ADC

Compatibilidad con los conjuntos de cifrado ECDSA

Los conjuntos de cifrado ECDSA utilizan criptografía de curva elíptica (ECC). Debido a su tamaño más pequeño, resulta útil en entornos donde la potencia de procesamiento, el espacio de almacenamiento, el ancho de banda y el consumo de energía están limitados.

Cuando se utiliza el grupo de cifrado ECDHE_ECDSA, el certificado del servidor debe contener una clave pública compatible con ECDS.

En la siguiente tabla se enumeran los cifrados ECDSA admitidos en los dispositivos NetScaler MPX y SDX con chips N3, dispositivos NetScaler VPX, MPX 5900/26000 y MPX/SDX 8900/15000.

Nombre de cifrado Prioridad Descripción Algoritmo de intercambio de claves Algoritmo de autenticación Algoritmo de cifrado (tamaño de clave) Algoritmo de código de autentificación de mensajes Código hexadecimal
TLS1-ECDHE-ECDSA-AES128-SHA 1 SSLv3 ECC-DHE ECDSA AES(128) SHA1 0xc009
TLS1-ECDHE-ECDSA-AES256-SHA 2 SSLv3 ECC-DHE ECDSA AES(256) SHA1 0xc00a
TLS1.2-ECDHE-ECDSA-AES128-SHA256 3 TLSv1.2 ECC-DHE ECDSA AES(128) SHA-256 0xc023
TLS1.2-ECDHE-ECDSA-AES256-SHA384 4 TLSv1.2 ECC-DHE ECDSA AES(256) SHA-384 0xc024
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 5 TLSv1.2 ECC-DHE ECDSA AES-GCM(128) SHA-256 0xc02b
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 6 TLSv1.2 ECC-DHE ECDSA AES-GCM(256) SHA-384 0xc02c
TLS1-ECDHE-ECDSA-RC4-SHA 7 SSLv3 ECC-DHE ECDSA RC4(128) SHA1 0xc007
TLS1-ECDHE-ECDSA-DES-CBC3-SHA 8 SSLv3 ECC-DHE ECDSA 3DES(168) SHA1 0xc008
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 9 TLSv1.2 ECC-DHE ECDSA CHACHA20/POLY1305(256) POR DELANTE 0xcca9

Selección de certificados y cifrado ECDSA/RSA

Puede vincular los certificados de servidor ECDSA y RSA al mismo tiempo a un servidor virtual SSL. Cuando los certificados ECDSA y RSA están enlazados al servidor virtual, éste selecciona automáticamente el certificado de servidor adecuado para presentarlo al cliente. Si la lista de cifrados del cliente incluye cifrados RSA, pero no incluye cifrados ECDSA, el servidor virtual presenta el certificado del servidor RSA. Si ambos cifrados están presentes en la lista del cliente, el certificado de servidor presentado depende de la prioridad de cifrado establecida en el servidor virtual. Es decir, si RSA tiene una prioridad más alta, se presenta el certificado RSA. Si el ECDSA tiene una prioridad más alta, el certificado ECDSA se presenta al cliente.

Autenticación de clientes mediante un certificado ECDSA o RSA

Para la autenticación del cliente, el certificado de CA enlazado al servidor virtual puede estar firmado por ECDSA o RSA. El dispositivo admite una cadena de certificados mixta. Por ejemplo, se admite la siguiente cadena de certificados.

Certificado de cliente (ECDSA) <-> Certificado de CA (RSA) <-> Certificado intermedio (RSA) <-> Certificado raíz (RSA)

En la tabla siguiente se muestran las curvas elípticas admitidas en los distintos dispositivos NetScaler con grupos de cifrado ECDSA y certificados ECDSA:

Curvas elípticas Plataformas admitidas
prime256v1 Todas las plataformas, incluido FIPS.
secp384r1 Todas las plataformas, incluido FIPS.
secp521r1 MPX 5900, MPX/SDX 8900, MPX/SDX 15000, MPX/SDX 26000, VPX
secp224r1 MPX 5900, MPX/SDX 8900. MPX/SDX 15000, MPX/SDX 26000, VPX

Crear un par de certificados ECDSA

Puede crear un par de claves de certificado ECDSA directamente en un dispositivo NetScaler mediante la CLI o la GUI. Anteriormente, podía instalar y vincular un par de claves de certificado ECC en el dispositivo, pero tenía que usar OpenSSL para crear un par de claves de certificado.

Solo se admiten las curvas P_256 y P_384.

Nota

Este soporte está disponible en todas las plataformas excepto en MPX 9700/1050/12500/15500.

Para crear un par de claves de certificado ECDSA mediante la CLI:

En la línea de comandos, escriba:

create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]
<!--NeedCopy-->

Ejemplo:

create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done
<!--NeedCopy-->

Para crear un par de claves de certificado ECDSA mediante la interfaz gráfica de usuario:

  1. Vaya a Administración del tráfico > SSL > Archivos SSL > Claves y haga clic en Crear clave ECDSA.
  2. Para crear una clave en formato PKCS #8, seleccione PKCS8.
Compatibilidad con los conjuntos de cifrado ECDSA