支援

企業解決方案支援

Kaspersky Security Center 15 Linux

設定管理伺服器

使用 TLS 的加密通信
卡巴斯基安全管理中心
Нет результатов
Нет результатов
線上說明
常見問題 下載 購買 續訂 論壇 聯絡支援 修復工具 產品影片

使用 TLS 的加密通信

2024年5月6日

ID 174316

另存為 PDF

要修復您組織企業網路中的弱點,您可以使用 TLS 協定啟用流量加密。您可以在管理伺服器上啟用 TLS 加密協定和受支援的密碼套裝。Kaspersky Security Center Linux 支援 TLS 協定版本 1.0、1.1、1.2 和 1.3。您可以選取所需的加密協定和加密套裝。

Kaspersky Security Center Linux 使用自簽發憑證。您也可以使用您自己的憑證。卡巴斯基專家建議使用由受信任憑證當局發佈的憑證。

要在管理伺服器上設定允許的加密協議和加密套裝:

  1. 執行命令行,然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。
  2. 使用 SrvUseStrictSslSettings 旗標在管理伺服器上設定允許的加密協議和加密套件。在根帳戶下的命令行中執行以下命令:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

    指定 SrvUseStrictSslSettings 旗標的<value>參數:

    • 4 — 僅啟用 TLS 1.2 和 TLS 1.3 協定。此外,還啟用了具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密碼套裝(需要這些密碼套裝才能向後相容卡巴斯基安全管理中心 11)。這是預設值。

      TLS 1.2 協定支援的密碼套裝:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384(具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密碼套裝)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 協定支援的密碼套裝:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 — 僅啟用 TLS 1.2 和 TLS 1.3 協定。對於 TLS 1.2 和 TLS 1.3 協定,下面列出的特定密碼套裝受支援。

      TLS 1.2 協定支援的密碼套裝:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 協定支援的密碼套裝:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    我們不建議使用 0、1、2 或 3 作為 SrvUseStrictSslSettings 標誌的參數值。這些參數值對應於不安全的 TLS 協定版本(TLS 1.0 和 TLS 1.1)和不安全的密碼套裝,僅用於向後相容早期的卡巴斯基安全管理中心版本。

  3. 重新啟動以下 Kaspersky Security Center Linux 服務:
    • 管理伺服器
    • 網頁伺服器
    • 啟動代理

這樣就啟用了使用 TLS 協定的流量加密。

您可以使用 KLTR_TLS12_ENABLED 和 KLTR_TLS13_ENABLED 標誌分別啟用對 TLS 1.2 和 TLS 1.3 協定的支援。這些標誌預設啟用。

要啟用或停用對 TLS 1.2 和 TLS 1.3 協定的支援:

  1. 執行 klscflag 公用程式。

    執行命令行,然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。

  2. 在根帳戶下的命令行中執行以下命令之一:
    • 使用此指令啟用或停用對 TLS 1.2 協定的支援:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d

    • 使用此指令啟用或停用對 TLS 1.3 協定的支援:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d

    指定標誌的<value>參數:

    • 1 — 啟用對 TLS 協定的支援。
    • 0 — 停用對 TLS 協定的支援。

Kaspersky Endpoint Security for Linux: High protection without performance compromising
Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。