ADC

Chiffrements ECDHE

Toutes les appliances Citrix ADC prennent en charge le groupe de chiffrement ECDHE sur le front end et le back-end. Sur une appliance SDX, si une puce SSL est attribuée à une instance VPX, la prise en charge du chiffrement d’une appliance MPX s’applique. Sinon, le support de chiffrement normal d’une instance VPX s’applique.

Pour plus d’informations sur les versions et les plates-formes qui prennent en charge ces chiffrements, consultez la section Chiphers disponibles sur les appliances NetScaler ADC.

Les suites de chiffrement ECDHE utilisent la cryptographie à courbe elliptique (ECC). En raison de la taille réduite de ses touches, l’ECC est particulièrement utile dans un environnement mobile (sans fil) ou un environnement de réponse vocale interactif, où chaque milliseconde est importante. Les touches plus petites permettent d’économiser de l’énergie, de la mémoire, de la bande passante et des coûts de calcul.

Une appliance Citrix ADC prend en charge les courbes ECC suivantes :

  • P_256
  • P_384
  • P_224
  • P_521

Remarque : Si vous effectuez une mise à niveau à partir d’une version antérieure à la version 10.1 build 121.10, vous devez lier explicitement les courbes ECC à vos serveurs et services virtuels SSL existants. Les courbes sont liées par défaut à tous les serveurs et services virtuels que vous créez après la mise à niveau.

Vous pouvez lier une courbe ECC aux entités frontales et dorsales SSL. Par défaut, les quatre courbes sont liées, dans l’ordre suivant : P_256, P_384, P_224, P_521. Pour modifier l’ordre, vous devez d’abord dissocier toutes les courbes, puis les lier dans l’ordre souhaité.

Liez des courbes ECC à un serveur virtuel SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind ssl vserver <vServerName > -eccCurveName <eccCurveName >

Exemple :

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Liez des courbes ECC à un serveur virtuel SSL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Sélectionnez un serveur virtuel SSL et cliquez sur Modifier.
  3. Dans Paramètres avancés, cliquez sur Courbe ECC. Paramètres avancés pour la courbe ECC
  4. Cliquez à l’intérieur de la section de la courbe ECC.
  5. Sur la page SSL Virtual Server ECC Curve Binding, cliquez sur Ajouter une liaison. Ajouter une liaison à la courbe ECC sur le serveur virtuel SSL
  6. Dans ECC Curve Binding, cliquez sur Sélectionner une courbeECC.
  7. Sélectionnez une valeur, puis cliquez sur Sélectionner. Sélectionnez la valeur de la courbe ECC
  8. Cliquez sur Bind.
  9. Cliquez sur Fermer.
  10. Cliquez sur Terminé.

Liez des courbes ECC à un service SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind ssl service <vServerName > -eccCurveName <eccCurveName >

Exemple :

> bind ssl service sslsvc -eccCurveName P_224
 Done
> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service sslsvc:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: DISABLED
    Session Reuse: ENABLED      Timeout: 300 seconds
    Cipher Redirect: DISABLED
    ClearText Port: 0
    Server Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: ???
    DHE Key Exchange With PSK: ???
    Tickets Per Authentication Context: ???

    ECC Curve: P_224


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done
<!--NeedCopy-->

Liez des courbes ECC à un service SSL à l’aide de l’interface graphique

  1. Accédez à Traffic Management > Load Balancing > Services.
  2. Sélectionnez un service SSL et cliquez sur Modifier.
  3. Dans Paramètres avancés, cliquez sur Courbe ECC. Paramètres avancés pour la courbe ECC
  4. Cliquez à l’intérieur de la section de la courbe ECC.
  5. Sur la page SSL Service ECC Curve Binding, cliquez sur Ajouter une liaison. Ajouter une reliure à courbe ECC
  6. Dans ECC Curve Binding, cliquez sur Sélectionner une courbeECC.
  7. Sélectionnez une valeur, puis cliquez sur Sélectionner. Sélectionnez la valeur de la courbe ECC
  8. Cliquez sur Bind.
  9. Cliquez sur Fermer.
  10. Cliquez sur Terminé.