Citrix ADC SDX

Konfigurieren von SSL-Chiffren für den sicheren Zugriff auf den Management Service

Sie können SSL-Verschlüsselungssammlungen aus einer Liste von SSL-Verschlüsselungen auswählen, die von Citrix ADC SDX-Appliances unterstützt werden, und eine beliebige Kombination der SSL-Verschlüsselungen binden, um über HTTPS sicher auf den SDX Management Service zuzugreifen. Eine SDX-Appliance bietet 37 vordefinierte Verschlüsselungsgruppen, die Kombinationen ähnlicher Verschlüsselungen sind, und Sie können benutzerdefinierte Verschlüsselungsgruppen aus der Liste der unterstützten SSL-Verschlüsselungsgruppen erstellen.

Einschränkungen

  • Das Binden von Chiffren mit Schlüsselaustausch = “DH” oder “ECC-DHE” wird nicht unterstützt.
  • Das Binden der Verschlüsselungen mit Authentication = “DSS” wird nicht unterstützt.
  • Das Binden von Verschlüsselungen, die nicht Teil der Liste der unterstützten SSL-Verschlüsselungen sind, oder das Einbeziehen dieser Verschlüsselungen in einer benutzerdefinierten Verschlüsselungsgruppe wird nicht unterstützt.

Unterstützte SSL-Verschlüsselungen

In der folgenden Tabelle sind die unterstützten SSL-Verschlüsselungen aufgeführt.

