Ciphers available on the Citrix ADC appliances

Ihre Citrix ADC Appliance wird mit einem vordefinierten Satz von Chiffriergruppen ausgeliefert. Um Verschlüsselungen zu verwenden, die nicht Teil der DEFAULT-Verschlüsselungsgruppe sind, müssen Sie diese explizit an einen virtuellen SSL-Server binden. Sie können auch eine benutzerdefinierte Verschlüsselungsgruppe erstellen, die an den virtuellen SSL-Server gebunden werden soll. Weitere Hinweise zum Erstellen einer benutzerdefinierten Verschlüsselungsgruppe finden Sie unterKonfigurieren von benutzerdefinierten Verschlüsselungsgruppen auf der ADC-Appliance.

Hinweis:

RC4-Chiffre ist nicht in der Standardchiffregruppe auf der Citrix ADC Appliance enthalten. Es wird jedoch in der Software auf den N3-basierten Appliances unterstützt. Die RC4-Verschlüsselung, einschließlich des Handshake, erfolgt in Software.

Citrix empfiehlt, diese Verschlüsselung nicht zu verwenden, da sie von RFC 7465 als unsicher und veraltet angesehen wird.

Verwenden Sie den Befehl Hardware anzeigen, um festzustellen, ob Ihre Appliance über N3-Chips verfügt.

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT
  • Um Informationen über die standardmäßig am Front-End (an einen virtuellen Server) gebundenen Verschlüsselungssammlungen anzuzeigen, geben Sie Folgendes ein: sh chiffre DEFAULT
  • Um Informationen über die standardmäßig am Backend (an einen Dienst) gebundenen Verschlüsselungssammlungen anzuzeigen, geben Sie Folgendes ein: sh cipher DEFAULT_BACKEND
  • Geben Sie Folgendes ein, um Informationen über alle in der Appliance definierten Chiffriergruppen (Aliase) anzuzeigen: sh chcipher
  • Geben Sie Folgendes ein, um Informationen über alle Verschlüsselungssammlungen anzuzeigen, die Teil einer bestimmten**Verschlüsselungsgruppe sind <alias name>. Zum Beispiel, sh Chiffre ECDHE.

Die folgenden Links führen die Verschlüsselungssammlungen auf, die auf verschiedenen Citrix ADC Plattformen und auf externen Hardwaresicherheitsmodulen (HSMs) unterstützt werden:

Hinweis:

Informationen zur Unterstützung der DTLS-Verschlüsselung finden Sie unterDTLS-Verschlüsselungsunterstützung auf Citrix ADC VPX -, MPX- und SDX-Appliances.

Tabelle1 - Unterstützung für virtuellen Server/Frontend-Service/interner Service:

Protokoll/Plattform MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS mit Firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G MPX
TLS 1.1/1 .2 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
  11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G
  11.0 alle Builds 11.0 alle Builds 11.0 alle Builds 11.0 alle Builds 11.0 alle Builds 11.0-70.x (nur auf MPX 5900/8900)
  10.5 alle Builds 10.5 alle Builds 10.5-57.x 10.5 58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (nur auf MPX 5900/8900)
ECDHE/DHE (Beispiel TLS1-ECDHE-RSA-AES128-SHA) 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
  11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1-51.x 11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G
  11.0 alle Builds 11.0 alle Builds 11.0 alle Builds     11.0-70.114 (nur auf MPX 5900/8900)
  10.5-53.x 10.5-53.x 10.5 alle Builds 10.5-59.1306.e   10.5-67.x, 10.5-63.47 (nur auf MPX 5900/8900)
AES-GCM (Beispiel TLS1.2-AES128-GCM-SHA256) 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
  11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1-51.x (Siehe Anmerkung) 11.1-51.x (Siehe Anmerkung) 11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G
  11.0 alle Builds 11.0 alle Builds 11.0-66.x     11.0-70.114 (nur auf MPX 5900/8900)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (nur auf MPX 5900/8900)
SHA-2-Verschlüsselungen (Beispiel TLS1.2-AES-128-SHA256) 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
  11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1-52.x 11.1-52.x 11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G
  11.0 alle Builds 11.0 alle Builds 11.0-66.x     11.0-72.x, 11.0-70.114 (nur auf MPX 5900/8900)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (nur auf MPX 5900/8900)
ECDSA (Beispiel TLS1-ECDHE-ECDSA-AES256-SHA) Nicht unterstützt 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  Nicht unterstützt 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  Nicht unterstützt 12.0 alle Builds 12.0-57.x Nicht zutreffend Nicht unterstützt 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
    11.1 alle Builds       11.1-56.x, 11.1-54.126 (Nur ECC-Kurven P_256 und P_384 werden unterstützt.)
CHACHA20 Nicht unterstützt 13.0 alle Builds 13.0 alle Builds Nicht unterstützt Nicht unterstützt 13.0 alle Builds
  Nicht unterstützt Nicht unterstützt 12.1 alle Builds Nicht unterstützt Nicht unterstützt 12.1-49.x (nur bei MPX 5900/8900)
  Nicht unterstützt Nicht unterstützt 12.0-56.x Nicht unterstützt Nicht unterstützt Nicht unterstützt

