Soporte para el protocolo DTLS

Notas:

  • El protocolo DTLSV1.0 es compatible con los dispositivos FIPS de Citrix ADC MPX/SDX (basados en N2 y N3), VPX y MPX 14000. No es compatible con HSM externos.

  • La compatibilidad con los dispositivos basados en Intel Coleto se agrega en la versión 12.1-50.x y versiones posteriores. Los siguientes dispositivos se suministran con chips Intel Coleto:

    • MPX 5901/5905/5910
    • MPX 8905/8910/8920/8930
    • MPX/SDX 26100-100G/26160-100G/26100-200G
    • MPX/SDX 15020-50G/15030-50G/15040-50G/15060-50G/15080-50G/15100-50G/15120-50G
    • MPX/SDX 15020/15030/15040/15060/15080/15100/15120
  • El protocolo DTLSV1.2 solo se admite en el front-end de los dispositivos Citrix ADC VPX.
  • No se admiten grupos de servicio de tipo DTLS.

Los protocolos SSL y TLS se han utilizado tradicionalmente para proteger el tráfico de streaming. Ambos protocolos se basan en TCP, que es lento. Además, TLS no puede gestionar paquetes perdidos o reordenados.

UDP es el protocolo preferido para aplicaciones de audio y vídeo, como Lync, Skype, iTunes, YouTube, vídeos de formación y flash. Sin embargo, UDP no es seguro ni confiable. El protocolo DTLS está diseñado para proteger los datos a través de UDP y se utiliza para aplicaciones como streaming multimedia, VOIP y juegos en línea para la comunicación. En DTLS, a cada mensaje de enlace se le asigna un número de secuencia específico dentro de ese protocolo de enlace. Cuando un par recibe un mensaje de enlace, puede determinar rápidamente si ese mensaje es el siguiente esperado. Si lo es, el par procesa el mensaje. De lo contrario, el mensaje se pone en cola para su manejo después de que se hayan recibido todos los mensajes anteriores.

Cree un servidor virtual DTLS y un servicio de tipo UDP. De forma predeterminada, un perfil DTLS (nsdtls_default_profile) está enlazado al servidor virtual. Opcionalmente, puede crear y enlazar un perfil DTLS definido por el usuario al servidor virtual.

Nota: Los cifrados RC4 no son compatibles con un servidor virtual DTLS.

Configuración de DTLS

Puede utilizar la línea de comandos (CLI) o la utilidad de configuración (GUI) para configurar DTLS en el dispositivo ADC.

Nota: Desde la versión 13.0 compilación 47.x, se admite el protocolo DTLS 1.2 en el front-end de un dispositivo Citrix ADC VPX. Al configurar un servidor virtual DTLSv1.2, especifique DTLS12. El valor predeterminado es DTLS1.

En el símbolo del sistema, escriba:

set ssl vserver DTLS [-dtls1 ( ENABLED | DISABLED )] [-dtls12 ( ENABLED | DISABLED )]

Crear una configuración DTLS mediante la CLI

En el símbolo del sistema, escriba:

add lb vserver <vserver_name> DTLS <IPAddress>  <port>
add service  <service_name>  <IPAddress> UDP 443
bind lb vserver  <vserver_name>  <udp_service_name>

Los siguientes pasos son opcionales:

add dtlsProfile dtls1 -maxretryTime <positive_integer>
set ssl vserver <vserver_name> -dtlsProfileName <dtls_profile_name>

Cree una configuración DTLS mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Cree un servidor virtual de tipo DTLS y vincule un servicio UDP al servidor virtual.
  3. Un perfil DTLS predeterminado está enlazado al servidor virtual DTLS. Para enlazar un perfil diferente, en Parámetros SSL, seleccione un perfil DTLS diferente. Para crear un perfil, haga clic en el signo más (+) situado junto a Perfil de DTLS.

Soporte para SNI en un servidor virtual DTLS

Para obtener información sobre SNI, consulte Configurar un servidor virtual SNI para el alojamiento seguro de varios sitios.

