Citrix ADC

Cifrados disponibles en los dispositivos Citrix ADC

El dispositivo Citrix ADC incluye un conjunto predefinido de grupos de cifrado. Para utilizar cifrados que no forman parte del grupo de cifrado DEFAULT, debe vincularlos explícitamente a un servidor virtual SSL. También puede crear un grupo de cifrado definido por el usuario para enlazar al servidor virtual SSL. Para obtener más información sobre la creación de un grupo de cifrado definido por el usuario, consulte Configurar grupos de cifrado definidos por el usuario en el dispositivo ADC.

Notas

El cifrado RC4 no se incluye en el grupo de cifrado predeterminado del dispositivo Citrix ADC. Sin embargo, es compatible con el software en los dispositivos basados en N3. El cifrado RC4, incluido el protocolo de enlace, se realiza en software.

Citrix recomienda no utilizar este cifrado porque RFC 7465 lo considera inseguro y obsoleto.

Utilice el comando ‘show hardware’ para identificar si el dispositivo tiene chips N3.

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT
<!--NeedCopy-->
  • Para mostrar información sobre los conjuntos de cifrado enlazados de forma predeterminada en el front-end (a un servidor virtual), escriba: sh cipher DEFAULT
  • Para mostrar información sobre los conjuntos de cifrado enlazados de forma predeterminada en el backend (a un servicio), escriba: sh cipher DEFAULT_BACKEND
  • Para mostrar información sobre todos los grupos de cifrado (alias) definidos en el dispositivo, escriba: sh cipher
  • Para mostrar información acerca de todos los conjuntos de cifrado que forman parte de un grupo de cifrado específico, escriba: sh cipher <alias name>. Por ejemplo, sh cifrado ECDHE.

En los siguientes vínculos se enumeran los conjuntos de cifrado admitidos en diferentes plataformas Citrix ADC y en módulos de seguridad de hardware (HSM) externos:

Nota:

Para obtener compatibilidad con cifrado DTLS, consulte Compatibilidad con cifrado DTLS en dispositivos Citrix ADC VPX, MPX y SDX.

Tabla1: Soporte en servidor virtual/servicio frontend/servicio interno:

Protocolo/Plataforma MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS con firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G MPX
TLS 1,3 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones No se admite No se admite 13.0 todas las compilaciones
  12.1–50.x 12.1–50.x 12.1–50.x No se admite No se admite 12.1–50.x
TLS 1.1/1.2 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1—56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones 11.0-70.x (solo en MPX 5900/8900)
  10.5 todas las compilaciones 10.5 todas las compilaciones 10.5–57.x 10.5 58.1108.e 10.5–59.1359.e 10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1–51.x 11.1—56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0 todas las compilaciones     11.0-70.114 (solo en MPX 5900/8900)
  10.5–53.x 10.5–53.x 10.5 todas las compilaciones 10.5–59.1306.e   10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1—51.x (véase la nota) 11.1—51.x (véase la nota) 11.1—56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0–66.x     11.0-70.114 (solo en MPX 5900/8900)
  10.5–53.x 10.5–53.x       10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1–52.x 11.1–52.x 11.1—56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0 todas las compilaciones 11.0 todas las compilaciones 11.0–66.x     11.0-72.x, 11.0-70.114 (solo en MPX 5900/8900)
  10.5–53.x 10.5–53.x       10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) No se admite 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  No se admite 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No se admite 12.0 todas las compilaciones 12.0–-57.x No corresponde No se admite 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
    11.1 todas las compilaciones       11.1-56.x, 11.1-54.126 (Solo se admiten las curvas ECC P_256 y P_384).
CHACHA20 No se admite 13.0 todas las compilaciones 13.0 todas las compilaciones No se admite No se admite 13.0 todas las compilaciones
  No se admite No se admite 12.1 todas las compilaciones No se admite No se admite 12.1-49.x (solo en MPX 5900/8900)
  No se admite No se admite 12.0–56.x No se admite No se admite No se admite

Cuadro 2: Apoyo a los servicios de back-end:

TLS 1.3 no es compatible con el back-end.

