使用 TLS 的加密通信

要修复您组织企业网络中的漏洞,您可以使用 TLS 协议启用流量加密。您可以在管理服务器上启用 TLS 加密协议和支持的密码套件。Kaspersky Security Center Linux 支持 TLS 协议版本 1.0、1.1、1.2 和 1.3。您可以选择所需的加密协议和加密套件。

Kaspersky Security Center Linux 使用自签发证书。您也可以使用您自己的证书。Kaspersky 专家建议使用由受信任证书机构发布的证书。

要在管理服务器上配置允许的加密协议和加密套件:

  1. 运行命令行,然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。
  2. 使用 SrvUseStrictSslSettings 标志在管理服务器上配置允许的加密协议和加密套件。在根账户下的命令行处执行以下命令:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

    指定 SrvUseStrictSslSettings 标志的<value>参数:

    • 4 — 仅启用 TLS 1.2 和 TLS 1.3 协议。此外,还启用了具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的加密套件(向后兼容 Kaspersky Security Center Linux 先前版本需要这些加密套件)。这是默认值。

      TLS 1.2 协议支持的密码套件:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384(具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密码套件)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 协议支持的密码套件:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 — 仅启用 TLS 1.2 和 TLS 1.3 协议。对于 TLS 1.2 和 TLS 1.3 协议,下面列出的特定密码套件受支持。

      TLS 1.2 协议支持的密码套件:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 协议支持的密码套件:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    我们不建议使用 0、1、2 或 3 作为 SrvUseStrictSslSettings 标志的参数值。这些参数值对应于不安全的 TLS 协议版本(TLS 1.0 和 TLS 1.1)和不安全的密码套件,仅用于向后兼容早期 Kaspersky Security Center 版本。

  3. 重新启动以下 Kaspersky Security Center Linux 服务:
    • 管理服务器
    • Web 服务器
    • 激活代理

这样就启用了使用 TLS 协议的流量加密。

您可以使用 KLTR_TLS12_ENABLED 和 KLTR_TLS13_ENABLED 标志分别启用对 TLS 1.2 和 TLS 1.3 协议的支持。这些标志默认启用。

要启用或禁用对 TLS 1.2 和 TLS 1.3 协议的支持:

  1. 运行 klscflag 实用程序。

    运行命令行,然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。

  2. 在根账户下的命令行处执行以下命令之一:
    • 使用此命令启用或禁用对 TLS 1.2 协议的支持:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d

    • 使用此命令启用或禁用对 TLS 1.3 协议的支持:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d

    指定标志的<value>参数:

    • 1 —启用对 TLS 协议的支持。
    • 0 — 禁用对 TLS 协议的支持。
页顶