Suites de chiffrement disponibles sur les appliances Citrix ADC

Votre appliance Citrix ADC est livrée avec un ensemble prédéfini de groupes de chiffrement. Pour utiliser des chiffrements qui ne font pas partie du groupe de chiffrement DEFAULT, vous devez les lier explicitement à un serveur virtuel SSL. Vous pouvez également créer un groupe de chiffrement défini par l’utilisateur pour lier au serveur virtuel SSL. Pour plus d’informations sur la création d’un groupe de chiffrement défini par l’utilisateur, reportez-vous à la section Configurer des groupes de chiffrement définis par l’utilisateur sur l’appliance ADC.

Remarque :

Le chiffrement RC4 n’est pas inclus dans le groupe de chiffrement par défaut sur l’appliance Citrix ADC. Cependant, il est pris en charge dans le logiciel sur les appliances basées sur N3. Le chiffrement RC4, y compris la poignée de main, se fait dans le logiciel.

Citrix vous recommande de ne pas utiliser ce chiffrement car il est considéré comme non sécurisé et obsolète par la RFC 7465.

Utilisez la commande ‘show hardware ‘pour déterminer si votre appliance possède des puces N3.

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT
  • Pour afficher des informations sur les suites de chiffrement liées par défaut à l’avant (vers un serveur virtuel), tapez : sh cipher DEFAULT
  • Pour afficher des informations sur les suites de chiffrement liées par défaut à l’arrière (vers un service), tapez : sh cipher DEFAULT_BACKEND
  • Pour afficher des informations sur tous les groupes de chiffrement (alias) définis sur l’appliance, tapez : sh cipher
  • Pour afficher des informations sur toutes les suites de chiffrement qui font partie d’un groupe de chiffrement spécifique, tapez :**sh cipher <alias name>. Par exemple, le chiffrement sh ECDHE.

Les liens suivants répertorient les suites de chiffrement prises en charge sur différentes plates-formes Citrix ADC et sur des modules de sécurité matérielle externes (HSM) :

Remarque :

Pour la prise en charge du chiffrement DTLS, reportez-vous à la section Prise en charge du chiffrement DTLS sur les appliances Citrix ADC VPX, MPX et SDX.

Tableau1 - Prise en charge du serveur virtuel/service frontend interne :

Protocole/Plateforme MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS avec firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.1/1.2 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
  11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G
  11.0 toutes les versions 11.0 toutes les versions 11.0 toutes les versions 11.0 toutes les versions 11.0 toutes les versions 11.0-70.x (uniquement sur MPX 5900/8900)
  10.5 toutes les versions 10.5 toutes les versions 10.5-57.x 10.5 58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (uniquement sur MPX 5900/8900)
ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
  11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1-51.x 11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G
  11.0 toutes les versions 11.0 toutes les versions 11.0 toutes les versions     11.0-70.114 (uniquement sur MPX 5900/8900)
  10.5-53.x 10.5-53.x 10.5 toutes les versions 10.5-59.1306.e   10.5-67.x, 10.5-63.47 (uniquement sur MPX 5900/8900)
AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
  11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1-51.x (voir note) 11.1-51.x (voir note) 11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G
  11.0 toutes les versions 11.0 toutes les versions 11.0-66.x     11.0-70.114 (uniquement sur MPX 5900/8900)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (uniquement sur MPX 5900/8900)
Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
  11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1-52.x 11.1-52.x 11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G
  11.0 toutes les versions 11.0 toutes les versions 11.0-66.x     11.0-72.x, 11.0-70.114 (uniquement sur MPX 5900/8900)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (uniquement sur MPX 5900/8900)
ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) Non pris en charge 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  Non pris en charge 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  Non pris en charge 12.0 toutes les versions 12.0-57.x Non applicable Non pris en charge 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
    11.1 toutes les versions       11.1-56.x, 11.1-54.126 (Seules les courbes ECC P_256 et P_384 sont prises en charge.)
CHACHA20 Non pris en charge 13.0 toutes les versions 13.0 toutes les versions Non pris en charge Non pris en charge 13.0 toutes les versions
  Non pris en charge Non pris en charge 12.1 toutes les versions Non pris en charge Non pris en charge 12.1-49.x (uniquement sur MPX 5900/8900)
  Non pris en charge Non pris en charge 12.0-56.x Non pris en charge Non pris en charge Non pris en charge