Citrix Verschlüsselungsname Openssl CipherName Hex-Code Protokoll KeyExchange Auth MAC
TLS1-AES-256-CBC-SHA AES256-SHA 0x0035 SSLv3 RSA RSA AES(256)
TLS1-AES-128-CBC-SHA AES128-SHA 0x002F SSLv3 RSA RSA AES(128)
TLS1.2-AES-256-SHA256 AES256-SHA256 0x003D TLSv1.2 RSA RSA AES(256)
TLS1.2-AES-128-SHA256 AES128-SHA256 0x003C TLSv1.2 RSA RSA AES(128)
TLS1.2-AES256-GCM-SHA384 AES256-GCM-SHA384 0x009D TLSv1.2 RSA RSA AES-GCM(256)
TLS1.2-AES128-GCM-SHA256 AES128-GCM-SHA256 0x009C TLSv1.2 RSA RSA AES-GCM(128)
TLS1-ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA 0xC014 SSLv3 ECC-DHE RSA AES(256)
TLS1-ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA 0xC013 SSLv3 ECC-DHE RSA AES(128)
TLS1.2-ECDHE-RSA-AES-256-SHA384 ECDHE-RSA-AES256-SHA384 0xC028 TLSv1.2 ECC-DHE RSA AES(256)
TLS1.2-ECDHE-RSA-AES-128-SHA256 ECDHE-RSA-AES128-SHA256 0xC027 TLSv1.2 ECC-DHE RSA AES(128)
TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 0xC030 TLSv1.2 ECC-DHE RSA AES-GCM(256)
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 0xC02F TLSv1.2 ECC-DHE RSA AES-GCM(128)
TLS1.2-DHE-RSA-AES-256-SHA256 DHE-RSA-AES256-SHA256 0x006B TLSv1.2 DH RSA AES(256)
TLS1.2-DHE-RSA-AES-128-SHA256 DHE-RSA-AES128-SHA256 0x0067 TLSv1.2 DH RSA AES(128)
TLS1.2-DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 0x009F TLSv1.2 DH RSA AES-GCM(256)
TLS1.2-DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-GCM-SHA256 0x009E TLSv1.2 DH RSA AES-GCM(128)
TLS1-DHE-RSA-AES-256-CBC-SHA DHE-RSA-AES256-SHA 0x0039 SSLv3 DH RSA AES(256)
TLS1-DHE-RSA-AES-128-CBC-SHA DHE-RSA-AES128-SHA 0x0033 SSLv3 DH RSA AES(128)
TLS1-DHE-DSS-AES-256-CBC-SHA DHE-DSS-AES256-SHA 0x0038 SSLv3 DH DSS AES(256)
TLS1-DHE-DSS-AES-128-CBC-SHA DHE-DSS-AES128-SHA 0x0032 SSLv3 DH DSS AES(128)
TLS1-ECDHE-RSA-DES-CBC3-SHA ECDHE-RSA-DES-CBC3-SHA 0xC012 SSLv3 ECC-DHE RSA 3DES(168)
SSL3-EDH-RSA-DES-CBC3-SHA EDH-RSA-DES-CBC3-SHA 0x0016 SSLv3 DH RSA 3DES(168)
SSL3-EDH-DSS-DES-CBC3-SHA EDH-DSS-DES-CBC3-SHA 0x0013 SSLv3 DH DSS 3DES(168)
TLS1-ECDHE-RSA-RC4-SHA ECDHE-RSA-RC4-SHA 0xC011 SSLv3 ECC-DHE RSA RC4(128)
SSL3-DES-CBC3-SHA DES-CBC3-SHA 0x000A SSLv3 RSA RSA 3DES(168)
SSL3-RC4-SHA RC4-SHA 0x0005 SSLv3 RSA RSA RC4(128)
SSL3-RC4-MD5 RC4-MD5 0x0004 SSLv3 RSA RSA RC4(128)
SSL3-DES-CBC-SHA DES-CBC-SHA 0x0009 SSLv3 RSA RSA DES(56)
SSL3-EXP-RC4-MD5 EXP-RC4-MD5 0x0003 SSLv3 RSA (512) RSA RC4(40)
SSL3-EXP-DES-CBC-SHA EXP-DES-CBC-SHA 0x0008 SSLv3 RSA (512) RSA DES(40)
SSL3-EXP-RC2-CBC-MD5 EXP-RC2-CBC-MD5 0x0006 SSLv3 RSA (512) RSA RC2(40)
SSL2-DES-CBC-MD5 DHE-DSS-AES128-SHA256 0x0040 SSLv2 RSA RSA DES(56)
SSL3-EDH-DSS-DES-CBC-SHA EDH-DSS-DES-CBC-SHA 0x0012 SSLv3 DH DSS DES(56)
SSL3-EXP-EDH-DSS-DES-CBC-SHA EXP-EDH-DSS-DES-CBC-SHA 0x0011 SSLv3 DH(512) DSS DES(40)
SSL3-EDH-RSA-DES-CBC-SHA EDH-RSA-DES-CBC-SHA 0x0015 SSLv3 DH RSA DES(56)
SSL3-EXP-EDH-RSA-DES-CBC-SHA EXP-EDH-RSA-DES-CBC-SHA 0x0014 SSLv3 DH(512) RSA DES(40)
SSL3-ADH-RC4-MD5 ADH-RC4-MD5 0x0018 SSLv3 DH Ohne RC4(128)
SSL3-ADH-DES-CBC3-SHA ADH-DES-CBC3-SHA 0x001B SSLv3 DH Ohne 3DES(168)
SSL3-ADH-DES-CBC-SHA ADH-DES-CBC-SHA 0x001A SSLv3 DH Ohne DES(56)
TLS1-ADH-AES-128-CBC-SHA ADH-AES128-SHA 0x0034 SSLv3 DH Ohne AES(128)
TLS1-ADH-AES-256-CBC-SHA ADH-AES256-SHA 0x003A SSLv3 DH Ohne AES(256)
SSL3-EXP-ADH-RC4-MD5 EXP-ADH-RC4-MD5 0x0017 SSLv3 DH(512) Ohne RC4(40)
SSL3-EXP-ADH-DES-CBC-SHA EXP-ADH-DES-CBC-SHA 0x0019 SSLv3 DH(512) Ohne DES(40)
SSL3-NULL-MD5 NULL-MD5 0x0001 SSLv3 RSA RSA Ohne
SSL3-NULL-SHA NULL-SHA 0x0002 SSLv3 RSA RSA Ohne

Vordefinierte Verschlüsselungsgruppen

In der folgenden Tabelle sind die von der SDX-Appliance bereitgestellten vordefinierten Verschlüsselungsgruppen aufgeführt.

