Konfigurieren von benutzerdefinierten Verschlüsselungsgruppen auf der ADC-Appliance

Eine Verschlüsselungsgruppe ist eine Gruppe von Verschlüsselungssammlungen, die Sie an einen virtuellen SSL-Server, einen virtuellen Dienst oder eine Dienstgruppe auf der Citrix ADC Appliance binden. Eine Verschlüsselungssuite besteht aus einem Protokoll, einem Schlüsselaustauschalgorithmus (Kx), einem Authentifizierungsalgorithmus (Au), einem Verschlüsselungsalgorithmus (Enc) und einem Nachrichtenauthentifizierungscode ( Mac) -Algorithmus. Ihre Appliance wird mit einem vordefinierten Satz von Chiffriergruppen ausgeliefert. Wenn Sie einen SSL-Dienst oder eine SSL-Dienstgruppe erstellen, wird die ALL-Verschlüsselungsgruppe automatisch an sie gebunden. Wenn Sie jedoch einen virtuellen SSL-Server oder einen transparenten SSL-Dienst erstellen, wird die DEFAULT-Verschlüsselungsgruppe automatisch an ihn gebunden. Darüber hinaus können Sie eine benutzerdefinierte Verschlüsselungsgruppe erstellen und sie an einen virtuellen SSL-Server, einen Dienst oder eine Dienstgruppe binden.

Hinweis: Wenn Ihre MPX-Appliance über keine Lizenzen verfügt, ist nur die EXPORTE-Verschlüsselung an Ihren virtuellen SSL-Server, -Dienst oder -Dienstgruppe gebunden.

Um eine benutzerdefinierte Chiffregruppe zu erstellen, erstellen Sie zuerst eine Chiffregruppe und binden dann Chiffre- oder Chiffregruppen an diese Gruppe. Wenn Sie einen Chiffrealias oder eine Chiffregruppe angeben, werden alle Chiffrealias oder -gruppe zur benutzerdefinierten Chiffregruppe hinzugefügt. Sie können auch einzelne Chiffre (Chiffre Suites) zu einer benutzerdefinierten Gruppe hinzufügen. Eine vordefinierte Verschlüsselungsgruppe kann jedoch nicht geändert werden. Bevor Sie eine Verschlüsselungsgruppe entfernen, heben Sie die Bindung aller Verschlüsselungssammlungen in der Gruppe auf.

Wenn Sie eine Verschlüsselungsgruppe an einen virtuellen SSL-Server, einen Dienst oder eine Dienstgruppe binden, werden die Chiffre an die vorhandenen Verschlüsselungen angehängt, die an die Entität gebunden sind. Um eine bestimmte Chiffregruppe an die Entität zu binden, müssen Sie zunächst die an die Entität gebundenen Chiffre- oder Chiffregruppe aufheben. Binden Sie dann die bestimmte Verschlüsselungsgruppe an die Entität. Um beispielsweise nur die AES-Verschlüsselungsgruppe an einen SSL-Dienst zu binden, führen Sie die folgenden Schritte aus:

  1. Heben Sie die Bindung der Standard-Verschlüsselungsgruppe ALL auf, die standardmäßig an den Dienst gebunden ist, wenn der Dienst erstellt wird.

    unbind ssl service <service name> -cipherName ALL
    
  2. Binden Sie die AES-Verschlüsselungsgruppe an den Dienst

    bind ssl service <Service name> -cipherName AE
    

    Wenn Sie die Verschlüsselungsgruppe DES zusätzlich zu AES binden möchten, geben Sie an der Eingabeaufforderung Folgendes ein:

    bind ssl service <service name> -cipherName DES
    

Hinweis: Die freie virtuelle Citrix ADC Appliance unterstützt nur die DH-Verschlüsselungsgruppe.

Konfigurieren einer benutzerdefinierten Verschlüsselungsgruppe mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Verschlüsselungsgruppe hinzuzufügen oder Chiffre zu einer zuvor erstellten Gruppe hinzuzufügen, und überprüfen Sie die Einstellungen:

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <string>
show ssl cipher <cipherGroupName>

Beispiel:

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

Entbinden von Verschlüsselungen aus einer Chiffregruppe mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Bindung von Verschlüsselungen aus einer benutzerdefinierten Verschlüsselungsgruppe aufzuheben, und überprüfen Sie die Einstellungen:

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>

Entfernen einer Verschlüsselungsgruppe mit der CLI

Hinweis: Eine integrierte Verschlüsselungsgruppe kann nicht entfernt werden. Bevor Sie eine benutzerdefinierte Verschlüsselungsgruppe entfernen, stellen Sie sicher, dass die Verschlüsselungsgruppe leer ist.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine benutzerdefinierte Verschlüsselungsgruppe zu entfernen, und überprüfen Sie die Konfiguration:

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

Beispiel:

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]

Konfigurieren einer benutzerdefinierten Verschlüsselungsgruppe mit der GUI

Navigieren Sie zu Verkehrsverwaltung > SSL > Verschlüsselungsgruppen, und konfigurieren Sie eine Verschlüsselungsgruppe.

So binden Sie eine Verschlüsselungsgruppe mit der CLI an einen virtuellen SSL-Server, einen Dienst oder eine Dienstgruppe:

Geben Sie an der Eingabeaufforderung einen der folgenden Schritte ein:

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

Beispiel:

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done

So binden Sie eine Verschlüsselungsgruppe mit der GUI an einen virtuellen SSL-Server, einen Dienst oder eine Dienstgruppe:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.

    Ersetzen Sie für den Dienst virtuelle Server durch Dienste. Ersetzen Sie bei Dienstgruppen virtuelle Server durch Dienstgruppen.

    Öffnen Sie den virtuellen Server, den Dienst oder die Dienstgruppe.

  2. Wählen Sie unter Erweiterte Einstellungen die Option SSL-Verschlüsselungen aus.

  3. Binden Sie eine Verschlüsselungsgruppe an den virtuellen Server, den Dienst oder die Dienstgruppe.

Binden einzelner Chiffre an einen virtuellen SSL-Server oder Dienst

Sie können auch einzelne Chiffre anstelle einer Chiffregruppe an einen virtuellen Server oder Dienst binden.

So binden Sie eine Verschlüsselung mit der CLI: Geben Sie an der Eingabeaufforderung Folgendes ein:

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>

Beispiel:

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

So binden Sie eine Chiffre an einen virtuellen SSL-Server mit der GUI:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Wählen Sie einen virtuellen SSL-Server aus, und klicken Sie auf Bearbeiten.
  3. Wählen Sie unter Erweiterte Einstellungen die Option SSL-Verschlüsselungen aus.
  4. Wählen Sie in Cipher SuitesHinzufügenaus.
  5. Suchen Sie in der verfügbaren Liste nach der Verschlüsselung, und klicken Sie auf den Pfeil, um sie der konfigurierten Liste hinzuzufügen.
  6. Klicken Sie auf OK.
  7. Klicken Sie auf Fertig.

Um eine Verschlüsselung an einen SSL-Dienst zu binden, wiederholen Sie die vorherigen Schritte, nachdem Sie den virtuellen Server durch den Dienst ersetzt haben.