![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
SSL 密码规范
建立 SSL 连接时,客户机(Web 浏览器)和 Web 服务器将协商要用于连接的密码。Web 服务器有一个有序密码列表,此列表中受客户机支持的第一个密码将处于选中状态。
简介
请查看最新 SSL 密码的列表。
注意: 此密码列表可能会因为行业标准更新而变化。通过配置特定版本的 IBM® HTTP Server 以装入
mod_ibm_ssl 并运行 bin/apachectl
-t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS,可确定该版本中支持的密码列表。
SSLFIPSEnable 伪指令启用联邦信息处理标准 (FIPS)。如果启用了 SSLFIPSEnable 伪指令,那么可用密码集会如下所示受到限制,并且 SSLv2 和 SSLv3 被禁用。

- 名称中包含“ECDHE”的密码仅在 8.5.0.2/8.0.0.6 和更高版本中可用。
- 名称中包含“ECDHE”的密码必须显式启用,并且应通过其“长名称”启用。
- 名称中包含“ECDHE_RSA”的密码使用标准 RSA 证书,并可与旧的 RSA 密码和客户机共存。
- 名称中包含“ECDHE_ECDSA”的密码要求创建 ECC(椭圆曲线加密)证书/密钥(如果您正在分布式平台上运行,那么使用 gskcapicmd 来创建;如果正在 z/OS® 上运行,那么使用 gskkyman 来创建)。
在 z/OS 上,必须满足若干条件才能使用“ECDHE”密码:
- 必须使用 SSLProtocolEnable 伪指令显式启用 TLSv1.2。
- 在 z/OS 上使用 TLSv1.2 时,需要带有 OA39422 的 z/OS V1.13 或更高版本。
- 要使用 ECC 或 AES-GCM 密码,ICSF 必须可用。有关更多信息,请参阅《z/OS 加密服务系统 SSL 编程》中的“RACF® CSFSERV 资源需求”。
SSL 和 TLS 密码
注意: 请注意以下 SSL 和 TLS 密码值:
- - = 对协议无效的密码
- d = 缺省情况下启用的密码
- y = 密码有效但在缺省情况下未启用
注意: 除非满足以下两个条件,否则 TLS V1.1 和 V1.2 在 z/OS 操作系统上不可用:
- 需要带有 OA39422 的 z/OS V1.13 或更高版本。
- 必须更新 IBM HTTP Server 配置以指定 SSLProtocolEnable TLSv1.1 TLSv1.2。

短名称 | 长名称 | 密钥大小(位数) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
35 | SSL_RSA_WITH_RC4_128_SHA | 128 | - | - | Y | Y | Y | Y |
34 | SSL_RSA_WITH_RC4_128_MD5 | 128 | - | - | Y | Y | Y | - |
9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d |
9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d |
3C | TLS_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d |
3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | 256 | Y | - | - | - | - | d |
2F | TLS_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | Y | d | d | d |
35b | TLS_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | Y | d | d | d |
3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | Y | d | d | d |
C007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C010 | TLS_ECDHE_RSA_WITH_NULL_SHA | 0 | Y | - | - | - | - | d* |
C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
注意: * 指示缺省情况下已禁用 SSLv3。
注: 在 z/OS 平台上除外,缺省情况下,已对 TLSv1.2 启用 ECDHE 密码(用 d* 来表示)。
弱密码,缺省情况下未启用:
短名称 | 长名称 | 密钥大小(位数) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
39 | SSL_RSA_WITH_DES_CBC_SHA | 56 | - | - | y | y | y | - |
33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | 40 | - | - | y | y | - | - |
36 | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | 40 | - | - | y | y | - | - |
62 | TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | 56 | - | - | y | y | - | - |
64 | TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | 56 | - | - | y | y | - | - |
32 | SSL_RSA_WITH_NULL_SHA | 0 | - | - | y | y | y | y |
31 | SSL_RSA_WITH_NULL_MD5 | 0 | - | - | y | y | y | - |
3B | TLS_RSA_WITH_NULL_SHA256 | 0 | Y | - | - | - | - | y |
30 | SSL_NULL_WITH_NULL_NULL | 0 | - | - | y | y | y | y |
27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | 168 | - | y | - | - | - | - |
21 | SSL_RC4_128_WITH_MD5 | 128 | - | y | - | - | - | - |
23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | 128 | - | y | - | - | - | - |
26 | SSL_DES_64_CBC_WITH_MD5 | 56 | - | y | - | - | - | - |
24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
22 | SSL_RC4_128_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
FE | SSL_RSA_FIPS_WITH_DES_CBC_SHA | 56 | - | - | - | - | - | - |
FF | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | 168 | - | - | - | - | - | - |