Citrix ADC

ECDHE-Chiffre

Alle Citrix ADC Appliances unterstützen die ECDHE-Verschlüsselungsgruppe am Front-End und Back-End. Wenn auf einer SDX-Appliance ein SSL-Chip einer VPX-Instanz zugewiesen ist, gilt die Verschlüsselungsunterstützung einer MPX-Appliance. Andernfalls gilt die normale Verschlüsselungsunterstützung einer VPX-Instanz.

Weitere Hinweise zu Builds und Plattformen, die diese Chiffre unterstützen, finden Sie unterCiphers available on the Citrix ADC appliances.

ECDHE-Verschlüsselungssammlungen verwenden elliptische Kurvenkryptographie (ECC). Aufgrund seiner kleineren Schlüsselgröße ist ECC besonders nützlich in einer mobilen (drahtlosen) Umgebung oder einer interaktiven Sprachreaktionsumgebung, in der jede Millisekunde wichtig ist. Kleinere Schlüsselgrößen sparen Strom, Speicher, Bandbreite und Rechenkosten.

Eine Citrix ADC Appliance unterstützt die folgenden ECC-Kurven:

  • P_256
  • P_384
  • P_224
  • P_521

Hinweis: Wenn Sie ein Upgrade von einem Build vor Version 10.1 Build 121.10 durchführen, müssen Sie ECC-Kurven explizit an Ihre vorhandenen virtuellen SSL-Server und -Dienste binden. Die Kurven sind standardmäßig an alle virtuellen Server und Dienste gebunden, die Sie nach dem Upgrade erstellen.

Sie können eine ECC-Kurve an SSL-Frontend- und Back-End-End-Ends binden. Standardmäßig sind alle vier Kurven in der folgenden Reihenfolge gebunden: P_256, P_384, P_224, P_521. Um die Reihenfolge zu ändern, müssen Sie zuerst alle Kurven aufheben und sie dann in der gewünschten Reihenfolge binden.

Binden von ECC-Kurven an einen virtuellen SSL-Server über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind ssl vserver <vServerName > -eccCurveName <eccCurveName >

Beispiel:

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done

Binden von ECC-Kurven an einen virtuellen SSL-Server über die GUI

  1. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Virtuelle Server.
  2. Wählen Sie einen virtuellen SSL-Server aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie unter Erweiterte Einstellungen auf ECC-Kurve. Erweiterte Einstellungen für ECC-Kurve
  4. Klicken Sie in den ECC-Kurvenabschnitt.
  5. Klicken Sie auf der Seite ECC-Kurvenbindung für SSL Virtual Server auf Bindung hinzufügen. Fügen Sie ECC-Kurvenbindung auf dem virtuellen SSL-Server hinzu
  6. Klicken Sie in ECC-Kurvenbindung auf ECC-Kurve auswählen. ECC-Kurve auswählen
  7. Wählen Sie einen Wert aus, und klicken Sie dann auf Auswählen. ECC-Kurvenwert auswählen
  8. Klicken Sie auf Bind.
  9. Klicken Sie auf Schließen.
  10. Klicken Sie auf Fertig.

Binden von ECC-Kurven an einen SSL-Dienst über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind ssl service <vServerName > -eccCurveName <eccCurveName >

Beispiel:

> bind ssl service sslsvc -eccCurveName P_224
 Done
> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service sslsvc:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: DISABLED
    Session Reuse: ENABLED      Timeout: 300 seconds
    Cipher Redirect: DISABLED
    ClearText Port: 0
    Server Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: ???
    DHE Key Exchange With PSK: ???
    Tickets Per Authentication Context: ???

    ECC Curve: P_224


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done

Binden von ECC-Kurven an einen SSL-Dienst über die GUI

  1. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Dienste.
  2. Wählen Sie einen SSL-Dienst aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie unter Erweiterte Einstellungen auf ECC-Kurve. Erweiterte Einstellungen für ECC-Kurve
  4. Klicken Sie in den ECC-Kurvenabschnitt.
  5. Klicken Sie auf der Seite SSL Service ECC Curve Binding auf Bindung hinzufügen. ECC-Kurvenbindung hinzufügen
  6. Klicken Sie in ECC-Kurvenbindung auf ECC-Kurve auswählen. ECC-Kurve auswählen
  7. Wählen Sie einen Wert aus, und klicken Sie dann auf Auswählen. ECC-Kurvenwert auswählen
  8. Klicken Sie auf Bind.
  9. Klicken Sie auf Schließen.
  10. Klicken Sie auf Fertig.