Protocolo/Plataforma MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS con firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G MPX
TLS 1.1/1.2 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1 todas las compilaciones 11.1—56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0–50.x 11.0–50.x 11.0–66.x 11.0 todas las compilaciones   11.0-70.119 (solo en MPX 5900/8900)
  10.5–59.x 10.5–59.x   10.5–58.1108.e 10.5–59.1359.e 10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones 12.0–56.x 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1 todas las compilaciones 11.1–51.x 11.1—56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
  11.0–50.x 11.0–50.x       11.0-70.119 (solo en MPX 5900/8900)
  10.5–58.x 10.5–58.x   10.5–59.1306.e   10.5-67.x, 10.5-63.47 (solo en MPX 5900/8900)
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones No se admite 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1–51.x 11.1–51.x 11.1—56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  12.0 todas las compilaciones 12.0 todas las compilaciones No se admite 12.0 todas las compilaciones 12.0 todas las compilaciones 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
  11.1 todas las compilaciones 11.1 todas las compilaciones   11.1–52.x 11.1–52.x 11.1—56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) No se admite 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones 13.0 todas las compilaciones
  No se admite 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones 12.1 todas las compilaciones para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No se admite 12.0 todas las compilaciones 12.0–57.x No corresponde No se admite 12.0 todas las compilaciones para MPX 5900/8900, 12.0-57.x para MPX 15000-50G, 12.0-60.x para MPX 26000-100G
    11.1–51.x   No corresponde   11.1-56.x para MPX 5900/8900 y MPX 15000-50G, 11.1-60.x para MPX 26000-100G (solo se admiten las curvas ECC P_256 y P_384).
CHACHA20 No se admite 13.0 todas las compilaciones 13.0 todas las compilaciones No se admite No se admite 13.0 todas las compilaciones
  No se admite No se admite 12.1 todas las compilaciones No se admite No se admite 12.1-49.x para MPX 5900/8900, 12.1-50.x para MPX 15000-50G y MPX 26000-100G
  No se admite No se admite 12.0–56.x No se admite No se admite No se admite

Para obtener la lista detallada de los cifrados ECDSA compatibles, consulte Compatibilidad con ECDSA Cipher Suites.

Nota

  • El conjunto de cifrado TLS-Fallback_SCSV es compatible con todos los dispositivos de la versión 10.5 build 57.x

  • La compatibilidad con HTTP Strict Transport Security (HSTS) se basa en directivas.

  • Todos los certificados firmados SHA-2 (SHA256, SHA384, SHA512) son compatibles en la parte frontal de todos los dispositivos. En la versión 11.1 build 54.x y versiones posteriores, estos certificados también se admiten en el back-end de todos los dispositivos. En la versión 11.0 y versiones anteriores, solo se admiten certificados SHA256 firmados en el back-end de todos los dispositivos.

  • En la versión 11.1 compilación 52.x y versiones anteriores, los siguientes cifrados solo se admiten en el front-end de los dispositivos FIPS MPX 9700 y MPX/SDX 14000:
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 From release 11.1 build 53.x, and in release 12.0, these ciphers are also supported on the back end.
  • Todos los cifrados Chacha20-Poly1035 utilizan una función pseudo aleatoria TLS (PSF) con la función hash SHA-256.

Secrecía de avance perfecto (PFS)

Perfect Forward Secrecy garantiza la protección de las comunicaciones SSL actuales incluso si la clave de sesión de un servidor web se ve comprometida en un momento posterior.

¿Por qué necesitas Perfect Forward Secrecy (PFS)?