Tabelle 2 - Unterstützung für Back-End-Dienste:

Protokoll/Plattform MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS mit Firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G MPX
TLS 1.1/1 .2 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
  11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1 alle Builds 11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G
  11.0-50.x 11.0-50.x 11.0-66.x 11.0 alle Builds   11.0-70.119 (nur auf MPX 5900/8900)
  10.5-59.x 10.5-59.x   10.5-58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (nur auf MPX 5900/8900)
ECDHE/DHE (Beispiel TLS1-ECDHE-RSA-AES128-SHA) 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  12.0 alle Builds 12.0 alle Builds 12.0-56.x 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
  11.1 alle Builds 11.1 alle Builds   11.1 alle Builds 11.1-51.x 11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G
  11.0-50.x 11.0-50.x       11.0-70.119 (nur auf MPX 5900/8900)
  10.5-58.x 10.5-58.x   10.5-59.1306.e   10.5-67.x, 10.5-63.47 (nur auf MPX 5900/8900)
AES-GCM (Beispiel TLS1.2-AES128-GCM-SHA256) 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  12.0 alle Builds 12.0 alle Builds Nicht unterstützt 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
  11.1 alle Builds 11.1 alle Builds   11.1-51.x 11.1-51.x 11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G
SHA-2-Verschlüsselungen (Beispiel TLS1.2-AES-128-SHA256) 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  12.0 alle Builds 12.0 alle Builds Nicht unterstützt 12.0 alle Builds 12.0 alle Builds 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
  11.1 alle Builds 11.1 alle Builds   11.1-52.x 11.1-52.x 11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G
ECDSA (Beispiel TLS1-ECDHE-ECDSA-AES256-SHA) Nicht unterstützt 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds 13.0 alle Builds
  Nicht unterstützt 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds 12.1 alle Builds für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  Nicht unterstützt 12.0 alle Builds 12.0-57.x Nicht zutreffend Nicht unterstützt 12.0 alle Builds für MPX 5900/8900, 12.0-57.x für MPX 15000-50G, 12.0-60.x für MPX 26000-100G
    11.1-51.x   Nicht zutreffend   11.1-56.x für MPX 5900/8900 und MPX 15000-50G, 11.1-60.x für MPX 26000-100G (Es werden nur ECC-Kurven P_256 und P_384 unterstützt.)
CHACHA20 Nicht unterstützt 13.0 alle Builds 13.0 alle Builds Nicht unterstützt Nicht unterstützt 13.0 alle Builds
  Nicht unterstützt Nicht unterstützt 12.1 alle Builds Nicht unterstützt Nicht unterstützt 12.1-49.x für MPX 5900/8900, 12.1-50.x für MPX 15000-50G und MPX 26000-100G
  Nicht unterstützt Nicht unterstützt 12.0-56.x Nicht unterstützt Nicht unterstützt Nicht unterstützt

Eine ausführliche Liste der unterstützten ECDSA-Chiffre finden Sie unterUnterstützung für ECDSA Cipher Suites.

Hinweis:

  • TLS-Fallback_SCSV-Verschlüsselungssuite wird auf allen Appliances ab Version 10.5 Build 57.x unterstützt

  • HTTP Strict Transport Security (HSTS) Unterstützung ist richtlinienbasiert.

  • Alle SHA-2-signierten Zertifikate (SHA256, SHA384, SHA512) werden am Front-End aller Appliances unterstützt. In Version 11.1 Build 54.x und höher werden diese Zertifikate auch im Back-End aller Appliances unterstützt. Ab Version 11.0 und früher werden nur SHA256-signierten Zertifikate am Back-End aller Appliances unterstützt.

  • In Version 11.1 Build 52.x und früher werden die folgenden Chiffre nur auf dem Frontend der MPX 9700 und MPX/SDX 14000 FIPS Appliances unterstützt:
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Ab Release 11.1 Build 53.x und in Release 12.0 werden diese Chiffre auch im Back-End unterstützt.
  • Alle ChaCha20-Poly1035-Chiffren verwenden eine TLS-Pseudozufallsfunktion (PSF) mit der SHA-256-Hash-Funktion.

Ciphers available on the Citrix ADC appliances