Citrix ADC

ECDSA cipher suites support

Les suites de chiffrement ECDSA utilisent la cryptographie de courbe elliptique (ECC). En raison de sa taille réduite, il est utile dans les environnements où la puissance de traitement, l’espace de stockage, la bande passante et la consommation d’énergie sont limitées.

Les appliances Citrix ADC suivantes prennent désormais en charge le groupe de chiffrement ECDSA (Elliptical Curve Digital Signature Algorithm) :

  • Appliances Citrix ADC MPX et SDX avec puces N3
  • Citrix ADC MPX 5900/8900/15000/26000
  • Citrix ADC SDX 8900/15000
  • Appliances Citrix ADC VPX

Lorsque le groupe de chiffrement ECDHE_ECDSA est utilisé, le certificat du serveur doit contenir une clé publique compatible ECDSA.

Exemple :

sh ssl cipher ECDSA

1)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
2)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
3)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
4)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
5)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
6)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
7)      Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
8)      Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

Le tableau suivant répertorie les chiffrements ECDSA pris en charge sur les appliances Citrix ADC MPX et SDX avec puces N3, les appliances Citrix ADC VPX, MPX 5900/26000 et MPX/SDX 8900/15000.

Nom du chiffrement Priorité Description algorithme d’échange de clés algorithme d’authentification Algorithme de chiffrement (taille de clé) Algorithme de code d’authentification de message (MAC Code hexadécimal
TLS1-ECDHE-ECDSA-AES128-SHA 1 SSLv3 ECC-DHE ECDSA AES(128) SHA1 0xc009
TLS1-ECDHE-ECDSA-AES256-SHA 2. SSLv3 ECC-DHE ECDSA AES(256) SHA1 0xc00a
TLS1.2-ECDHE-ECDSA-AES128-SHA256 3 TLSv1.2 ECC-DHE ECDSA AES(128) SHA-256 0xc023
TLS1.2-ECDHE-ECDSA-AES256-SHA384 4 TLSv1.2 ECC-DHE ECDSA AES(256) SHA-384 0xc024
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 5 TLSv1.2 ECC-DHE ECDSA AES-GCM(128) SHA-256 0xc02b
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 6 TLSv1.2 ECC-DHE ECDSA AES-GCM(256) SHA-384 0xc02c
TLS1-ECDHE-ECDSA-RC4-SHA 7 SSLv3 ECC-DHE ECDSA RC4(128) SHA1 0xc007
TLS1-ECDHE-ECDSA-DES-CBC3-SHA 8 SSLv3 ECC-DHE ECDSA 3DES(168) SHA1 0xc008
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 9 TLSv1.2 ECC-DHE ECDSA CHACHA20/POLY1305(256) AEAD 0xcca9

Important

Utilisez la commande show ns hardware pour savoir si votre appliance possède des puces N3.

Exemple :

sh ns hardware
              Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
              Manufactured on: 8/19/2013
              CPU: 2900MHZ
              Host Id: 1006665862
              Serial no: ENUK6298FT
              Encoded serial no: ENUK6298FT
     Done

Cipher ECDSA/RSA et sélection du certificat

Vous pouvez lier simultanément les certificats de serveur ECDSA et RSA à un serveur virtuel SSL. Lorsque les certificats ECDSA et RSA sont liés au serveur virtuel, il sélectionne automatiquement le certificat de serveur approprié à présenter au client. Si la liste de chiffrement du client inclut des chiffrements RSA, mais n’inclut pas les chiffrements ECDSA, le serveur virtuel présente le certificat du serveur RSA. Si les deux chiffrements sont présents dans la liste du client, le certificat de serveur présenté dépend de la priorité de chiffrement définie sur le serveur virtuel. Autrement dit, si RSA a une priorité plus élevée, le certificat RSA est présenté. Si ECDSA a une priorité plus élevée, le certificat ECDSA est présenté au client.

Authentification client à l’aide d’un certificat ECDSA ou RSA

Pour l’authentification du client, le certificat d’autorité de certification lié au serveur virtuel peut être signé ECDSA ou RSA. L’appliance prend en charge une chaîne de certificats mixte. Par exemple, la chaîne de certificats suivante est prise en charge.

Certificat client (ECDSA) <-> Certificat CA (RSA) <-> Certificat intermédiaire (RSA) <-> Certificat racine (RSA)

Remarque

Les certificats ECDSA avec seulement les courbes suivantes sont pris en charge :

  • prime256v1
  • secp384r1
  • secp521r1 (VPX uniquement)
  • secp224r1 (VPX uniquement)

Créer une paire de clés de certificat ECDSA

Vous pouvez créer une paire de clés de certificat ECDSA directement sur un dispositif Citrix ADC à l’aide de l’interface de ligne de commande ou de l’interface graphique. Auparavant, vous pouviez installer et lier une paire de clés de certificat ECC sur l’appliance, mais vous deviez utiliser OpenSSL pour créer une paire de clés de certificat.

Seules les courbes P_256 et P_384 sont prises en charge.

Remarque

Cette prise en charge est disponible sur toutes les plates-formes sauf MPX 9700/1050/12500/15500.

Pour créer une paire de clés de certificat ECDSA à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]

Exemple :

create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done

Pour créer une paire de clés de certificat ECDSA à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > SSL > Fichiers SSL > Clés et cliquez sur Créer une clé ECDSA.
  2. Pour créer une clé au format PKCS #8, sélectionnez PKCS8.

ECDSA cipher suites support