Se utiliza una conexión SSL para proteger los datos que se transmiten entre un cliente y un servidor. Esta conexión comienza con el apretón de manos SSL que tiene lugar entre el explorador de un cliente y el servidor web contactado. Durante este apretón de manos, el explorador y el servidor intercambian cierta información para llegar a una clave de sesión que sirve de medio para cifrar los datos durante el resto de la comunicación.

SSL PFS-1

RSA es el algoritmo más utilizado para el intercambio de claves. El explorador utiliza la clave pública del servidor para cifrar y enviar el secreto previo al maestro a un servidor. Este secreto previo al maestro se utiliza para llegar a la clave de sesión. El problema en el enfoque de intercambio de claves RSA es que si un atacante logra apoderarse de la clave privada del servidor en cualquier momento en el futuro, el atacante se apoderará del secreto previo al maestro mediante el cual se puede obtener la clave de sesión. Ahora el atacante puede usar esta clave de sesión para descifrar todas las conversaciones SSL. Esto significa que su comunicación SSL histórica estaba segura anteriormente, pero ya no están seguras, ya que la clave privada robada del servidor se puede utilizar para llegar a la clave de sesión y así descifrar también cualquier conversación histórica guardada.

La necesidad es poder proteger la comunicación SSL anterior incluso si la clave privada del servidor se ha visto comprometida. Aquí es donde la configuración de Perfect Forward Secrecy (PFS) llega al rescate.

¿Cómo ayuda PFS?

Perfect Forward Secrecy (PFS) protege la comunicación SSL anterior haciendo que el cliente y el servidor acuerden una nueva clave para cada sesión y manteniendo el cálculo de esta clave de sesión en secreto. Funciona sobre la base de que el compromiso de una clave de servidor no debe dar lugar a comprometer la clave de sesión. La clave de sesión se deriva por separado en ambos extremos y nunca se transfiere a través del cable. Las claves de sesión también se destruyen una vez finalizada la comunicación. Estos hechos garantizan que incluso si alguien tiene acceso a la clave privada del servidor, no pueda llegar a la clave de sesión y, por lo tanto, no pueda descifrar los datos anteriores.

SSL PFS-2

Explicación con ejemplo

Supongamos que estamos mediante DHE para obtener PFS. El algoritmo DH garantiza que, aunque un hacker se apoye de la clave privada del servidor, el hacker no podrá llegar a la clave de sesión porque la clave de sesión y los números aleatorios (utilizados para llegar a la clave de sesión) se mantienen en secreto en ambos extremos y nunca se intercambian por cable. El PFS se puede lograr mediante el intercambio de claves Ephemeral Diffie-Hellman, que crea nuevas claves temporales para cada sesión SSL.

La otra cara de crear una clave para cada sesión es que requiere un cálculo adicional, pero esto se puede superar mediante la curva elíptica, que tiene tamaños de clave más pequeños.

Configuración de PFS en el dispositivo Citrix ADC

PFS se puede configurar en un Citrix ADC configurando los cifrados DHE o ECDHE. Estos cifrados garantizan que la clave de sesión secreta creada no se comparta en el cable (algoritmo DH) y que la clave de sesión permanezca activa solo durante un breve período de tiempo (efímero). Ambas configuraciones se explican en las secciones siguientes.

Nota: El uso de cifrados ECDHE en lugar de DHE hace que la comunicación sea más segura con tamaños de clave más pequeños.

Configurar DHE mediante la GUI

  1. Genere una clave DH.

    a. Vaya a Administración del tráfico > SSL > Herramientas.

    b. Haga clic en Crear clave Helman Diffie (DH).

    Nota: La generación de una clave DH de 2048 bits puede tardar hasta 30 minutos.

    SSL PFS-3

    SSL PFS-4

  2. Habilite DH Param para el servidor virtual SSL y adjunte la clave DH al servidor virtual SSL.

    a. Vaya a Configuración > Administración del tráfico > Servidores virtuales.

    b. Seleccione el servidor virtual en el que desea habilitar DH.

    c. Haga clic en Modificar, en Parámetros SSLy, a continuación, en Habilitar parámetro DH.

