Citrix ADC

Configurar grupos de cifrado definidos por el usuario en el dispositivo ADC

Un grupo de cifrado es un conjunto de conjuntos de cifrado que se vincula a un servidor virtual SSL, servicio o grupo de servicios en el dispositivo Citrix ADC. Un conjunto de cifrado comprende un protocolo, un algoritmo de intercambio de claves (Kx), un algoritmo de autenticación (Au), un algoritmo de cifrado (Enc) y un código de autenticación de mensajes (Mac) algoritmo. El dispositivo se envía con un conjunto predefinido de grupos de cifrado. Cuando crea un servicio SSL o un grupo de servicios SSL, el grupo de cifrado ALL se vincula automáticamente a él. Sin embargo, al crear un servidor virtual SSL o un servicio SSL transparente, el grupo de cifrado DEFAULT se vincula automáticamente a él. Además, puede crear un grupo de cifrado definido por el usuario y vincularlo a un servidor virtual SSL, servicio o grupo de servicios.

Nota: Si su dispositivo MPX no tiene ninguna licencia, solo el cifrado EXPORT está enlazado al servidor virtual SSL, servicio o grupo de servicios.

Para crear un grupo de cifrado definido por el usuario, primero debe crear un grupo de cifrado y, a continuación, enlazar cifradores o grupos de cifrado a este grupo. Si especifica un alias de cifrado o un grupo de cifrado, todos los cifrados del alias o grupo de cifrado se agregan al grupo de cifrado definido por el usuario. También puede agregar cifrados individuales (conjuntos de cifrado) a un grupo definido por el usuario. Sin embargo, no se puede modificar un grupo de cifrado predefinido. Antes de quitar un grupo de cifrado, desvincule todos los conjuntos de cifrado del grupo.

Al enlazar un grupo de cifrado a un servidor virtual SSL, servicio o grupo de servicios, se anexan los cifrados a los cifrados existentes enlazados a la entidad. Para enlazar un grupo de cifrado específico a la entidad, primero debe desvincular los cifrados o el grupo de cifrados enlazados a la entidad. A continuación, vincule el grupo de cifrado específico a la entidad. Por ejemplo, para enlazar solo el grupo de cifrado AES a un servicio SSL, realice los siguientes pasos:

  1. Desenlazar el grupo de cifrado predeterminado ALL que está enlazado de forma predeterminada al servicio cuando se crea el servicio.

    unbind ssl service <service name> -cipherName ALL
    
  2. Vincular el grupo de cifrado AES al servicio

    bind ssl service <Service name> -cipherName AE
    

    Si quiere enlazar el grupo de cifrado DES además de AES, en el símbolo del sistema, escriba:

    bind ssl service <service name> -cipherName DES
    

Nota: El dispositivo virtual Citrix ADC gratuito solo admite el grupo de cifrado DH.

Configurar un grupo de cifrado definido por el usuario mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para agregar un grupo de cifrado o para agregar cifrados a un grupo creado anteriormente y compruebe la configuración:

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <string>
show ssl cipher <cipherGroupName>

Ejemplo:

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

Desenlazar los cifrados de un grupo de cifrados mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para desvincular los cifrados de un grupo de cifrado definido por el usuario y compruebe la configuración:

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>

Quitar un grupo de cifrado mediante la CLI

Nota: No se puede quitar un grupo de cifrado integrado. Antes de quitar un grupo de cifrado definido por el usuario, asegúrese de que el grupo de cifrado está vacío.

En el símbolo del sistema, escriba los comandos siguientes para quitar un grupo de cifrado definido por el usuario y compruebe la configuración:

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

Ejemplo:

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]

Configurar un grupo de cifrado definido por el usuario mediante la interfaz gráfica de usuario

Vaya a Administración del tráfico > SSL > Grupos de cifrado y configure un grupo de cifrado.

Para enlazar un grupo de cifrado a un servidor virtual SSL, servicio o grupo de servicios mediante la CLI:

En el símbolo del sistema, escriba una de las siguientes opciones:

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

Ejemplo:

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done

Para enlazar un grupo de cifrado a un servidor virtual SSL, servicio o grupo de servicios mediante la GUI:

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.

    Para el servicio, reemplace los servidores virtuales por servicios. En el caso de los grupos de servicios, reemplace los servidores virtuales por grupos de servicios.

    Abra el servidor virtual, el servicio o el grupo de servicios.

  2. En Configuración avanzada, seleccione Cifrados SSL.

  3. Enlazar un grupo de cifrado al servidor virtual, servicio o grupo de servicios.

Vinculación de cifrados individuales a un servidor virtual SSL o servicio

También puede enlazar cifrados individuales, en lugar de un grupo de cifrados, a un servidor o servicio virtual.

Para enlazar un cifrado mediante la CLI: En el símbolo del sistema, escriba:

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>

Ejemplo:

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

Para enlazar un cifrado a un servidor virtual SSL mediante la GUI:

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Seleccione un servidor virtual SSL y haga clic en Modificar.
  3. En Configuración avanzada, seleccione Cifrados SSL.
  4. En Cipher Suites, seleccione Agregar.
  5. Busque el cifrado en la lista disponible y haga clic en la flecha para agregarlo a la lista configurada.
  6. Haga clic en OK.
  7. Haga clic en Listo.

Para enlazar un cifrado a un servicio SSL, repita los pasos anteriores después de reemplazar el servidor virtual con servicio.