Citrix ADC

Cifrados disponibles en los dispositivos Citrix ADC

El dispositivo Citrix ADC incluye un conjunto predefinido de grupos de cifrado. Para utilizar cifrados que no forman parte del grupo de cifrado DEFAULT, debe vincularlos explícitamente a un servidor virtual SSL. También puede crear un grupo de cifrado definido por el usuario para enlazar al servidor virtual SSL. Para obtener más información sobre la creación de un grupo de cifrado definido por el usuario, consulte Configurar grupos de cifrado definidos por el usuario en el dispositivo ADC.

Notas:

El cifrado RC4 no se incluye en el grupo de cifrado predeterminado del dispositivo Citrix ADC. Sin embargo, es compatible con el software en los dispositivos basados en N3. El cifrado RC4, incluido el protocolo de enlace, se realiza en software.

Citrix recomienda no utilizar este cifrado porque RFC 7465 lo considera inseguro y obsoleto.

Utilice el comando ‘show hardware’ para identificar si el dispositivo tiene chips N3.

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT
  • Para mostrar información sobre los conjuntos de cifrado enlazados de forma predeterminada en el front-end (a un servidor virtual), escriba: sh cipher DEFAULT
  • Para mostrar información sobre los conjuntos de cifrado enlazados de forma predeterminada en el backend (a un servicio), escriba: sh cipher DEFAULT_BACKEND
  • Para mostrar información sobre todos los grupos de cifrado (alias) definidos en el dispositivo, escriba: sh cipher
  • Para mostrar información acerca de todos los conjuntos de cifrado que forman parte de un grupo de cifrado específico, escriba: sh cipher <alias name>. Por ejemplo, sh cifrado ECDHE.

En los siguientes vínculos se enumeran los conjuntos de cifrado admitidos en diferentes plataformas Citrix ADC y en módulos de seguridad de hardware (HSM) externos:

Nota:

Para obtener compatibilidad con cifrado DTLS, consulte Compatibilidad con cifrado DTLS en dispositivos Citrix ADC VPX, MPX y SDX.

Tabla1: Soporte en servidor virtual/servicio frontend/servicio interno:

Las operaciones de cifrado en TLS 1.3 no se descargan a chips de aceleración criptográfica. Todo el cálculo para los apretones de manos TLS 1.3 se realiza en software en todas las plataformas compatibles, incluso si hay chips de aceleración Coleto o Cavium.

Protocolo/Plataforma MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS con firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1,3 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones No se admite No se admite 13.0 todas las compilaciones
  12.1-50.x 12.1-50.x 12.1-50.x No se admite No se admite 12.1-50.x
TLS 1.1/1.2 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0-70.x (solo en MPX 5900/8900)
  10.5 todas las compilaciones 10.5 todas las compilaciones 10.5-57.x 10.5 58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-51.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones     11.0-70.114 (solo en MPX 5900/8900)
  10.5-53.x 10.5-53.x 10.5 todas las compilaciones 10.5-59.1306.e   10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-51.x (Ver nota) 11.1-51.x (Ver nota) 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0-66.x     11.0-70.114 (solo en MPX 5900/8900)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-52.x 11.1-52.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0-66.x     11.0-72.x, 11.0-70.114 (solo en MPX 5900/8900)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) No se admite 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  No se admite 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No se admite 12.0 todas las compilaciones 12.0-57.x No aplicable No se admite 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
    11.1 todas las compilaciones       11.1-56.x, 11.1-54.126 (Solo se admiten las curvas ECC P_256 y P_384).
CHACHA20 No se admite 13.0 todas las compilaciones 13.0 todas las compilaciones No se admite No se admite 13.0 todas las compilaciones
  No se admite No se admite 12.1 todas las compilaciones No se admite No se admite 12.1-49.x (solo en MPX 5900/8900)
  No se admite No se admite 12.0-56.x No se admite No se admite No se admite

Cuadro 2: Apoyo a los servicios de back-end:

TLS 1.3 no se admite en el back-end.

Protocolo/Plataforma MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS con firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.1/1.2 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0-50.x 11.0-50.x 11.0-66.x 11.0 todas las compilaciones   11.0-70.119 (solo en MPX 5900/8900)
  10.5-59.x 10.5-59.x   10.5-58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0-56.x 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1 todas las compilaciones 11.1-51.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0-50.x 11.0-50.x       11.0-70.119 (solo en MPX 5900/8900)
  10.5-58.x 10.5-58.x   10.5-59.1306.e   10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones No se admite 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1-51.x 11.1-51.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones No se admite 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1-52.x 11.1-52.x 11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) No se admite 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  No se admite 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No se admite 12.0 todas las compilaciones 12.0-57.x No aplicable No se admite 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
    11.1-51.x   No aplicable   11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G (solo se admiten las curvas ECC P_256 y P_384).
CHACHA20 No se admite 13.0 todas las compilaciones 13.0 todas las compilaciones No se admite No se admite 13.0 todas las compilaciones
  No se admite No se admite 12.1 todas las compilaciones No se admite No se admite 12.1-49.x para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No se admite No se admite 12.0-56.x No se admite No se admite No se admite

Para obtener la lista detallada de los cifrados ECDSA admitidos, consulte Compatibilidad con ECDSA Cipher Suites.

Nota

  • El conjunto de cifrado TLS-Fallback_SCSV es compatible con todos los dispositivos de la versión 10.5 compilación 57.x

  • La compatibilidad con HTTP Strict Transport Security (HSTS) se basa en directivas.

  • Todos los certificados firmados SHA-2 (SHA256, SHA384, SHA512) son compatibles en la parte frontal de todos los dispositivos. En la versión 11.1 compilación 54.x y versiones posteriores, estos certificados también se admiten en el back-end de todos los dispositivos. En la versión 11.0 y versiones anteriores, solo se admiten certificados SHA256 firmados en el back-end de todos los dispositivos.

  • En la versión 11.1 compilación 52.x y versiones anteriores, los siguientes cifrados solo se admiten en el front-end de los dispositivos MPX 9700 y MPX/SDX 14000 FIPS:
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Desde la versión 11.1 compilación 53.x, y en la versión 12.0, estos cifrados también son compatibles en el back-end.
  • Todos los cifrados Chacha20-Poly1035 utilizan una función pseudo aleatoria TLS (PSF) con la función hash SHA-256.

Cifrados disponibles en los dispositivos Citrix ADC