提问人:Erik 提问时间:10/3/2023 更新时间:10/3/2023 访问量:195
在 SSLCipherSuite 中,什么是 PROFILE=SYSTEM?
In SSLCipherSuite, what is PROFILE=SYSTEM?
问:
作为简单的查询:根据标题标题,SSLCipherSuite的“PROFILE=SYSTEM”指的是什么?它有什么作用?
我之前正在通读并试图理解一些继承的代码,特别是关于静态密钥密码的代码,我想知道这是否是问题的根源。
我是 Apache 的新手,正在阅读和研究有关它的各种文档。
一个这样的文档解释了如何配置 httpd,点 #4 是所讨论的混淆。
阅读官方文档(至少,我认为是)并没有真正解释太多,甚至暗示了这种配置的存在。
答:
2赞
Steffen Ullrich
10/3/2023
#1
指定 PROFILE=SYSTEM 的功能是 Redhat/Fedora 中的一项修改,允许对依赖 OpenSSL 的应用程序进行单个系统范围的密码配置。在官方Apache或OpenSSL文档中找不到它,因为它不是其代码的一部分,而是特定于供应商的修改。
请参阅 0007-Add-support-for-PROFILE-SYSTEM-system-default-cipher.patch 和 Fedoraproject: Changes/CryptoPolicy and Bug 1076390 - System-wide crypto policy,以及 RHEL8 Chapter 4 中有关如何配置系统范围加密策略的文档。使用系统范围的加密策略。
评论
0赞
Erik
10/3/2023
Tq 用于链接。阅读该网站,我不明白他们所说的“系统密码”是什么意思。它是否像默认设置;内置的?或者它是否指的是另一个列出所用密码的文件?还是别的什么?
0赞
Steffen Ullrich
10/3/2023
@Erik:这个想法是为所有相关的TLS设置(协议、密码)提供一个单一的系统范围的配置,其中包括所有应用程序、库和编程语言以及多个TLS堆栈(OpenSSL、GnuTLS、NSS等)。因此,如果出于安全原因需要更改,则可以在一个地方查看它,而不是找出分布在系统中的所有设置的位置。
0赞
Erik
10/5/2023
乌尔里希:我想我明白了。但我还是有点困惑。所以,在 中,我设置了 .这告诉我的代码引用系统范围的配置。所以,假设我需要改变它,因为试图处理一种叫做“SSL Lucky13 漏洞”的东西。我读过的文档中有一半说要改变这一点;“更改”意味着删除并用其他东西替换它?或者我是否修改/附加它所指的任何配置?httpd.confSSLCipherSuite PROFILE=SYSTEMSSLCipherSuitePROFILE-SYSTEM
0赞
Steffen Ullrich
10/5/2023
@Erik:使用 PROFILE=SYSTEM,您不会对每个应用程序进行更改,而是使用 进行一次系统范围的更改。有关详细信息,请参阅我引用的 RHEL 的大量文档。update-crypto-policies
0赞
Erik
10/5/2023
@Steffan 是否可以根据应用程序进行更改?假设我想在使用 PROFILE=SYSTEM 时定义的任何内容之上添加一些?或者也许不将 PROFILE=SYSTEM 仅用于那个应用程序,而是我自己的预定义列表,类似于您的参考提到创建一个新文件并链接到它;由于我的服务器可能托管多个应用程序,因此我只想更改一个应用程序,而不影响其余应用程序。SSLCipherSuite PROFILE=SYSTEM ECDHE-ECDSA-AES256-GCM-SHA384:
评论