Cifrados disponibles en los dispositivos Citrix ADC

El dispositivo Citrix ADC incluye un conjunto predefinido de grupos de cifrado. Para utilizar cifrados que no forman parte del grupo de cifrado DEFAULT, debe vincularlos explícitamente a un servidor virtual SSL. También puede crear un grupo de cifrado definido por el usuario para enlazar al servidor virtual SSL. Para obtener más información sobre la creación de un grupo de cifrado definido por el usuario, consulte Configurar grupos de cifrado definidos por el usuario en el dispositivo ADC.

Nota:

El cifrado RC4 no se incluye en el grupo de cifrado predeterminado del dispositivo Citrix ADC. Sin embargo, es compatible con el software en los dispositivos basados en N3. El cifrado RC4, incluido el protocolo de enlace, se realiza en software.

Citrix recomienda no utilizar este cifrado porque RFC 7465 lo considera inseguro y obsoleto.

Utilice el comando ‘show hardware’ para identificar si el dispositivo tiene chips N3.

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT
  • Para mostrar información sobre los conjuntos de cifrado enlazados de forma predeterminada en el front-end (a un servidor virtual), escriba: sh cipher DEFAULT
  • Para mostrar información sobre los conjuntos de cifrado enlazados de forma predeterminada en el back-end (a un servicio), escriba: sh cipher DEFAULT_BACKEND
  • Para mostrar información sobre todos los grupos de cifrado (alias) definidos en el dispositivo, escriba: sh cipher
  • Para mostrar información sobre todos los conjuntos de cifrado que forman parte de un grupo de cifrado específico, escriba:**sh cifrado <alias name>. Por ejemplo, sh cifrado ECDHE.

En los siguientes vínculos se enumeran los conjuntos de cifrado admitidos en diferentes plataformas Citrix ADC y en módulos de seguridad de hardware (HSM) externos:

Nota:

Para obtener compatibilidad con cifrado DTLS, consulte Compatibilidad con cifrado DTLS en dispositivos Citrix ADC VPX, MPX y SDX.

Tabla1: Soporte en servidor virtual/servicio frontend/servicio interno:

Protocolo/Plataforma MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS con firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.1/1.2 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0-70.x (solo en MPX 5900/8900)
  10.5 todas las compilaciones 10.5 todas las compilaciones 10.5-57.x 10.5 58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-51.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones     11.0-70.114 (solo en MPX 5900/8900)
  10.5-53.x 10.5-53.x 10.5 todas las compilaciones 10.5-59.1306.e   10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-51.x (Ver nota) 11.1-51.x (Ver nota) 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0-66.x     11.0-70.114 (solo en MPX 5900/8900)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-52.x 11.1-52.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0-66.x     11.0-72.x, 11.0-70.114 (solo en MPX 5900/8900)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) No compatible 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  No compatible 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No compatible 12.0 todas las compilaciones 12.0-57.x No corresponde No compatible 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
    11.1 todas las compilaciones       11.1-56.x, 11.1-54.126 (Solo se admiten las curvas ECC P_256 y P_384).
CHACHA20 No compatible 13.0 todas las compilaciones 13.0 todas las compilaciones No compatible No compatible 13.0 todas las compilaciones
  No compatible No compatible 12.1 todas las compilaciones No compatible No compatible 12.1-49.x (solo en MPX 5900/8900)
  No compatible No compatible 12.0-56.x No compatible No compatible No compatible

Cuadro 2: Apoyo a los servicios de back-end:

Protocolo/Plataforma MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS con firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.1/1.2 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0-50.x 11.0-50.x 11.0-66.x 11.0 todas las compilaciones   11.0-70.119 (solo en MPX 5900/8900)
  10.5-59.x 10.5-59.x   10.5-58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0-56.x 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1 todas las compilaciones 11.1-51.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0-50.x 11.0-50.x       11.0-70.119 (solo en MPX 5900/8900)
  10.5-58.x 10.5-58.x   10.5-59.1306.e   10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones No compatible 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1-51.x 11.1-51.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones No compatible 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1-52.x 11.1-52.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) No compatible 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  No compatible 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No compatible 12.0 todas las compilaciones 12.0-57.x No corresponde No compatible 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
    11.1-51.x   No corresponde   11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G (solo se admiten las curvas ECC P_256 y P_384).
CHACHA20 No compatible 13.0 todas las compilaciones 13.0 todas las compilaciones No compatible No compatible 13.0 todas las compilaciones
  No compatible No compatible 12.1 todas las compilaciones No compatible No compatible 12.1-49.x para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No compatible No compatible 12.0-56.x No compatible No compatible No compatible

Para obtener la lista detallada de los cifrados ECDSA admitidos, consulte Compatibilidad con ECDSA Cipher Suites.

Nota

  • El conjunto de cifrado TLS-Fallback_SCSV es compatible con todos los dispositivos de la versión 10.5 build 57.x

  • La compatibilidad con HTTP Strict Transport Security (HSTS) se basa en directivas.

  • Todos los certificados firmados SHA-2 (SHA256, SHA384, SHA512) son compatibles en la parte frontal de todos los dispositivos. En la versión 11.1 build 54.x y versiones posteriores, estos certificados también se admiten en el back-end de todos los dispositivos. En la versión 11.0 y versiones anteriores, solo se admiten certificados SHA256 firmados en el back-end de todos los dispositivos.

  • En la versión 11.1 build 52.x y versiones anteriores, los siguientes cifrados solo se admiten en la interfaz de los dispositivos FIPS MPX 9700 y MPX/SDX 14000:
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Desde la versión 11.1 build 53.x, y en la versión 12.0, estos cifrados también son compatibles en el back-end.
  • Todos los cifrados Chacha20-Poly1035 utilizan una función pseudo aleatoria TLS (PSF) con la función hash SHA-256.

Cifrados disponibles en los dispositivos Citrix ADC