Cipher-Gruppenname Beschreibung
ALL Alle von der SDX-Appliance unterstützten Verschlüsselungen, ausgenommen NULL-Verschlüsselungen
DEFAULT Standard-Verschlüsselungsliste mit Verschlüsselungsstärke> = 128 Bit
kRSA Chiffren mit Key-Ex-Algo als RSA
kEDH Chiffren mit Key-Ex-Algo als Ephemeral-DH
DH Chiffren mit Key-Ex-Algo als DH
EDH Chiffren mit Key-Ex/Auth Algo als DH
aRSA Chiffren mit Auth Algo als RSA
aDSS Chiffren mit Auth Algo als DSS
aNULL Chiffren mit Auth Algo als NULL
DSS Chiffren mit Auth Algo als DSS
DES Chiffren mit Enc Algo als DES
3DES Chiffren mit Enc Algo als 3DES
RC4 Chiffren mit Enc Algo als RC4
RC2 Chiffren mit Enc Algo als RC2
NULL Chiffren mit Enc-Algo als NULL
MD5 Chiffren mit MAC-Algo als MD5
SHA1 Chiffren mit MAC-Algo als SHA-1
SHA Chiffren mit MAC-Algo als SHA
NULL Chiffren mit Enc-Algo als NULL
RSA Chiffren mit Key-Ex/Auth Algo als RSA
ADH Chiffren mit Key-Ex-Algo als DH und Auth Algo als NULL
SSLv2 SSLv2-Protokollchiffren
SSLv3 SSLv3-Protokollchiffren
TLSv1 SSLv3/TLSv1-Protokollchiffren
TLSv1_ONLY TLSv1-Protokollchiffren
EXP Chiffren exportieren
EXPORT Chiffren exportieren
EXPORT40 Exportieren von Chiffren mit 40-Bit-Verschlüsselung
EXPORT56 Exportieren von Chiffren mit 56-Bit-Verschlüsselung
LOW Verschlüsselungen mit geringer Stärke (56-Bit-Verschlüsselung)
MEDIUM Verschlüsselungen mittlerer Stärke (128-Bit-Verschlüsselung)
HIGH Starke Chiffren (168-Bit-Verschlüsselung)
AES AES-Chiffren
FIPS FIPS-zugelassene Verschlüsselungen
ECDHE Ephemere DH-Chiffren mit elliptischer Kurve
AES-GCM Chiffren mit Enc-Algo als AES-GCM
SHA2 Chiffren mit MAC-Algo als SHA-2

Anzeigen der vordefinierten Verschlüsselungsgruppen

Um die vordefinierten Verschlüsselungsgruppen anzuzeigen, erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich Management Service, und klicken Sie dann auf Verschlüsselungsgruppen.

Erstellen von benutzerdefinierten Verschlüsselungsgruppen

Sie können benutzerdefinierte Verschlüsselungsgruppen aus der Liste der unterstützten SSL-Verschlüsselungen erstellen.

So erstellen Sie benutzerdefinierte Verschlüsselungsgruppen:

  1. Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich Management Service, und klicken Sie dann auf Verschlüsselungsgruppen.
  2. Klicken Sie im Bereich Verschlüsselungsgruppen auf Hinzufügen.
  3. Führen Sie im Dialogfeld Verschlüsselungsgruppe erstellen die folgenden Schritte aus:
    1. Geben Sie im Feld Gruppenname einen Namen für die benutzerdefinierte Verschlüsselungsgruppe ein.
    2. Geben Sie im Feld Beschreibung der Verschlüsselungsgruppe eine kurze Beschreibung der benutzerdefinierten Verschlüsselungsgruppe ein.
    3. Klicken Sie im Abschnitt Cipher Suites auf Hinzufügen und wählen Sie die Verschlüsselungen aus, die in die Liste der unterstützten SSL-Verschlüsselungen aufgenommen werden sollen.
    4. Klicken Sie auf Erstellen.

Anzeigen vorhandener SSL-Verschlüsselungsbindungen

Um die vorhandenen Verschlüsselungsbindungen anzuzeigen, erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich System, und klicken Sie dann unter Systemeinstellungen auf SSL-Einstellungenkonfigurieren.

Configure-ssl-settings

Hinweis

Nachdem Sie auf die neueste Version des Management Service aktualisiert haben, werden in der Liste der vorhandenen Verschlüsselungssammlungen die OpenSSL-Namen angezeigt. Sobald Sie die Verschlüsselungen aus dem aktualisierten Management Service gebunden haben, verwendet die Anzeige die Citrix Benennungskonvention.

Verschlüsselungen an den HTTPS-Dienst binden

So binden Sie Chiffren an den HTTPS-Dienst:

  1. Klicken Sie auf der Registerkarte Konfiguration im Navigationsbereich auf System.
  2. Klicken Sie im Bereich System unter Systemeinstellungen auf SSL-Einstellungen konfigurieren.
  3. Klicken Sie im Bereich Einstellungen bearbeiten auf Ciphers Suites.
  4. Führen Sie im Bereich Ciphers Suites einen der folgenden Schritte aus:
    • Um Verschlüsselungsgruppen aus vordefinierten Verschlüsselungsgruppen auszuwählen, die von der SDX-Appliance bereitgestellt werden, aktivieren Sie das Kontrollkästchen Verschlüsselungsgruppen, wählen Sie die Verschlüsselungsgruppe aus der Dropdownliste Verschlüsselungsgruppen aus, und klicken Sie dann auf OK.
    • Um aus der Liste der unterstützten Verschlüsselungen auszuwählen, aktivieren Sie das Kontrollkästchen Cipher Suites, klicken Sie auf Hinzufügen, um die Verschlüsselungen auszuwählen, und klicken Sie dann auf OK.
Konfigurieren von SSL-Chiffren für den sicheren Zugriff auf den Management Service