ADC

Configurer des groupes de chiffrement définis par l’utilisateur sur l’appliance ADC

Un groupe de chiffrement est un ensemble de suites de chiffrement que vous liez à un serveur virtuel, service ou groupe de services SSL sur l’appliance Citrix ADC. Une suite de chiffrement comprend un protocole, un algorithme d’échange de clés (Kx), un algorithme d’authentification (Au), un algorithme de cryptage (Enc) et un algorithme de code d’authentification de message (Mac). Votre appliance est livré avec un ensemble prédéfini de groupes de chiffrement. Lorsque vous créez un service SSL ou un groupe de services SSL, le groupe de chiffrement ALL y est automatiquement lié. Toutefois, lorsque vous créez un serveur virtuel SSL ou un service SSL transparent, le groupe de chiffrement DEFAULT y est automatiquement lié. En outre, vous pouvez créer un groupe de chiffrement défini par l’utilisateur et le lier à un serveur virtuel, service ou groupe de services SSL.

Remarque : si votre appliance MPX ne possède aucune licence, seul le chiffrement EXPORT est lié à votre serveur virtuel, service ou groupe de services SSL.

Pour créer un groupe de chiffrement défini par l’utilisateur, créez d’abord un groupe de chiffrement, puis vous liez des chiffrements ou des groupes de chiffrement à ce groupe. Si vous spécifiez un alias de chiffrement ou un groupe de chiffrement, tous les chiffrements de l’alias ou du groupe de chiffrement sont ajoutés au groupe de chiffrement défini par l’utilisateur. Vous pouvez également ajouter des chiffrements individuels (suites de chiffrement) à un groupe défini par l’utilisateur. Toutefois, vous ne pouvez pas modifier un groupe de chiffrement prédéfini. Avant de supprimer un groupe de chiffrement, délier toutes les suites de chiffrement du groupe.

La liaison d’un groupe de chiffrement à un serveur virtuel, service ou groupe de services SSL ajoute les chiffrements aux chiffrements existants qui sont liés à l’entité. Pour lier un groupe de chiffrement spécifique à l’entité, vous devez d’abord délier les chiffrements ou le groupe de chiffrement lié à l’entité. Ensuite, liez le groupe de chiffrement spécifique à l’entité. Par exemple, pour lier uniquement le groupe de chiffrement AES à un service SSL, effectuez les opérations suivantes :

  1. Dissociez le groupe de chiffrement par défaut ALL qui est lié par défaut au service lors de la création du service.

    unbind ssl service <service name> -cipherName ALL
    <!--NeedCopy-->
    
  2. Lier le groupe de chiffrement AES au service

    bind ssl service <Service name> -cipherName AE
    <!--NeedCopy-->
    

    Si vous souhaitez lier le groupe de chiffrement DES en plus d’AES, à l’invite de commandes, tapez :

    bind ssl service <service name> -cipherName DES
    <!--NeedCopy-->
    

Remarque : Le dispositif virtuel Citrix ADC gratuit prend en charge uniquement le groupe de chiffrement DH.

Configurer un groupe de chiffrement défini par l’utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour ajouter un groupe de chiffrement ou ajouter des chiffrements à un groupe précédemment créé, et vérifiez les paramètres :

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <cipherGroup/cipherName>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->

Exemple :

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
<!--NeedCopy-->

Dissocier les chiffrements d’un groupe de chiffrement à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour dissocier les chiffrements d’un groupe de chiffrement défini par l’utilisateur et vérifier les paramètres :

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>
<!--NeedCopy-->

Supprimer un groupe de chiffrement à l’aide de l’interface de ligne de commande

Remarque : Vous ne pouvez pas supprimer un groupe de chiffrement intégré. Avant de supprimer un groupe de chiffrement défini par l’utilisateur, assurez-vous que le groupe de chiffrement est vide.

À l’invite de commandes, tapez les commandes suivantes pour supprimer un groupe de chiffrement défini par l’utilisateur et vérifiez la configuration :

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

<!--NeedCopy-->

Exemple :

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
<!--NeedCopy-->

Configurer un groupe de chiffrement défini par l’utilisateur à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > Groupes de chiffrement.
  2. Cliquez sur Ajouter.
  3. Spécifiez un nom pour le groupe de chiffrement.
  4. Cliquez sur Ajouter pour afficher les chiffrements et groupes de chiffrement disponibles.
  5. Sélectionnez un groupe de chiffrement ou de chiffrement, puis cliquez sur le bouton fléché pour les ajouter.
  6. Cliquez sur Créer.
  7. Cliquez sur Fermer.

Pour lier un groupe de chiffrement à un serveur virtuel, un service ou un groupe de services SSL à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des options suivantes :

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

<!--NeedCopy-->

Exemple :

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done
<!--NeedCopy-->

Pour lier un groupe de chiffrement à un serveur virtuel, service ou groupe de services SSL à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.

    Pour le service, remplacez les serveurs virtuels par des services. Pour les groupes de services, remplacez les serveurs virtuels par des groupes de services.

    Ouvrez le serveur virtuel, le service ou le groupe de services.

  2. Dans Advanced Settings, sélectionnez SSL Ciphers.

  3. Liez un groupe de chiffrement au serveur virtuel, au service ou au groupe de services.

Liaison de chiffrements individuels à un serveur virtuel SSL ou à un service

Vous pouvez également lier des chiffrements individuels, au lieu d’un groupe de chiffrement, à un serveur virtuel ou à un service.

Pour lier un chiffrement à l’aide de l’interface de ligne de commande : à l’invite de commandes, tapez :

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
<!--NeedCopy-->

Exemple :

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
<!--NeedCopy-->

Pour lier un chiffrement à un serveur virtuel SSL à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Sélectionnez un serveur virtuel SSL et cliquez sur Modifier.
  3. Dans Advanced Settings, sélectionnez SSL Ciphers.
  4. Dans Cipher Suites, sélectionnez Ajouter.
  5. Recherchez le chiffrement dans la liste disponible et cliquez sur la flèche pour l’ajouter à la liste configurée.
  6. Cliquez sur OK.
  7. Cliquez sur Terminé.

Pour lier un chiffrement à un service SSL, répétez les étapes précédentes après le remplacement du serveur virtuel par le service.