Compatibilidad con los conjuntos de cifrado ECDSA

Los conjuntos de cifrado ECDSA utilizan criptografía de curva elíptica (ECC). Debido a su tamaño más pequeño, resulta útil en entornos donde la potencia de procesamiento, el espacio de almacenamiento, el ancho de banda y el consumo de energía están limitados.

Los siguientes dispositivos Citrix ADC ahora admiten el grupo de cifrado del algoritmo de firma digital de curva elíptica (ECDSA):

  • Dispositivos Citrix ADC MPX y SDX con chips N3
  • Citrix ADC MPX 5900/8900/15000/26000 adaptador de red
  • Citrix ADC SDX 8900/15000 adaptador de cable
  • Dispositivos Citrix ADC VPX

Cuando se utiliza el grupo de cifrado ECDHE_ECDSA, el certificado del servidor debe contener una clave pública compatible con ECDS.

Ejemplo:

sh ssl cipher ECDSA

1)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
2)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
3)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
4)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
5)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
6)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
7)      Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
8)      Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

En la siguiente tabla se enumeran los cifrados ECDSA admitidos en los dispositivos Citrix ADC MPX y SDX con chips N3, dispositivos Citrix ADC VPX, MPX 5900/26000 y MPX/SDX 8900/15000.

Nombre de cifrado Prioridad Descripción Algoritmo de intercambio de claves Algoritmo de autenticación Algoritmo de cifrado (tamaño de clave) Algoritmo de código de autenticación de mensajes (MAC) Hexcode
TLS1-ECDHE-ECDSA-AES128-SHA 1 SSLv3 ECC-DHE ECDSA AES(128) SHA1 0xc009
TLS1-ECDHE-ECDSA-AES256-SHA 2 SSLv3 ECC-DHE ECDSA AES(256) SHA1 0xc00a
TLS1.2-ECDHE-ECDSA-AES128-SHA256 3 TLSv1.2 ECC-DHE ECDSA AES(128) SHA-256 0xc023
TLS1.2-ECDHE-ECDSA-AES256-SHA384 4 TLSv1.2 ECC-DHE ECDSA AES(256) SHA-384 0xc024
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 5 TLSv1.2 ECC-DHE ECDSA AES-GCM(128) SHA-256 0xc02b
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 6 TLSv1.2 ECC-DHE ECDSA AES-GCM(256) SHA-384 0xc02c
TLS1-ECDHE-ECDSA-RC4-SHA 7 SSLv3 ECC-DHE ECDSA RC4(128) SHA1 0xc007
TLS1-ECDHE-ECDSA-DES-CBC3-SHA 8 SSLv3 ECC-DHE ECDSA 3DES(168) SHA1 0xc008
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 9 TLSv1.2 ECC-DHE ECDSA CHACHA20/POLY1305(256) AEAD 0xcca9

Importante

Utilice el comando show ns hardware para averiguar si el dispositivo tiene chips N3.

Ejemplo:

sh ns hardware
              Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
              Manufactured on: 8/19/2013
              CPU: 2900MHZ
              Host Id: 1006665862
              Serial no: ENUK6298FT
              Encoded serial no: ENUK6298FT
     Done

Selección de certificados y cifrado ECDSA/RSA

Puede enlazar certificados de servidor ECDSA y RSA al mismo tiempo a un servidor virtual SSL. Cuando los certificados ECDSA y RSA están enlazados al servidor virtual, selecciona automáticamente el certificado de servidor adecuado para presentarlo al cliente. Si la lista de cifrado del cliente incluye cifrados RSA, pero no incluye cifrados ECDSA, el servidor virtual presenta el certificado del servidor RSA. Si ambos cifrados están presentes en la lista del cliente, el certificado de servidor presentado depende de la prioridad de cifrado establecida en el servidor virtual. Es decir, si RSA tiene una prioridad más alta, se presenta el certificado RSA. Si ECDSA tiene una prioridad más alta, el certificado ECDSA se presenta al cliente.

Autenticación de cliente mediante un certificado ECDSA o RSA

Para la autenticación de cliente, el certificado de CA vinculado al servidor virtual puede estar firmado por ECDSA o RSA. El dispositivo admite una cadena de certificados mixta. Por ejemplo, se admite la siguiente cadena de certificados.

Certificado de cliente (ECDSA) <-> Certificado de CA (RSA) <-> Certificado intermedio (RSA) <-> Certificado raíz (RSA)

Nota

Se admiten certificados ECDSA con las curvas siguientes:

  • prime256v1
  • secp384r1
  • secp521r1 (solo VPX)
  • secp224r1 (solo VPX)

Crear un par de certificados ECDSA

Puede crear un par de claves de certificado ECDSA directamente en un dispositivo Citrix ADC mediante la CLI o la GUI. Anteriormente, podía instalar y enlazar un par de claves de certificado ECC en el dispositivo, pero tenía que usar OpenSSL para crear un par de claves de certificado.

Solo se admiten curvas P_256 y P_384.

Nota

Este soporte está disponible en todas las plataformas excepto MPX 9700/1050/12500/15500.

Para crear un par de certificados ECDSA mediante la CLI:

En el símbolo del sistema, escriba:

create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]

Ejemplo:

create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done

Para crear un par de certificados ECDSA mediante la interfaz gráfica de usuario:

  1. Vaya a Administración de tráfico > SSL > Archivos SSL > Claves y haga clic en Crear clave ECDSA.
  2. Para crear una clave en formato PKCS #8, seleccione PKCS8.