技术支持

企业产品

Kaspersky Security Center 15 Linux

配置管理服务器

使用 TLS 的加密通信
Kaspersky Security Center
Нет результатов
Нет результатов
在线帮助
常见问题解答 下载 购买 续订 论坛 联系支持 恢复工具 产品视频

使用 TLS 的加密通信

2024年5月6日

ID 174316

另存为 PDF

要修复您组织企业网络中的漏洞,您可以使用 TLS 协议启用流量加密。您可以在管理服务器上启用 TLS 加密协议和支持的密码套件。Kaspersky Security Center Linux 支持 TLS 协议版本 1.0、1.1、1.2 和 1.3。您可以选择所需的加密协议和加密套件。

Kaspersky Security Center Linux 使用自签发证书。您也可以使用您自己的证书。Kaspersky 专家建议使用由受信任证书机构发布的证书。

要在管理服务器上配置允许的加密协议和加密套件:

  1. 运行命令行,然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。
  2. 使用 SrvUseStrictSslSettings 标志在管理服务器上配置允许的加密协议和加密套件。在根账户下的命令行处执行以下命令:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

    指定 SrvUseStrictSslSettings 标志的<value>参数:

    • 4 — 仅启用 TLS 1.2 和 TLS 1.3 协议。此外,还启用了具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密码套件(向后兼容 Kaspersky Security Center 11 需要这些密码套件)。这是默认值。

      TLS 1.2 协议支持的密码套件:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384(具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密码套件)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 协议支持的密码套件:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 — 仅启用 TLS 1.2 和 TLS 1.3 协议。对于 TLS 1.2 和 TLS 1.3 协议,下面列出的特定密码套件受支持。

      TLS 1.2 协议支持的密码套件:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 协议支持的密码套件:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    我们不建议使用 0、1、2 或 3 作为 SrvUseStrictSslSettings 标志的参数值。这些参数值对应于不安全的 TLS 协议版本(TLS 1.0 和 TLS 1.1)和不安全的密码套件,仅用于向后兼容早期 Kaspersky Security Center 版本。

  3. 重新启动以下 Kaspersky Security Center Linux 服务:
    • 管理服务器
    • Web 服务器
    • 激活代理

这样就启用了使用 TLS 协议的流量加密。

您可以使用 KLTR_TLS12_ENABLED 和 KLTR_TLS13_ENABLED 标志分别启用对 TLS 1.2 和 TLS 1.3 协议的支持。这些标志默认启用。

要启用或禁用对 TLS 1.2 和 TLS 1.3 协议的支持:

  1. 运行 klscflag 实用程序。

    运行命令行,然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。

  2. 在根账户下的命令行处执行以下命令之一:
    • 使用此命令启用或禁用对 TLS 1.2 协议的支持:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d

    • 使用此命令启用或禁用对 TLS 1.3 协议的支持:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d

    指定标志的<value>参数:

    • 1 —启用对 TLS 协议的支持。
    • 0 — 禁用对 TLS 协议的支持。

Kaspersky Endpoint Security for Linux: High protection without performance compromising
Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.