ADC

Compatibilidad con los conjuntos de cifrado ECDSA

October 4, 2021

Contribución de:

Los conjuntos de cifrado ECDSA utilizan criptografía de curva elíptica (ECC). Debido a su tamaño más pequeño, resulta útil en entornos donde la potencia de procesamiento, el espacio de almacenamiento, el ancho de banda y el consumo de energía están limitados.

Cuando se utiliza el grupo de cifrado ECDHE_ECDSA, el certificado del servidor debe contener una clave pública compatible con ECDS.

En la siguiente tabla se enumeran los cifrados ECDSA admitidos en los dispositivos Citrix ADC MPX y SDX con chips N3, dispositivos Citrix ADC VPX, MPX 5900/26000 y MPX/SDX 8900/15000.

Nombre de cifrado	Prioridad	Descripción	Algoritmo de intercambio de claves	Algoritmo de autenticación	Algoritmo de cifrado (tamaño de clave)	Algoritmo de código de autenticación de mensajes (MAC)	Hexcode
TLS1-ECDHE-ECDSA-AES128-SHA	1	SSLv3	ECC-DHE	ECDSA	AES(128)	SHA1	0xc009
TLS1-ECDHE-ECDSA-AES256-SHA	2	SSLv3	ECC-DHE	ECDSA	AES(256)	SHA1	0xc00a
TLS1.2-ECDHE-ECDSA-AES128-SHA256	3	TLSv1.2	ECC-DHE	ECDSA	AES(128)	SHA-256	0xc023
TLS1.2-ECDHE-ECDSA-AES256-SHA384	4	TLSv1.2	ECC-DHE	ECDSA	AES(256)	SHA-384	0xc024
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256	5	TLSv1.2	ECC-DHE	ECDSA	AES-GCM(128)	SHA-256	0xc02b
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384	6	TLSv1.2	ECC-DHE	ECDSA	AES-GCM(256)	SHA-384	0xc02c
TLS1-ECDHE-ECDSA-RC4-SHA	7	SSLv3	ECC-DHE	ECDSA	RC4 (128)	SHA1	0xc007
TLS1-ECDHE-ECDSA-DES-CBC3-SHA	8	SSLv3	ECC-DHE	ECDSA	3DES (168)	SHA1	0xc008
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305	9	TLSv1.2	ECC-DHE	ECDSA	CHACHA20/POLY1305(256)	AEAD	0xcca9

Selección de certificados y cifrado ECDSA/RSA

Puede enlazar certificados de servidor ECDSA y RSA al mismo tiempo a un servidor virtual SSL. Cuando los certificados ECDSA y RSA están enlazados al servidor virtual, selecciona automáticamente el certificado de servidor adecuado para presentarlo al cliente. Si la lista de cifrado del cliente incluye cifrados RSA, pero no incluye cifrados ECDSA, el servidor virtual presenta el certificado del servidor RSA. Si ambos cifrados están presentes en la lista del cliente, el certificado de servidor presentado depende de la prioridad de cifrado establecida en el servidor virtual. Es decir, si RSA tiene una prioridad más alta, se presenta el certificado RSA. Si ECDSA tiene una prioridad más alta, el certificado ECDSA se presenta al cliente.

Autenticación de cliente mediante un certificado ECDSA o RSA

Para la autenticación de cliente, el certificado de CA vinculado al servidor virtual puede estar firmado por ECDSA o RSA. El dispositivo admite una cadena de certificados mixta. Por ejemplo, se admite la siguiente cadena de certificados.

Certificado de cliente (ECDSA) <-> Certificado de CA (RSA) <-> Certificado intermedio (RSA) <-> Certificado raíz (RSA)

En la tabla siguiente se muestran las curvas elípticas admitidas en los distintos dispositivos Citrix ADC con grupos de cifrado ECDSA y certificados ECDSA:

Curvas elípticas	Plataformas admitidas
prime256v1	Todas las plataformas, incluido FIPS.
secp384r1	Todas las plataformas, incluido FIPS.
secp521r1	MPX 5900, MPX/SDX 8900, MPX/SDX 15000, MPX/SDX 26000, VPX
secp224r1	MPX 5900, MPX/SDX 8900. MPX/SDX 15000, MPX/SDX 26000, VPX

Crear un par de certificados ECDSA

Puede crear un par de claves de certificado ECDSA directamente en un dispositivo Citrix ADC mediante la CLI o la GUI. Anteriormente, podía instalar y enlazar un par de claves de certificado ECC en el dispositivo, pero tenía que usar OpenSSL para crear un par de claves de certificado.

Solo se admiten curvas P_256 y P_384.

Nota

Este soporte está disponible en todas las plataformas excepto MPX 9700/1050/12500/15500.

Para crear un par de certificados ECDSA mediante la CLI:

En el símbolo del sistema, escriba:

create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]
<!--NeedCopy-->

Ejemplo:

create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done
<!--NeedCopy-->

Para crear un par de certificados ECDSA mediante la interfaz gráfica de usuario:

Vaya a Administración del tráfico > SSL > Archivos SSL > Claves y haga clic en Crear clave ECDSA.
Para crear una clave en formato PKCS #8, seleccione PKCS8.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

Compatibilidad con los conjuntos de cifrado ECDSA

October 4, 2021

Contribución de:

October 4, 2021

Contribución de:

En este artículo

Selección de certificados y cifrado ECDSA/RSA
Autenticación de cliente mediante un certificado ECDSA o RSA
Crear un par de certificados ECDSA