLS_RSA_WITH_AES_128_CBC_SHA256“吗？

若要指定密码套件，请使用SSLCipherSuite选项。语法需要将密码包含在可以被OpenSSL理解的语法中，有关更多信息，请参见密码器。如果只允许使用此特定密码，请使用

SSLCipherSuite AES128-SHA256