Configurar SNI en un servidor virtual DTLS mediante la CLI

En el símbolo del sistema, escriba:

set dtls vserver <vServerName> -SNIEnable ENABLED
bind dtls vserver <vServerName> -certkeyName <string> -SNICert
show dtls vserver <vServerName>

Ejemplo:

set ssl vserver v1 -sniEnable ENABLED
bind ssl vserver  v1 -certkeyName san2 -sniCert
bind ssl vserver  v1 -certkeyName san13 –sniCert
bind ssl vserver  v1 -certkeyName san17 –sniCert
sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED
Ephemeral RSA: ENABLED
Refresh Count: 0
Session Reuse: ENABLED
Timeout: 1800 seconds
Cipher Redirect: DISABLED

ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: ENABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
DTLSv1: ENABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1

DTLS profile name: nsdtls_default_profile

ECC Curve: P_256, P_384, P_224, P_521

1) CertKey Name: ca
CA Certificate  OCSPCheck: OptionalCA_Name Sent
2) CertKey Name: san2 Server Certificate for SNI
3) CertKey Name: san17 Server Certificate for SNI
4) CertKey Name: san13 Server Certificate for SNI


1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done

Configurar SNI en un servidor virtual DTLS mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Abra un servidor virtual DTLS y, en Certificados, haga clic en Certificado de servidor.
  3. Agregue un certificado o seleccione un certificado de la lista y seleccione Certificado de servidor para SNI.
  4. En Configuración avanzada, haga clic en Parámetros SSL.
  5. Seleccione SNI Enable.

Funciones no admitidas por un servidor virtual DTLS

Las siguientes opciones no se pueden habilitar en un servidor virtual DTLS:

  • SSLv2
  • SSLv3
  • TLSv1
  • TLSv1.1
  • TLSv1.2
  • Desencadenador de cifrado de empuje
  • SSLv2Redirect
  • SSLv2URL

Parámetros no utilizados por un servidor virtual DTLS

Un servidor virtual DTLS ignora los siguientes parámetros SSL, incluso si están configurados:

  • Recuento de paquetes de desencadenador de cifrado
  • Tiempo de espera del desencadenador de cifrado PUSH
  • Tamaño cuántico SSL
  • Tiempo de espera del desencadenador de cifrado
  • Formato de inserción del nombre del sujeto/emisor

Configurar la renegociación en un servicio DTLS

La renegociación no segura es compatible con un servicio DTLS. Puede utilizar la CLI o la GUI para configurar esta configuración.

Configurar la renegociación en un servicio DTLS mediante la CLI

En el símbolo del sistema, escriba:

set ssl parameter -denysslreneg NONSECURE

Ejemplo:

set ssl parameter -denysslreneg NONSECURE
sh ssl parameter
Advanced SSL Parameters
-----------------------
SSL quantum size                                      : 8 KB
Max CRL memory size                                   : 256 MB
Strict CA checks                                      : NO
Encryption trigger timeout                            : 100 ms
Send Close-Notify                                     : YES
Encryption trigger packet count                       : 45
Deny SSL Renegotiation                                : NONSECURE
Subject/Issuer Name Insertion Format                  : Unicode
OCSP cache size                                       : 10 MB
Push flag                                             : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout                       : 1 ms
Crypto Device Disable Limit                           : 0
Global undef action for control policies              : CLIENTAUTH
Global undef action for data policies                 : NOOP
Default profile                                       : DISABLED
SSL Insert Space in Certificate Header                : YES
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services      : NO
Software Crypto acceleration CPU Threshold            : 0
Hybrid FIPS Mode                                      : DISABLED
Signature and Hash Algorithms supported by TLS1.2     : ALL
SSL Interception Error Learning and Caching           : DISABLED
SSL Interception Maximum Error Cache Memory           : 0 Bytes
Done

Configurar la renegociación en un servicio DTLS mediante la interfaz gráfica de usuario

  1. Vaya a Gestión del Tráfico > Equilibrio de Carga > Servicios.
  2. Seleccione un servicio DTLS y haga clic en Modificar.
  3. Vaya a SSL > Configuración avanzada.
  4. Seleccione Denegar renegociación SSL.

Funciones no admitidas por un servicio DTLS

Las siguientes opciones no se pueden habilitar en un servicio DTLS:

  • SSLv2
  • SSLv3
  • TLSv1
  • TLSv1.1
  • TLSv1.2
  • Desencadenador de cifrado de empuje
  • SSLv2Redirect
  • SSLv2URL
  • SNI
  • renegociación segura

Parámetros no utilizados por un servicio DTLS

Un servicio DTLS ignora los siguientes parámetros SSL, incluso si están configurados:

  • Recuento de paquetes de desencadenador de cifrado
  • Tiempo de espera del desencadenador de cifrado PUSH
  • Tamaño cuántico SSL
  • Tiempo de espera del desencadenador de cifrado
  • Formato de inserción del nombre del sujeto/emisor

Nota:

El protocolo de enlace de reutilización de sesión SSL falla en un servicio DTLS porque actualmente no se admite la reutilización de sesión en los servicios DTLS.

