Chiffrements ECDHE

Toutes les appliances Citrix ADC prennent en charge le groupe de chiffrement ECDHE sur le front et le back-end. Sur une appliance SDX, si une puce SSL est affectée à une instance VPX, la prise en charge du chiffrement d’une appliance MPX s’applique. Sinon, le support de chiffrement normal d’une instance VPX s’applique.

Pour plus d’informations sur les builds et les plates-formes qui prennent en charge ces chiffrements, reportez-vous à la section Suites de chiffrement disponibles sur les appliances Citrix ADC.

Les suites de chiffrement ECDHE utilisent la cryptographie à courbe elliptique (ECC). En raison de sa taille de clé plus petite, ECC est particulièrement utile dans un environnement mobile (sans fil) ou dans un environnement de réponse vocale interactive, où chaque milliseconde est importante. Plus petites tailles de clés permettent d’économiser de l’énergie, de la mémoire, de la bande passante et des coûts de calcul.

Une appliance Citrix ADC prend en charge les courbes ECC suivantes :

  • P_256
  • P_384
  • P_224
  • P_521

Remarque : Si vous effectuez une mise à niveau à partir d’une version antérieure à la version 10.1 build 121.10, vous devez lier explicitement les courbes ECC à vos serveurs virtuels SSL ou services frontaux existants. Les courbes sont liées par défaut aux serveurs virtuels ou aux services frontaux que vous créez après la mise à niveau.

Vous pouvez lier une courbe ECC aux entités front-end SSL uniquement. Par défaut, les quatre courbes sont liées, dans l’ordre suivant : P_256, P_384, P_224, P_521. Pour modifier l’ordre, vous devez d’abord dissocier toutes les courbes, puis les lier dans l’ordre souhaité.

Dissocier et lier les courbes ECC à un serveur virtuel SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

unbind ssl vserver  <vServerName > -eccCurveName ALL

bind ssl vserver  <vServerName > -eccCurveName  <eccCurveName >

Exemple :

unbind ssl vs v1 –eccCurvename ALL

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done