卡巴斯基安全管理中心

使用 TLS 的加密通信

2024年6月17日

ID 174316

要修復您組織企業網路中的弱點,您可以使用 TLS 協定啟用流量加密。您可以在管理伺服器上啟用 TLS 加密協定和受支援的密碼套裝。卡巴斯基安全管理中心 Linux 支援 TLS 協定版本 1.0、1.1、1.2 和 1.3。您可以選取所需的加密協定和加密套裝。

卡巴斯基安全管理中心 Linux 使用自簽發憑證。您也可以使用您自己的憑證。卡巴斯基專家建議使用由受信任憑證當局發佈的憑證。

要在管理伺服器上設定允許的加密協議和加密套裝:

  1. 執行命令行,然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。
  2. 使用 SrvUseStrictSslSettings 旗標在管理伺服器上設定允許的加密協議和加密套件。在根帳戶下的命令行中執行以下命令:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

    指定 SrvUseStrictSslSettings 旗標的<value>參數:

    • 4 — 僅啟用 TLS 1.2 和 TLS 1.3 協定。此外,還啟用了具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密碼套裝(需要這些密碼套裝才能向後相容卡巴斯基安全管理中心 11)。這是預設值。

      TLS 1.2 協定支援的密碼套裝:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384(具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密碼套裝)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 協定支援的密碼套裝:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 — 僅啟用 TLS 1.2 和 TLS 1.3 協定。對於 TLS 1.2 和 TLS 1.3 協定,下面列出的特定密碼套裝受支援。

      TLS 1.2 協定支援的密碼套裝:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 協定支援的密碼套裝:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    我們不建議使用 0、1、2 或 3 作為 SrvUseStrictSslSettings 標誌的參數值。這些參數值對應於不安全的 TLS 協定版本(TLS 1.0 和 TLS 1.1)和不安全的密碼套裝,僅用於向後相容早期的卡巴斯基安全管理中心版本。

  3. 重新啟動以下 卡巴斯基安全管理中心 Linux 服務:
    • 管理伺服器
    • 網頁伺服器
    • 啟動代理

這樣就啟用了使用 TLS 協定的流量加密。

您可以使用 KLTR_TLS12_ENABLED 和 KLTR_TLS13_ENABLED 標誌分別啟用對 TLS 1.2 和 TLS 1.3 協定的支援。這些標誌預設啟用。

要啟用或停用對 TLS 1.2 和 TLS 1.3 協定的支援:

  1. 執行 klscflag 公用程式。

    執行命令行,然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。

  2. 在根帳戶下的命令行中執行以下命令之一:
    • 使用此指令啟用或停用對 TLS 1.2 協定的支援:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d

    • 使用此指令啟用或停用對 TLS 1.3 協定的支援:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d

    指定標誌的<value>參數:

    • 1 — 啟用對 TLS 協定的支援。
    • 0 — 停用對 TLS 協定的支援。

此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。