Solución alternativa: inhabilite manualmente la reutilización de sesiones en un servicio DTLS. En la CLI, escriba:

set ssl service <dtls-service-name> -sessReuse DISABLED

Perfil DTLS

Un perfil DTLS con la configuración predeterminada se vincula automáticamente a un servidor virtual DTLS. Sin embargo, puede crear un perfil DTLS con ajustes específicos que se adapten a sus necesidades.

Utilice un perfil DTLS con un servidor virtual DTLS o un servidor virtual VPN DTLS. No puede utilizar un perfil SSL con un servidor virtual DTLS.

Crear un perfil DTLS mediante la CLI

add ssl dtlsProfile <name>

show ssl dtlsProfile<name>

Ejemplo:

add dtlsProfile dtls1 -helloVerifyRequest ENABLED -maxretryTime 4

Done

show dtlsProfile dtls1

    1)      Name: dtls1
            PMTU Discovery: DISABLED
            Max Record Size: 1460 bytes
            Max Retry Time: 4 sec
            Hello Verify Request: ENABLED
            Terminate Session: DISABLED
            Max Packet Count: 120 bytes
     Done

Crear un perfil DTLS mediante la interfaz gráfica de usuario

Vaya a Sistema > Perfiles > Perfiles DTLS y configure un nuevo perfil.

Ejemplo para una configuración DTLS end-to-end

enable ns feature SSL LB

add server s1 198.51.100.2

en ns mode usnip

add service svc_dtls s1 DTLS 443

add lb vserver v1 DTLS 10.102.59.244 443

bind ssl vserver v1 -ciphername ALL

add ssl certkey servercert -cert servercert_aia_valid.pem -key serverkey_aia.pem

bind ssl vserver v1 -certkeyname servercert

bind lb vserver lb1 svc_dtls

sh lb vserver v1

                    v1 (10.102.59.244:4433) - DTLS     Type: ADDRESS
                    State: UP
                    Last state change was at Fri Apr 27 07:00:27 2018
                    Time since last state change: 0 days, 00:00:04.810
                    Effective State: UP
                    Client Idle Timeout: 120 sec
                    Down state flush: ENABLED
                    Disable Primary Vserver On Down : DISABLED
                    Appflow logging: ENABLED
                    No. of Bound Services :  1 (Total) 0 (Active)
                    Configured Method: LEASTCONNECTION
                    Current Method: Round Robin, Reason: A new service is bound         BackupMethod: ROUNDROBIN
                    Mode: IP
                    Persistence: NONE
                    L2Conn: OFF
                    Skip Persistency: None
                    Listen Policy: NONE
                    IcmpResponse: PASSIVE
                    RHIstate: PASSIVE
                    New Service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0
                    Mac mode Retain Vlan: DISABLED
                    DBS_LB: DISABLED
                    Process Local: DISABLED
                    Traffic Domain: 0
                    TROFS Persistence honored: ENABLED
                    Retain Connections on Cluster: NO

    1) svc_dtls (10.102.59.190: 4433) - DTLS State: UP  Weight: 1
Done


sh ssl vserver v1

                    Advanced SSL configuration for VServer v1:
                    DH: DISABLED
                    DH Private-Key Exponent Size Limit: DISABLED        Ephemeral RSA: ENABLED                               Refresh Count: 0
                    Session Reuse: ENABLED                 Timeout: 1800 seconds
                    Cipher Redirect: DISABLED
                    ClearText Port: 0
                    Client Auth: DISABLED
                    SSL Redirect: DISABLED
                    Non FIPS Ciphers: DISABLED
                    SNI: DISABLED
                    OCSP Stapling: DISABLED
                    HSTS: DISABLED
                    HSTS IncludeSubDomains: NO
                    HSTS Max-Age: 0
                    DTLSv1: ENABLED
                    Send Close-Notify: YES
                    Strict Sig-Digest Check: DISABLED
                    Zero RTT Early Data: DISABLED
                    DHE Key Exchange With PSK: NO
                    Tickets Per Authentication Context: 1
                    DTLS profile name: nsdtls_default_profile

