Citrix ADC

Configurer des groupes de chiffrement définis par l’utilisateur sur l’appliance ADC

Un groupe de chiffrement est un ensemble de suites de chiffrement que vous liez à un serveur virtuel SSL, un service ou un groupe de services sur l’appliance Citrix ADC. Une suite de chiffrement comprend un protocole, un algorithme d’échange de clés (Kx), un algorithme d’authentification (Au), un algorithme de chiffrement (Enc) et un code d’authentification de message (Mac) algorithme. Votre appliance est livrée avec un ensemble prédéfini de groupes de chiffrement. Lorsque vous créez un service SSL ou un groupe de services SSL, le groupe de chiffrement ALL y est automatiquement lié. Toutefois, lorsque vous créez un serveur virtuel SSL ou un service SSL transparent, le groupe de chiffrement DEFAULT y est automatiquement lié. En outre, vous pouvez créer un groupe de chiffrement défini par l’utilisateur et le lier à un serveur virtuel SSL, un service ou un groupe de services.

Remarque : Si votre appliance MPX ne dispose pas de licences, seul le chiffrement EXPORT est lié à votre serveur virtuel SSL, service ou groupe de services.

Pour créer un groupe de chiffrement défini par l’utilisateur, vous devez d’abord créer un groupe de chiffrement, puis lier des chiffrements ou des groupes de chiffrement à ce groupe. Si vous spécifiez un alias de chiffrement ou un groupe de chiffrement, tous les chiffrements de l’alias ou du groupe de chiffrement sont ajoutés au groupe de chiffrement défini par l’utilisateur. Vous pouvez également ajouter des chiffrements individuels (suites de chiffrement) à un groupe défini par l’utilisateur. Toutefois, vous ne pouvez pas modifier un groupe de chiffrement prédéfini. Avant de supprimer un groupe de chiffrement, dissociez toutes les suites de chiffrement du groupe.

La liaison d’un groupe de chiffrement à un serveur virtuel, un service ou un groupe de services SSL ajoute les chiffrements aux chiffrements existants qui sont liés à l’entité. Pour lier un groupe de chiffrement spécifique à l’entité, vous devez d’abord délier les chiffrements ou le groupe de chiffrement lié à l’entité. Ensuite, liez le groupe de chiffrement spécifique à l’entité. Par exemple, pour lier uniquement le groupe de chiffrement AES à un service SSL, effectuez les opérations suivantes :

  1. Dissociez le groupe de chiffrement par défaut ALL qui est lié par défaut au service lors de la création du service.

    unbind ssl service <service name> -cipherName ALL
    
  2. Liez le groupe de chiffrement AES au service

    bind ssl service <Service name> -cipherName AE
    

    Si vous souhaitez lier le groupe de chiffrement DES en plus d’AES, à l’invite de commandes, tapez :

    bind ssl service <service name> -cipherName DES
    

Remarque : l’appliance virtuelle Citrix ADC gratuite prend en charge uniquement le groupe de chiffrement DH.

Configurer un groupe de chiffrement défini par l’utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour ajouter un groupe de chiffrement ou pour ajouter des chiffrements à un groupe précédemment créé et vérifiez les paramètres :

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <string>
show ssl cipher <cipherGroupName>

Exemple :

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

Dissocier les chiffrements d’un groupe de chiffrement à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour dissocier les chiffrements d’un groupe de chiffrement défini par l’utilisateur et vérifiez les paramètres :

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>

Supprimer un groupe de chiffrement à l’aide de l’interface de ligne de commande

Remarque : Vous ne pouvez pas supprimer un groupe de chiffrement intégré. Avant de supprimer un groupe de chiffrement défini par l’utilisateur, assurez-vous que le groupe de chiffrement est vide.

À l’invite de commandes, tapez les commandes suivantes pour supprimer un groupe de chiffrement défini par l’utilisateur et vérifiez la configuration :

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

Exemple :

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]

Configurer un groupe de chiffrement défini par l’utilisateur à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > Groupes de chiffrementet configurez un groupe de chiffrement.

Pour lier un groupe de chiffrement à un serveur virtuel, un service ou un groupe de services SSL à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des options suivantes :

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

Exemple :

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done

Pour lier un groupe de chiffrement à un serveur virtuel SSL, un service ou un groupe de services à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.

    Pour le service, remplacez les serveurs virtuels par des services. Pour les groupes de services, remplacez les serveurs virtuels par des groupes de services.

    Ouvrez le serveur virtuel, le service ou le groupe de services.

  2. Dans Advanced Settings, sélectionnez SSL Ciphers.

  3. Liez un groupe de chiffrement au serveur virtuel, au service ou au groupe de services.

Liaison de chiffrements individuels à un serveur virtuel ou un service SSL

Vous pouvez également lier des chiffrements individuels, au lieu d’un groupe de chiffrement, à un serveur virtuel ou à un service.

Pour lier un chiffrement à l’aide de l’interface de ligne de commande : à l’invite de commande, tapez :

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>

Exemple :

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

Pour lier un chiffrement à un serveur virtuel SSL à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Sélectionnez un serveur virtuel SSL et cliquez sur Modifier.
  3. Dans Advanced Settings, sélectionnez SSL Ciphers.
  4. Dans Cipher Suites, sélectionnez Ajouter.
  5. Recherchez le chiffrement dans la liste disponible et cliquez sur la flèche pour l’ajouter à la liste configurée.
  6. Cliquez sur OK.
  7. Cliquez sur Terminé.

Pour lier un chiffrement à un service SSL, répétez les étapes précédentes après avoir remplacé le serveur virtuel par le service.