ECDHE-Chiffre

Alle Citrix ADC Appliances unterstützen die ECDHE-Verschlüsselungsgruppe am Front-End und Back-End. Wenn auf einer SDX-Appliance ein SSL-Chip einer VPX-Instanz zugewiesen ist, gilt die Verschlüsselungsunterstützung einer MPX-Appliance. Andernfalls gilt die normale Verschlüsselungsunterstützung einer VPX-Instanz.

Weitere Hinweise zu Builds und Plattformen, die diese Chiffre unterstützen, finden Sie unterCiphers available on the Citrix ADC appliances.

ECDHE-Verschlüsselungssammlungen verwenden elliptische Kurvenkryptographie (ECC). Aufgrund seiner kleineren Schlüsselgröße ist ECC besonders nützlich in einer mobilen (drahtlosen) Umgebung oder einer interaktiven Sprachreaktionsumgebung, in der jede Millisekunde wichtig ist. Kleinere Schlüsselgrößen sparen Strom, Speicher, Bandbreite und Rechenkosten.

Eine Citrix ADC Appliance unterstützt die folgenden ECC-Kurven:

  • P_256
  • P_384
  • P_224
  • P_521

Hinweis: Wenn Sie ein Upgrade von einem Build vor Version 10.1 Build 121.10 durchführen, müssen Sie ECC-Kurven explizit an Ihre vorhandenen virtuellen SSL-Server oder Front-End-Services binden. Die Kurven sind standardmäßig an alle virtuellen Server oder Front-End-Services gebunden, die Sie nach dem Upgrade erstellen.

Sie können eine ECC-Kurve nur an SSL-Front-End-Entitäten binden. Standardmäßig sind alle vier Kurven in der folgenden Reihenfolge gebunden: P_256, P_384, P_224, P_521. Um die Reihenfolge zu ändern, müssen Sie zuerst alle Kurven aufheben und sie dann in der gewünschten Reihenfolge binden.

Entbinden und Binden von ECC-Kurven an einen virtuellen SSL-Server mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

unbind ssl vserver  <vServerName > -eccCurveName ALL

bind ssl vserver  <vServerName > -eccCurveName  <eccCurveName >

Beispiel:

unbind ssl vs v1 –eccCurvename ALL

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done