使用 CLI 来配置安全级别选项

有时,您可能需要配置或更改系统的安全套接字层 (SSL) 或传输层安全性 (TLS) 安全级别设置以解决错误或者进一步限制可以使用的协议范围。

要配置或更改系统上的安全级别,请使用 chsecuritylssecurity 命令。

-sslprotocol 参数的 chsecuritylssecurity 命令级别设置(1、2 或 3)按以下列表所示定义:
  • 1 表示不允许使用 SSL 3.0。(此设置是系统缺省值。)
  • 2 表示只允许使用 TLS 1.2。
  • 3 表示还不允许使用 TLS 1.2 密码套件,这些套件不是专属于 1.2。
要显示当前系统 SSL 或 TLS 安全设置,请输入以下命令:
lssecurity
结果显示当前设置,例如 sslprotocol:1
要更改您的 SSL 或 TLS 安全设置,请输入以下命令:
chsecurity -sslprotocol security_level
其中 security_level 是 1、2 或 3。

chsecurity -sslprotocol security_level 命令可用于设置安全接口所允许的密码和协议,以便可以减少受攻击的漏洞。但是,更改此安全级别,可能中断与外部系统(例如,Web 浏览器)以及通过 CIM 连接的任何对象(例如,VMWare 配置实用程序或 Spectrum Control 软件)的连接。

要解决系统的安全协议问题,请遵循以下准则。
  • 使用 -sslprotocol 参数来通过更改 SSL 接口版本,查找外部系统的问题。由于当前无法修订的不兼容协议而导致连接失败时,也可以使用此参数将安全级别改回来。
  • 如果安全级别设置为高于最低缺省级别且 Web 浏览器未设置为使用同一级别,那么可能失去对 管理 GUI 的远程访问权。如果您无法增加 Web 浏览器的安全级别,请使用 chsecurity -sslprotocol CLI 来降低安全级别。
  • 如果安全级别设置为高于最低缺省级别并且 LDAP 服务器未设置为使用同一级别,那么可能无法使用 LDAP 服务器管理用户权限。如果您无法增加 LDAP 服务器的安全级别,您可能需要使用 chsecurity -sslprotocol CLI 来降低安全级别。
  • 通过 CIM 连接的外部管理系统(例如,某些 VMWare 供应实用程序和 Tivoli Storage Manager)在某些情况下可能无法连接到系统。 例如,如果安全级别设置为高于最低缺省级别并且外部系统未设置为使用相同的协议级别,那么可能会发生此类故障。 如果您无法增加外部系统的安全级别,您可能需要使用 chsecurity -sslprotocol CLI 来降低安全级别。