                    ECC Curve: P_256, P_384, P_224, P_521

    1)            CertKey Name: servercert               Server Certificate

    1)            Cipher Name: DEFAULT
                    Description: Default cipher list with encryption strength >= 128bit

    2)            Cipher Name: ALL
                    Description: All ciphers supported by NetScaler, excluding NULL ciphers
     Done

sh service svc_dtls

                    svc_dtls (10.102.59.190:4433) - DTLS
                    State: UP
                    Last state change was at Fri Apr 27 07:00:26 2018
                    Time since last state change: 0 days, 00:00:22.790
                    Server Name: s1
                    Server ID : None                 Monitor Threshold : 0
                    Max Conn: 0        Max Req: 0           Max Bandwidth: 0 kbits
                    Use Source IP: NO
                    Client Keepalive(CKA): NO
                    Access Down Service: NO
                    TCP Buffering(TCPB): NO
                    HTTP Compression(CMP): NO
                    Idle timeout: Client: 120 sec           Server: 120 sec
                    Client IP: DISABLED
                    Cacheable: NO
                    SC: OFF
                    SP: OFF
                    Down state flush: ENABLED
                    Monitor Connection Close : NONE
                    Appflow logging: ENABLED
                    Process Local: DISABLED
                    Traffic Domain: 0

    1)            Monitor Name: ping-default
                                    State: UP               Weight: 1              Passive: 0
                                   Probes: 5              Failed [Total: 0 Current: 0]
                                    Last response: Success - ICMP echo reply received.
                       Response Time: 2.77 millisec
     Done

sh ssl service svc_dtls

                    Advanced SSL configuration for Back-end SSL Service svc_dtls:
                    DH: DISABLED
                    DH Private-Key Exponent Size Limit: DISABLED        Ephemeral RSA: DISABLED
                    Session Reuse: ENABLED                 Timeout: 1800 seconds
                    Cipher Redirect: DISABLED
                    ClearText Port: 0
                    Server Auth: DISABLED
                    SSL Redirect: DISABLED
                    Non FIPS Ciphers: DISABLED
                    SNI: DISABLED
                    OCSP Stapling: DISABLED
                    DTLSv1: ENABLED
                    Send Close-Notify: YES
                    Strict Sig-Digest Check: DISABLED
                    Zero RTT Early Data: ???
                    DHE Key Exchange With PSK: ???
                    Tickets Per Authentication Context: ???
                    DTLS profile name: nsdtls_default_profile
                    ECC Curve: P_256, P_384, P_224, P_521
    1)            Cipher Name: DEFAULT_BACKEND
                    Description: Default cipher list for Backend SSL session
     Done


sh dtlsProfile nsdtls_default_profile

    1)            Name: nsdtls_default_profile
                    PMTU Discovery: DISABLED
                    Max Record Size: 1459 bytes
                    Max Retry Time: 3 sec
                    Hello Verify Request: DISABLED
                    Terminate Session: DISABLED
                    Max Packet Count: 120 bytes
     Done

Compatibilidad con cifrado DTLS

De forma predeterminada, un grupo de cifrado DTLS está enlazado al crear un servidor virtual o servicio DTLS. DEFAULT_DTLS contiene los cifrados que admite una entidad DTLS front-end. Este grupo está enlazado de forma predeterminada al crear un servidor virtual DTLS. DEFAULT_DTLS_BACKEND contiene los cifrados compatibles con una entidad DTLS de back-end. Este grupo está vinculado por defecto a un servicio back-end DTLS. DTLS_FIPS contiene los cifrados admitidos en la plataforma FIPS Citrix ADC. Este grupo está enlazado de forma predeterminada a un servidor virtual DTLS o servicio creado en una plataforma FIPS.

Compatibilidad con cifrado DTLS en dispositivos Citrix ADC VPX, MPX/SDX (basados en N2 y N3)

Cómo leer las tablas:

A menos que se especifique un número de compilación, se admite un conjunto de cifrado para todas las compilaciones de una versión.

Ejemplo:

  • 10.5, 11.0, 11.1, 12.0, 12.1, 13.0: Todas las versiones de 10.5, 11.0, 11.1, 12.0, 12.1, 13.0.
  • -NA-: No se aplica.

