Citrix ADC

Chiffrements ECDHE

Tous les appliances Citrix ADC prennent en charge le groupe de chiffrement ECDHE sur le frontal et le back-end. Sur une appliance SDX, si une puce SSL est affectée à une instance VPX, la prise en charge du chiffrement d’une appliance MPX s’applique. Sinon, le support de chiffrement normal d’une instance VPX s’applique.

Pour plus d’informations sur les builds et les plates-formes qui prennent en charge ces chiffrements, reportez-vous à la section Suites de chiffrement disponibles sur les appliances Citrix ADC.

Les suites de chiffrement ECDHE utilisent la cryptographie à courbe elliptique (ECC). En raison de sa taille de clé plus petite, ECC est particulièrement utile dans un environnement mobile (sans fil) ou dans un environnement de réponse vocale interactive, où chaque milliseconde est importante. Des tailles de clés plus petites permettent d’économiser de l’énergie, de la mémoire, de la bande passante et des coûts de calcul.

Une appliance Citrix ADC prend en charge les courbes ECC suivantes :

  • P_256
  • P_384
  • P_224
  • P_521

Remarque : Si vous effectuez une mise à niveau à partir d’une version antérieure à la version 10.1 build 121.10, vous devez explicitement lier les courbes ECC à vos serveurs et services virtuels SSL existants. Les courbes sont liées par défaut aux serveurs et services virtuels que vous créez après la mise à niveau.

Vous pouvez lier une courbe ECC aux entités frontales et back-end SSL. Par défaut, les quatre courbes sont liées, dans l’ordre suivant : P_256, P_384, P_224, P_521. Pour modifier l’ordre, vous devez d’abord délier toutes les courbes, puis les lier dans l’ordre souhaité.

Liez des courbes ECC à un serveur virtuel SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind ssl vserver <vServerName > -eccCurveName <eccCurveName >

Exemple :

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done

Liez des courbes ECC à un serveur virtuel SSL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Sélectionnez un serveur virtuel SSL et cliquez sur Modifier.
  3. Dans Paramètres avancés, cliquez sur Courbe ECC. Paramètres avancés pour la courbe ECC
  4. Cliquez à l’intérieur de la section courbe ECC.
  5. Dans la page Liaison de courbe ECC de serveur virtuel SSL, cliquez sur Ajouter une liaison. Ajouter une liaison de courbe ECC sur le serveur virtuel SSL
  6. Dans Liaison de courbe ECC, cliquez sur Sélectionner une courbe ECC. Sélectionner une courbe ECC
  7. Sélectionnez une valeur, puis cliquez sur Sélectionner. Sélectionner une valeur de courbe ECC
  8. Cliquez sur Bind.
  9. Cliquez sur Fermer.
  10. Cliquez sur Terminé.

Liez des courbes ECC à un service SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind ssl service <vServerName > -eccCurveName <eccCurveName >

Exemple :

> bind ssl service sslsvc -eccCurveName P_224
 Done
> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service sslsvc:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: DISABLED
    Session Reuse: ENABLED      Timeout: 300 seconds
    Cipher Redirect: DISABLED
    ClearText Port: 0
    Server Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: ???
    DHE Key Exchange With PSK: ???
    Tickets Per Authentication Context: ???

    ECC Curve: P_224


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done

Liaison des courbes ECC à un service SSL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Services.
  2. Sélectionnez un service SSL et cliquez sur Modifier.
  3. Dans Paramètres avancés, cliquez sur Courbe ECC. Paramètres avancés pour la courbe ECC
  4. Cliquez à l’intérieur de la section courbe ECC.
  5. Dans la page Liaison de courbe ECC Service SSL, cliquez sur Ajouter une liaison. Ajouter une liaison de courbe ECC
  6. Dans Liaison de courbe ECC, cliquez sur Sélectionner une courbe ECC. Sélectionner une courbe ECC
  7. Sélectionnez une valeur, puis cliquez sur Sélectionner. Sélectionner une valeur de courbe ECC
  8. Cliquez sur Bind.
  9. Cliquez sur Fermer.
  10. Cliquez sur Terminé.