    SSL PFS-5

  3. Enlazar los cifrados DHE al servidor virtual.

    a. Vaya a Configuración > Administración del tráfico > Servidores virtuales.

    b. Seleccione el servidor virtual en el que desea habilitar DH y haga clic en el icono del lápiz para editarlo.

    c. En Configuración avanzada, haga clic en el icono más junto a Cifrados SSL, seleccione los grupos de cifrado DHE y haga clic en Aceptar para enlazar.

    Nota: Asegúrese de que los cifrados DHE estén en la parte superior de la lista de cifrado enlazada al servidor virtual.

    SSL PFS-6

    SSL PFS-7

    SSL PFS-8

Configurar ECDHE mediante la GUI

  1. Enlazar las curvas ECC al servidor virtual SSL.

    a. Vaya a Configuración > Administración del tráfico > Equilibrio de carga > Servidores virtuales.

    b. Seleccione el servidor virtual SSL que desea modificar, haga clic en Curva ECC y, a continuación, en Agregar enlace.

    c. Enlazar la curva ECC requerida al servidor virtual.

    SSL PFS-9

    SSL PFS-10

  2. Enlazar los cifrados ECDHE al servidor virtual.

    a. Navigate to Configuration > Traffic Management > Virtual Servers and select the virtual server on which you want to enable DH.

    b. Click Edit > SSL Ciphers and select the ECDHE cipher groups and click Bind.

    Note: Ensure that the ECDHE ciphers are at the top of the cipher list bound to the virtual server.

    SSL PFS-11

    SSL PFS-12

    SSL PFS-13

Nota: Para cada caso, compruebe que el dispositivo Citrix ADC admite los cifrados que desea utilizar para la comunicación.

Configurar PFS mediante un perfil SSL

Nota: La opción de configurar PFS (cifrado o ECC) mediante un perfil SSL se introduce a partir de la versión 11.0 64.x en adelante. Ignore la siguiente sección si se encuentra en versiones anteriores.

Para habilitar PFS mediante un perfil SSL, es necesario realizar una configuración similar (como se explica en secciones de configuración anteriores) pero en el perfil SSL en lugar de configurarla directamente en un servidor virtual.

Configurar PFS mediante un perfil SSL mediante la GUI

  1. Enlazar las curvas ECC y los cifrados ECDHE en el perfil SSL.

    Nota: Las curvas ECC ya están enlazadas de forma predeterminada a todos los perfiles SSL.

    a. Vaya a Sistema > Perfiles > Perfiles SSL y elija el perfil en el que desea habilitar PFS.

    b. Enlazar los cifrados ECDHE.

    SSL PFS-14

  2. Enlazar el perfil SSL al servidor virtual.

    a. Vaya a Configuración > Administración del tráfico > Servidores virtuales y seleccione el servidor virtual.

    b. Haga clic en el icono del lápiz para modificar el perfil SSL.

    c. Haga clic en Aceptar y en Listo.

    SSL PFS-15

Configurar PFS mediante SSL mediante la CLI

En el símbolo del sistema, escriba:

  1. Enlazar curvas ECC al perfil SSL.

    bind sslprofile <SSLProfileName> -eccCurveName <Name_of_curve>
    <!--NeedCopy-->
    
  2. Enlazar el grupo de cifrado ECDHE.

    bind sslprofile <SSLProfileName> cipherName <ciphergroupName>
    <!--NeedCopy-->
    
  3. Establezca la prioridad del cifrado ECDHE como 1.

    set sslprofile <SSLProfileName> cipherName <ciphergroupName> cipherPriority <positive_integer>
    <!--NeedCopy-->
    
  4. Enlazar el perfil SSL al servidor virtual.

    set SSL vserver <vservername> sslProfile <SSLProfileName>
    <!--NeedCopy-->
    
Cifrados disponibles en los dispositivos Citrix ADC