Compatibilidad con cifrado DTLS en dispositivos Citrix ADC VPX, MPX/SDX (basados en N2 y N3)

Nombre de conjunto de cifrado Hex Code Nombre del conjunto de cifrado Wireshark Compilaciones admitidas (front-end) Compilaciones admitidas (back-end)
TLS1-AES-256-CBC-SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0, 12.1, 13.0
TLS1-AES-128-CBC-SHA 0x002f TLS_RSA_WITH_AES_128_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0, 12.1, 13.0
SSL3-DES-CBC-SHA 0x0009 TLS_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 -N/A-
SSL3-DES-CBC3-SHA 0x000a TLS_RSA_WITH_3DES_EDE_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0, 12.1, 13.0
SSL3-EDH-RSA-DES-CBC3-SHA 0x0016 TLS_DHE_RSA_WITH_3DES_EDE_CBC_S 11.0, 11.1, 12.0, 12.1, 13.0 -N/A-
SSL3-EDH-RSA-DES-CBC-SHA 0x0015 TLS_DHE_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 -N/A-
TLS1-ECDHE-RSA-AES256-SHA 0xc014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 12.1, 13.0 12.1, 13.0
TLS1-ECDHE-RSA-AES128-SHA 0xc013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 12.1, 13.0 12.1, 13.0
TLS1-ECDHE-RSA-DES-CBC3-SHA 0xc012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 12.1, 13.0 -N/A-
TLS1-DHE-RSA-AES-128-CBC-SHA 0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 12.1, 13.0 12.1, 13.0
TLS1-DHE-RSA-AES-256-CBC-SHA 0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA 12.1, 13.0 12.1, 13.0

Para ver la lista de cifrados predeterminados admitidos en el front-end, en el símbolo del sistema, escriba:

show ssl cipher DEFAULT_DTLS
1)    Cipher Name: TLS1-AES-256-CBC-SHA    Priority : 1
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0035
2)    Cipher Name: TLS1-AES-128-CBC-SHA    Priority : 2
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x002f
3)    Cipher Name: TLS1-ECDHE-RSA-AES256-SHA    Priority : 3
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
4)    Cipher Name: TLS1-ECDHE-RSA-AES128-SHA    Priority : 4
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
5)    Cipher Name: TLS1-DHE-RSA-AES-256-CBC-SHA    Priority : 5
    Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0039
6)    Cipher Name: TLS1-DHE-RSA-AES-128-CBC-SHA    Priority : 6
    Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x0033
7)    Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 7
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
8)    Cipher Name: SSL3-DES-CBC3-SHA    Priority : 8
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0x000a

Para ver la lista de cifrados predeterminados admitidos en el back-end, en el símbolo del sistema, escriba:

show ssl cipher DEFAULT_DTLS_BACKEND
1)  Cipher Name: TLS1-AES-256-CBC-SHA    Priority : 1
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0035
2)    Cipher Name: TLS1-AES-128-CBC-SHA    Priority : 2
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x002f
3)    Cipher Name: TLS1-ECDHE-RSA-AES256-SHA    Priority : 3
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
4)    Cipher Name: TLS1-ECDHE-RSA-AES128-SHA    Priority : 4
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
5)    Cipher Name: TLS1-DHE-RSA-AES-256-CBC-SHA    Priority : 5
    Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0039
6)    Cipher Name: TLS1-DHE-RSA-AES-128-CBC-SHA    Priority : 6
    Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x0033
7)    Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 7
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
8)    Cipher Name: SSL3-DES-CBC3-SHA    Priority : 8
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0x000a

Compatibilidad con cifrado DTLS en la plataforma Citrix ADC MPX 14000 FIPS

Nota: Enlightened Data Support (EDT) es compatible con la plataforma FIPS si se cumplen todas las condiciones siguientes:

  • El valor MSS UDT establecido en StoreFront es 900.
  • La versión del cliente de Windows es 4.12 o posterior.
  • La versión de VDA habilitada con DTLS es 7.17 o posterior.
  • La versión VDA que no es DTLS es 7.15 LTSR CU3 o posterior.

Cómo leer las tablas:

A menos que se especifique un número de compilación, se admite un conjunto de cifrado para todas las compilaciones de una versión.

