要配置OpenSSL以使用特定的SSL/TLS協議版本,您需要編輯OpenSSL配置文件
找到OpenSSL配置文件。它通常位于/etc/ssl/openssl.cnf
(Linux)或%ProgramData%\Microsoft\Crypto\RSA\MachineKeys
(Windows)。如果您找不到配置文件,請查閱OpenSSL文檔以獲取有關如何創建一個的說明。
使用文本編輯器打開配置文件。例如,在Linux上,您可以使用nano
或vim
命令:
sudo nano /etc/ssl/openssl.cnf
在Windows上,您可以使用記事本或其他文本編輯器。
在配置文件中找到[system_default_sect]
部分。在此部分下,您可以設置SSL/TLS協議版本。例如,如果您只想允許TLSv1.2和TLSv1.3,可以添加以下行:
[system_default_sect]
MinProtocol = TLSv1.2
如果您想禁用較舊的協議版本(如SSLv3和TLSv1),則可以添加以下行:
[system_default_sect]
CipherString = DEFAULT@SECLEVEL=2
這將設置安全級別為2,從而禁用SSLv3和TLSv1。
保存并關閉配置文件。
重新啟動使用OpenSSL的服務以使更改生效。這取決于您的操作系統和服務。在Linux上,您可能需要重新啟動Apache、Nginx或其他Web服務器。在Windows上,您可能需要重新啟動IIS或其他使用OpenSSL的服務。
請注意,這些更改將影響所有使用OpenSSL的服務。如果您只想針對特定服務更改SSL/TLS協議版本,請查閱該服務的文檔以獲取有關如何配置SSL/TLS協議版本的說明。