配置密码套件
演示如何配置密码套件。
| Redis 企业软件 |
|---|
密码是帮助保护客户端和服务器之间连接的算法。您可以更改密码以提高 Redis Enterprise 集群和数据库的安全性。默认设置符合行业最佳实践,但您可以自定义它们以匹配组织的安全策略。
TLS 1.2 密码套件
| 名字 | 配置 | 描述 |
|---|---|---|
| control_cipher_suites | ✅ 是的 | 用于集群管理的 TLS 1.2 通信的密码列表(控制平面) |
| data_cipher_list | ✅ 是的 | 应用程序和数据库之间 TLS 1.2 通信的密码列表(数据层面) |
| sentinel_cipher_suites | ✅ 是的 | 用于发现服务 (Sentinel) TLS 1.2 通信的密码列表 |
TLS 1.3 密码套件
| 名字 | 配置 | 描述 |
|---|---|---|
| control_cipher_suites_tls_1_3 | ❌ 不 | 用于集群管理的 TLS 1.3 通信的密码列表(控制平面) |
| data_cipher_suites_tls_1_3 | ✅ 是的 | 应用程序和数据库之间 TLS 1.3 通信的密码列表(数据层面) |
| sentinel_cipher_suites_tls_1_3 | ❌ 不 | 用于发现服务 (Sentinel) TLS 1.3 通信的密码列表 |
配置密码套件
您可以使用集群管理器 UI 配置密码,rladmin或 REST API 的 API 进行验证。
修改密码套件时,请确保:
- 配置的 TLS 版本与所需的密码套件匹配。
- 正在使用的证书已正确签名,以支持所需的密码套件。
-
Redis Enterprise Software 不支持静态Diffie-Hellman (
DH) 密钥交换密码。 -
它确实支持短暂的 Diffie-Hellman (
DHE或ECDHE) 密钥交换密码。
在 UI 中编辑密码套件
要使用 Cluster Manager UI 配置密码套件:
-
转到 Cluster > Security(集群安全性),然后选择 TLS 选项卡。
-
在 Cipher suites lists (密码套件列表) 部分中,单击 Configure (配置):
-
在文本框中编辑 TLS 密码套件:
-
单击 Save (保存)。
控制平面密码套件
从 Redis Enterprise Software 版本 6.0.12 开始,控制平面密码套件可以使用 BoringSSL 库格式与集群管理器 UI 建立 TLS 连接。有关可用 BoringSSL 配置的完整列表,请参阅 BoringSSL 文档。
配置 TLS 1.2 控制平面密码套件
要配置 TLS 1.2 密码套件以进行集群通信,请使用以下内容rladmin命令语法:
rladmin cluster config control_cipher_suites <BoringSSL cipher list>
See the example below to configure cipher suites for the control plane:
rladmin cluster config control_cipher_suites ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
Note:
- The deprecated 3DES and RC4 cipher suites are no longer supported.
Data plane cipher suites
Data plane cipher suites use the OpenSSL library format in Redis Enterprise Software version 6.0.20 or later. For a list of available OpenSSL configurations, see Ciphers (OpenSSL).
Configure TLS 1.2 data plane cipher suites
To configure TLS 1.2 cipher suites for communications between applications and databases, use the following rladmin command syntax:
rladmin cluster config data_cipher_list <OpenSSL cipher list>
See the example below to configure cipher suites for the data plane:
rladmin cluster config data_cipher_list AES128-SHA:AES256-SHA
Note:
- The deprecated 3DES and RC4 cipher suites are no longer supported.
Configure TLS 1.3 data plane cipher suites
To configure TLS 1.3 cipher suites for communications between applications and databases, use the following rladmin command syntax:
rladmin cluster config data_cipher_suites_tls_1_3 <OpenSSL cipher list>
The following example configures TLS 1.3 cipher suites for the data plane:
rladmin cluster config data_cipher_suites_tls_1_3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
Discovery service cipher suites
Sentinel service cipher suites use the golang.org OpenSSL format for discovery service TLS connections in Redis Enterprise Software version 6.0.20 or later. See their documentation for a list of available configurations.
Configure TLS 1.2 discovery service cipher suites
To configure TLS 1.2 cipher suites for the discovery service cipher suites, use the following rladmin command syntax:
rladmin cluster config sentinel_cipher_suites <golang cipher list>
See the example below to configure cipher suites for the sentinel service:
rladmin cluster config sentinel_cipher_suites TLS_RSA_WITH_AES_128_CBC_SHA:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
On this page