Ejemplo:

  • 10.5, 11.0, 11.1, 12.0, 12.1, 13.0: Todas las versiones de 10.5, 11.0, 11.1, 12.0, 12.1, 13.0.
  • -NA-: No se aplica.
Nombre de conjunto de cifrado Hex Code Nombre del conjunto de cifrado Wireshark Compilaciones admitidas (front-end) Compilaciones admitidas (back-end)
TLS1-AES-256-CBC-SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 12.0, 12.1–49.x, 13.0
TLS1-AES-128-CBC-SHA 0x002f TLS_RSA_WITH_AES_128_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 12.0, 12.1–49.x, 13.0
SSL3-DES-CBC-SHA 0x0009 TLS_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 -N/A-
SSL3-DES-CBC3-SHA 0x000a TLS_RSA_WITH_3DES_EDE_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 12.0, 12.1–49.x, 13.0
SSL3-EDH-RSA-DES-CBC3-SHA 0x0016 TLS_DHE_RSA_WITH_3DES_EDE_CBC_S 11.0, 11.1, 12.0, 12.1–49.x, 13.0 -N/A-
SSL3-EDH-RSA-DES-CBC-SHA 0x0015 TLS_DHE_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 -N/A-
TLS1-ECDHE-RSA-AES256-SHA 0xc014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 12.1–49.x, 13.0 12.1–49.x, 13.0
TLS1-ECDHE-RSA-AES128-SHA 0xc013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 12.1–49.x, 13.0 12.1–49.x, 13.0
TLS1-ECDHE-RSA-DES-CBC3-SHA 0xc012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 12.1–49.x, 13.0 -N/A-
TLS1-DHE-RSA-AES-128-CBC-SHA 0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 12.1–49.x, 13.0 12.1–49.x, 13.0
TLS1-DHE-RSA-AES-256-CBC-SHA 0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA 12.1–49.x, 13.0 12.1–49.x, 13.0

Para ver la lista de cifrados predeterminados admitidos en un dispositivo Citrix ADC FIPS, en el símbolo del sistema, escriba:

show ssl cipher DTLS_FIPS
1)    Cipher Name: TLS1-AES-256-CBC-SHA    Priority : 1
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0035
2)    Cipher Name: TLS1-AES-128-CBC-SHA    Priority : 2
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x002f
3)    Cipher Name: TLS1-ECDHE-RSA-AES256-SHA    Priority : 3
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
4)    Cipher Name: TLS1-ECDHE-RSA-AES128-SHA    Priority : 4
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
5)    Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA  Priority : 5
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
6)    Cipher Name: SSL3-DES-CBC3-SHA    Priority : 6
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0x000a

Compatibilidad con cifrado DTLS para lograr el secreto directo perfecto (PFS)

  • SSL3-EDH-RSA-DES-CBC3-SHA (solo front-end)
  • SSL3-EDH-RSA-DES-CBC-SHA (solo front-end)
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1-ECDHE-RSA-DES-CBC3-SHA (solo front-end)
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA

Compatibilidad con cifrado DTLSV1.2 en los dispositivos VPX front-end

En la siguiente tabla se enumeran los cifrados adicionales compatibles con el protocolo DTLSV1.2.

Nombre de conjunto de cifrado Hex Code Nombre del conjunto de cifrado Wireshark Compilaciones admitidas (front-end VPX) Compilaciones admitidas (back-end)
TLS1.2-AES256-GCM-SHA384 0x009d TLS_RSA_WITH_AES_256_GCM_SHA384 13.0-47.x NA
TLS1.2-AES128-GCM-SHA256 0x009c TLS_RSA_WITH_AES_128_GCM_SHA256 13.0-47.x NA
TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 0xc030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 13.0-47.x NA
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 0xc02f TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 13.0-47.x NA
TLS1.2-DHE-RSA-AES256-GCM-SHA384 0x009f TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 13.0-47.x NA
TLS1.2-DHE-RSA-AES128-GCM-SHA256 0x009e TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 13.0-47.x NA
TLS1.2-AES-256-SHA256 0x003d TLS_RSA_WITH_AES_256_CBC_SHA256 13.0-47.x NA
TLS1.2-AES-128-SHA256 0x003c TLS_RSA_WITH_AES_128_CBC_SHA256 13.0-47.x NA
TLS1.2-ECDHE-RSA-AES-256-SHA384 0xc028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 13.0-47.x NA
TLS1.2-ECDHE-RSA-AES-128-SHA256 0xc027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 13.0-47.x NA
TLS1.2-DHE-RSA-AES-256-SHA256 0x006b TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 13.0-47.x NA
TLS1.2-DHE-RSA-AES-128-SHA256 0x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 13.0-47.x NA