![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
SSL 密碼規格
建立 SSL 連線之後,用戶端(Web 瀏覽器)和 Web 伺服器就會協議要用於連線的密碼。Web 伺服器有密碼的排序清單,並且會選取清單中受用戶端支援的第一個密碼。
簡介
檢視 SSL 密碼的現行清單。
小心: 密碼清單可能會因為更新為業界標準而有所變更。如果要判定 IBM® HTTP Server 特定版本中支援的密碼清單,您可以將其配置來載入 mod_ibm_ssl,並執行 bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS。
SSLFIPSEnable 指引可啟用「美國聯邦資訊處理標準 (FIPS)」。當 SSLFIPSEnable 指引啟用時,會限制可用的密碼組(如下所示),並且會停用 SSLv2 和 SSLv3。

- 名稱中包含 "ECDHE" 的密碼僅適用於 8.5.0.2/8.0.0.6 和更新版本。
- 名稱中包含 "ECDHE" 的密碼必須明確地啟用,並應透過其完整名稱來啟用。
- 名稱中包含 "ECDHE_RSA" 的密碼使用標準 RSA 憑證,並且可與較舊的 RSA 密碼和用戶端同時存在。
- 名稱中包含 "ECDHE_ECDSA" 的密碼需要建立 ECC(橢圓曲線加密法)憑證/金鑰(如果您是在分散式平台上執行,則使用 gskcapicmd,如果您是在 z/OS® 上執行,則使用 gskkyman)。
在 z/OS 上,必須符合數項準則,才能使用 "ECDHE" 密碼:
- 必須使用 SSLProtocolEnable 指引,以明確啟用 TLSv1.2。
- 需要 z/OS V1R13(含 OA39422)或更新版本,才能在 z/OS 上使用 TLSv1.2。
- 必須有 ICSF 可用,才能使用 ECC 或 AES-GCM 密碼。如需相關資訊,請參閱 z/OS 加密服務系統 SSL 程式設計中的「RACF® CSFSERV 資源需求」。
SSL 和 TLS 密碼
小心: 請注意下列 SSL 和 TLS 密碼值:
- - = 對通訊協定無效的密碼
- d = 預設會啟用密碼
- y = 密碼有效,但預設不啟用
小心: 除非符合下列兩個條件,否則無法在 z/OS 作業系統上使用 TLS 1.1 和 1.2 版:
- 需要 z/OS V1R13(含 OA39422)或更新版本。
- 您必須更新 IBM HTTP Server 配置來指定 SSLProtocolEnable TLSv1.1 TLSv1.2。

簡稱 | 完整名稱 | 金鑰大小(位元) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
35 | SSL_RSA_WITH_RC4_128_SHA | 128 | - | - | Y | Y | Y | Y |
34 | SSL_RSA_WITH_RC4_128_MD5 | 128 | - | - | Y | Y | Y | - |
9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d |
9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d |
3C | TLS_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d |
3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | 256 | Y | - | - | - | - | d |
2F | TLS_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | Y | d | d | d |
35b | TLS_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | Y | d | d | d |
3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | Y | d | d | d |
C007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C010 | TLS_ECDHE_RSA_WITH_NULL_SHA | 0 | Y | - | - | - | - | d* |
C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
小心: * 指出依預設停用 SSLv3。
註: 依預設會為 TLSv1.2 啟用 ECDHE 密碼,但在 z/OS 平台上除外(以 d* 表示)。
較低強度的密碼,預設不啟用:
簡稱 | 完整名稱 | 金鑰大小(位元) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
39 | SSL_RSA_WITH_DES_CBC_SHA | 56 | - | - | y | y | y | - |
33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | 40 | - | - | y | y | - | - |
36 | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | 40 | - | - | y | y | - | - |
62 | TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | 56 | - | - | y | y | - | - |
64 | TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | 56 | - | - | y | y | - | - |
32 | SSL_RSA_WITH_NULL_SHA | 0 | - | - | y | y | y | y |
31 | SSL_RSA_WITH_NULL_MD5 | 0 | - | - | y | y | y | - |
3B | TLS_RSA_WITH_NULL_SHA256 | 0 | Y | - | - | - | - | y |
30 | SSL_NULL_WITH_NULL_NULL | 0 | - | - | y | y | y | y |
27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | 168 | - | y | - | - | - | - |
21 | SSL_RC4_128_WITH_MD5 | 128 | - | y | - | - | - | - |
23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | 128 | - | y | - | - | - | - |
26 | SSL_DES_64_CBC_WITH_MD5 | 56 | - | y | - | - | - | - |
24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
22 | SSL_RC4_128_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
FE | SSL_RSA_FIPS_WITH_DES_CBC_SHA | 56 | - | - | - | - | - | - |
FF | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | 168 | - | - | - | - | - | - |