一、    概述

       国密算法是我国自主研发创新的一套数据加密处理系列算法。从SM1-SM4分别实现了对称、非对称、摘要等算法功能。特别适合应用于嵌入式物联网等相关领域，完成身份认证和数据加解密等功能。随着金融安全上升到国家安全高度，近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。下面介绍F5 SSLO使用国密算法部署的步骤及注意事项。

二、    部署拓扑

部署环境：系统版本：BIG-IP 15.1.0.1 Build 0.0.4 Point Release 1；iapp版本：f5-iappslx-ssl-orchestrator-15.1.0-7.1.9.noarch

部署拓扑说明：sslo以 existing application 的topology部署，旁挂两台F5 NGFW，外网客户端ip为192.168.21.146,F5上vs为：192.168.21.131:443。

三、    部署步骤

1.   导入证书。

参考链接：https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/big-ip-system-ssl-administration-14-1-0/04.html

（1）    导入国密证书。

2.  创建Cipher Rule和Cipher Group。

（1）    创建 Cipher Rules。

（2）    创建Cipher Group。

3.  创建ssl profile。

4.  vs关联ssl profile。

5.  创建existing application topology。

（此处省略topology具体配置步骤）

6.  vs关联access policy。

7.  使用密信浏览器访问业务。浏览器能正常访问。

四、    抓包分析

1.  Client hello报文内容。

（1）    可以在报文里面看到浏览器发出的client hello报文里面，协商的算法里面包含了国密算法。

2.  Server hello报文内容。

（1）    F5 sslo响应的server hello报文里面，sslo协商的算法是Cipher group里面所定义的算法。

3.  安全设备报文内容。

（1）    可以在安全设备上抓包看到请求的明文内容。

注：普通版本的wireshark打开国密算法报文，在Cipher Suite里面显示的是Unknow(算法代码)，显示不直观，需要使用编译后的wireshark软件（修改ssl对应的dessertor）才能直观查看客户端与F5交互的具体算法，编译后的软件版本可以参考以下链接：

https://github.com/pengtianabc/wireshark-gm/releases

五、    总结

（1）    F5 SSLO支持国密算法，符合使用国密算法的部署场景。

（2）    国密算法的抓包报文，需要编译后的wireshark软件才能直观的查看客户端与F5 SSLO交互的加密算法。