Tableau 2 - Prise en charge des services back-end :

Protocole/Plateforme MPX/SDX (N2) MPX/SDX (N3) VPX MPX 9700* FIPS avec firmware 2.2 MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.1/1.2 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
  11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1 toutes les versions 11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G
  11.0-50.x 11.0-50.x 11.0-66.x 11.0 toutes les versions   11.0-70.119 (uniquement sur MPX 5900/8900)
  10.5-59.x 10.5-59.x   10.5-58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (uniquement sur MPX 5900/8900)
ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  12.0 toutes les versions 12.0 toutes les versions 12.0-56.x 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
  11.1 toutes les versions 11.1 toutes les versions   11.1 toutes les versions 11.1-51.x 11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G
  11.0-50.x 11.0-50.x       11.0-70.119 (uniquement sur MPX 5900/8900)
  10.5-58.x 10.5-58.x   10.5-59.1306.e   10.5-67.x, 10.5-63.47 (uniquement sur MPX 5900/8900)
AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  12.0 toutes les versions 12.0 toutes les versions Non pris en charge 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
  11.1 toutes les versions 11.1 toutes les versions   11.1-51.x 11.1-51.x 11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G
Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  12.0 toutes les versions 12.0 toutes les versions Non pris en charge 12.0 toutes les versions 12.0 toutes les versions 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
  11.1 toutes les versions 11.1 toutes les versions   11.1-52.x 11.1-52.x 11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G
ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) Non pris en charge 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions 13.0 toutes les versions
  Non pris en charge 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  Non pris en charge 12.0 toutes les versions 12.0-57.x Non applicable Non pris en charge 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G
    11.1-51.x   Non applicable   11.1-56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G (seules les courbes ECC P_256 et P_384 sont prises en charge.)
CHACHA20 Non pris en charge 13.0 toutes les versions 13.0 toutes les versions Non pris en charge Non pris en charge 13.0 toutes les versions
  Non pris en charge Non pris en charge 12.1 toutes les versions Non pris en charge Non pris en charge 12.1-49.x pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G
  Non pris en charge Non pris en charge 12.0-56.x Non pris en charge Non pris en charge Non pris en charge

Pour obtenir la liste détaillée des chiffrements ECDSA pris en charge, reportez-vous à la section Prise en charge des suites de chiffrement ECDSA.

Remarque

  • La suite de chiffrement TLS-Fallback_scsv est prise en charge sur toutes les appliances de la version 10.5 build 57.x

  • La prise en charge de HTTP Strict Transport Security (HSTS) est basée sur des stratégies.

  • Tous les certificats signés SHA-2 (SHA256, SHA384, SHA512) sont pris en charge sur le front de toutes les appliances. Dans la version 11.1, version 54.x et ultérieure, ces certificats sont également pris en charge sur le back-end de toutes les appliances. Dans les versions 11.0 et antérieures, seuls les certificats signés SHA256 sont pris en charge sur le back-end de toutes les appliances.

  • Dans la version 11.1, version 52.x et versions antérieures, les chiffrements suivants sont pris en charge uniquement sur le frontend des appliances FIPS MPX 9700 et MPX/SDX 14000 :
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 À partir de la version 11.1 build 53.x, et dans la version 12.0, ces chiffrements sont également pris en charge sur le back-end.
  • Tous les chiffrements Chacha20-Poly1035 utilisent une fonction pseudo-aléatoire (PSF) TLS avec la fonction de hachage SHA-256.

Suites de chiffrement disponibles sur les appliances Citrix ADC