ADC

Configurar grupos de cifrado definidos por el usuario en el dispositivo ADC

Un grupo de cifrado es un conjunto de conjuntos de cifrado que se enlaza a un servidor virtual SSL, un servicio o un grupo de servicios en el dispositivo NetScaler. Un conjunto de cifrado comprende un protocolo, un algoritmo de intercambio de claves (Kx), un algoritmo de autenticación (Au), un algoritmo de cifrado (Enc) y un algoritmo de código de autenticación de mensajes (Mac). El dispositivo se suministra con un conjunto predefinido de grupos de cifrado. Al crear un servicio SSL o un grupo de servicios SSL, el grupo de cifrado ALL se enlaza automáticamente a él. Sin embargo, al crear un servidor virtual SSL o un servicio SSL transparente, el grupo de cifrado DEFAULT se enlaza automáticamente a él. Además, puede crear un grupo de cifrado definido por el usuario y enlazarlo a un servidor virtual SSL, un servicio o un grupo de servicios.

Nota: Si su dispositivo MPX no tiene ninguna licencia, solo el cifrado EXPORT está enlazado a su servidor virtual SSL, servicio o grupo de servicios.

Para crear un grupo de cifrado definido por el usuario, primero debe crear un grupo de cifrado y, a continuación, vincular cifrados o grupos de cifrado a este grupo. Si especifica un alias de cifrado o un grupo de cifrado, todos los cifrados del alias o grupo de cifrado se añaden al grupo de cifrado definido por el usuario. También puede añadir cifrados individuales (conjuntos de cifrado) a un grupo definido por el usuario. Sin embargo, no puede modificar un grupo de cifrado predefinido. Antes de eliminar un grupo de cifrado, desvincule todos los conjuntos de cifrado del grupo.

Al vincular un grupo de cifrado a un servidor virtual, servicio o grupo de servicios SSL, se anexan los cifrados a los cifrados existentes que están enlazados a la entidad. Para vincular un grupo de cifrado específico a la entidad, primero debe desvincular los cifrados o el grupo de cifrados que está enlazado a la entidad. A continuación, vincule el grupo de cifrado específico a la entidad. Por ejemplo, para vincular solo el grupo de cifrado AES a un servicio SSL, realice los siguientes pasos:

  1. Desvincule el grupo de cifrado predeterminado ALL que está enlazado de forma predeterminada al servicio cuando se crea el servicio.

    unbind ssl service <service name> -cipherName ALL
    <!--NeedCopy-->
    
  2. Enlazar el grupo de cifrado AES al servicio

    bind ssl service <Service name> -cipherName AE
    <!--NeedCopy-->
    

    Si desea vincular el grupo de cifrado DES además de AES, en la línea de comandos, escriba:

    bind ssl service <service name> -cipherName DES
    <!--NeedCopy-->
    

Nota: El dispositivo virtual NetScaler gratuito solo admite el grupo de cifrado DH.

Configure un grupo de cifrado definido por el usuario mediante la CLI

En la línea de comandos, escriba los siguientes comandos para añadir un grupo de cifrados o para añadir cifrados a un grupo creado anteriormente y compruebe la configuración:

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <cipherGroup/cipherName>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->

Ejemplo:

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
<!--NeedCopy-->

Separa los cifrados de un grupo de cifrados mediante la CLI

En la línea de comandos, escriba los siguientes comandos para desvincular los cifrados de un grupo de cifrados definido por el usuario y comprobar la configuración:

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>
<!--NeedCopy-->

Eliminar un grupo de cifrado mediante la CLI

Nota: No puede eliminar un grupo de cifrado integrado. Antes de eliminar un grupo de cifrado definido por el usuario, asegúrese de que el grupo de cifrado esté vacío.

En la línea de comandos, escriba los siguientes comandos para eliminar un grupo de cifrado definido por el usuario y comprobar la configuración:

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

<!--NeedCopy-->

Ejemplo:

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
<!--NeedCopy-->

Configure un grupo de cifrado definido por el usuario mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > Grupos de cifrado.
  2. Haga clic en Agregar.
  3. Especifique un nombre para el grupo de cifrado.
  4. Haga clic en Agregar para ver los cifrados y los grupos de cifrados disponibles.
  5. Seleccione un cifrado o un grupo de cifrados y haga clic en el botón de flecha para añadirlos.
  6. Haga clic en Create.
  7. Haga clic en Cerrar.

Para vincular un grupo de cifrado a un servidor virtual, servicio o grupo de servicios SSL mediante la CLI:

En la línea de comandos, escriba una de las siguientes opciones:

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

<!--NeedCopy-->

Ejemplo:

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done
<!--NeedCopy-->

Para vincular un grupo de cifrado a un servidor virtual, servicio o grupo de servicios SSL mediante la interfaz gráficade usuario:

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.

    Para el servicio, sustituya los servidores virtuales por servicios. Para los grupos de servicios, sustituya los servidores virtuales por grupos de servicios.

    Abra el servidor virtual, el servicio o el grupo de servicios.

  2. En Configuración avanzada, selecciona Cifrados SSL.

  3. Enlazar un grupo de cifrado al servidor virtual, servicio o grupo de servicios.

Enlazar cifrados individuales a un servidor o servicio virtual SSL

También puede vincular cifrados individuales, en lugar de un grupo de cifrados, a un servidor o servicio virtual.

Para vincular un cifrado mediante la CLI: En la línea de comandos, escriba:

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
<!--NeedCopy-->

Ejemplo:

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
<!--NeedCopy-->

Para vincular un cifrado a un servidor virtual SSL mediante la interfaz gráfica de usuario:

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Seleccione un servidor virtual SSL y haga clic en Editar.
  3. En Configuración avanzada, selecciona Cifrados SSL.
  4. En Cipher Suites, selecciona Agregar.
  5. Busque el cifrado en la lista disponible y haga clic en la flecha para agregarlo a la lista configurada.
  6. Haga clic en Aceptar.
  7. Haga clic en Listo.

Para enlazar un cifrado a un servicio SSL, repita los pasos anteriores después de reemplazar el servidor virtual con servicio.

Configurar grupos de cifrado definidos por el usuario en el dispositivo ADC