CLI¶
Настройка¶
- vlb sni-profile NAME¶
Создать SNI-профиль и войти в режим его настройки.
После создания можно настроить следующие параметры:
- [no] servername NAME certificate NAME¶
Добавить запись Server Name Indication. Связывает доменное имя с указанным сертификатом для TLS-соединений. Можно добавить несколько записей для разных доменов.
- ca-chain NAME¶
Доверенная цепочка CA для верификации сертификата сервера.
- cert-chain NAME¶
Дополнительная цепочка сертификатов, отправляемая вместе с SSL-сертификатом из записи servername. Используется для корректного представления цепочки, а не для проверки доверия.
- cipher SUITE_LIST¶
Разрешённые шифры (TLS 1.2). Список доступных шифров аналогичен SSL-профилю.
- cipher expression STRING¶
Разрешённые шифры через STRING. Например:
trafficsoft(vlb-sni-profile)# cipher expression ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
- ciphersuites {tls_aes_256_gcm_sha384|tls_chacha20_poly1305_sha256|tls_aes_128_gcm_sha256}¶
Разрешённые наборы шифров (TLS 1.3).
- ciphersuites expression STRING¶
Разрешённые наборы шифров через STRING.
- max-protocol {tls1_2|tls1_3}¶
Максимальная версия криптографического протокола.
- min-protocol {tls1_2|tls1_3}¶
Минимальная версия криптографического протокола.
Привязка к SSL-профилю¶
SNI-профиль привязывается к SSL-профилю с помощью команды внутри секции vlb ssl-profile:
vlb ssl-profile my-ssl
sni-profile my-sni-profile
exit
Пример¶
! Создать SNI-профиль с двумя доменами
vlb sni-profile my-sni
servername example.com certificate cert-example
servername api.example.com certificate cert-api
min-protocol tls1_2
max-protocol tls1_3
exit
! Привязать SNI-профиль к SSL-профилю
vlb ssl-profile my-ssl
certificate default-cert
sni-profile my-sni
exit