使用 CLI 變更系統的 SSL/TLS/SSH 層次

管理者可以決定哪些用戶端系統沒有足夠的安全層次，並將它們更新為更高的層次，或降低系統安全層次，直到這些系統已更新為止。

您不能使用 chsecurity 指令來同時變更 SSL/TLS 和 SSH 設定。請先變更一種安全層次，然後檢查系統仍可存取，之後再變更另一種安全層次。

如果要使用指令行介面來變更安全層次設定，請完成這些步驟：

若要變更 SSL/TLS 設定，請輸入 chsecurity -sslprotocol security_level，其中 security_level 是下列其中一個值：

表 1. 支援的 SSL/TLS 安全層次
安全層次	說明	容許的最低安全
1	將系統設為不允許 SSL 3.0 版。	TLS 1.0
2	將系統設為不允許 SSL 3.0 版、TLS 1.0 版及 TLS 1.1 版。	TLS 1.2
3	將系統設為不允許 SSL 3.0 版、TLS 1.0 及 TLS 1.1 版，以及允許 TLS 1.2 版專屬的加密套件。	TLS 1.2
4	將系統設為不允許 SSL 3.0 版、TLS 1.0 及 TLS 1.1 版，以及允許 TLS 1.2 版專屬的加密套件。將系統設為在 SSH 中不允許 RSA 金鑰交換密碼、RSA 密碼。	TLS 1.2

註：安全層次變更時，使用者可能無法連接到管理 GUI。如果無法連線，請使用 CLI 將安全層次降到較低的設定。

若要變更 SSH 設定，請輸入 chsecurity -sshprotocol security_level，其中 security_level 是下列其中一個值：

表 2. 支援的 SSH 安全層次
安全層次	說明
1	容許下列金鑰交換方法： curve25519-sha256 curve25519-sha256@libssh.org ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 diffie-hellman-group-exchange-sha256 diffie-hellman-group16-sha512 diffie-hellman-group18-sha512 diffie-hellman-group14-sha256 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 diffie-hellman-group-exchange-sha1
2	容許下列金鑰交換方法： curve25519-sha256 curve25519-sha256@libssh.org ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 diffie-hellman-group-exchange-sha256 diffie-hellman-group16-sha512 diffie-hellman-group18-sha512 diffie-hellman-group14-sha256 diffie-hellman-group14-sha1