设置更强大的加密算法

利用 Server Manager "Preferences" 选项卡上的 "Set Cipher Size" 选项可以选择使用 168 位、128 位或 56 位大小的密钥进行访问，或者无大小限制。您可以指定不符合限制条件时使用的文件。如果未指定文件，Proxy Server 将返回 "Forbidden" 状态。

如果选择的用于访问的密钥大小与 "Security Preference" 下的当前加密算法设置不一致，Proxy Server 将显示一条警告，指出您需要启用带有更大密钥大小的加密算法。

密钥大小限制的实现基于 obj.conf 中的 NSAPI PathCheck 指令，而不是 Service fn=key-toosmall。该指令为：

PathCheck fn="ssl-check" [secret-keysize=nbits ] [bong-file=filename ]

其中，nbits 是密钥中所需的最小位数，filename 是不符合限制条件时使用的文件的名称。

如果未启用 SSL 或未指定 secret-keysize 参数，PathCheck 将返回 REQ_NOACTION。如果当前会话的密钥大小小于所指定的 secret-keysize，则在未指定 bong-file 的情况下，该函数将返回 REQ_ABORTED（状态为 PROTOCOL_FORBIDDEN）。如果指定了 bong-file，该函数将返回 REQ_PROCEED，并将路径变量设置为 bong-file filename。而且，如果不符合密钥大小限制条件，当前会话的 SSL 会话高速缓存条目将失效，因此下次当同一台客户机连接到服务器时，将发生完整的 SSL 握手。

添加了 PathCheck fn=ssl-check 后，"Set Cipher Size" 表单将会删除对象中发现的所有 Service fn=key-toosmall 指令。

设置更强大的加密算法

1. 访问服务器实例的 Server Manager 并单击 "Preferences" 选项卡。

2. 单击 "Set Cipher Size" 链接。

3. 从下拉式列表中选择要对其应用更强大的加密算法的资源，然后单击 "Select"。也可以指定一个正则表达式。

   有关更多信息，请参见第 16 章。

4. 选择密钥大小的限制：

   • 168 位或更大

     • 128 位或更大

     • 56 位或更大

     • 无限制

5. 指定用于拒绝访问的消息的文件位置，并单击 "OK"。

   有关加密算法的更多信息，请参见Introduction to SSL。