Suites de chiffrement disponibles sur les appliances Citrix ADC
Votre appliance Citrix ADC est livrée avec un ensemble prédéfini de groupes de chiffrement. Pour utiliser des chiffrements qui ne font pas partie du groupe de chiffrement DEFAULT, vous devez les lier explicitement à un serveur virtuel SSL. Vous pouvez également créer un groupe de chiffrement défini par l’utilisateur pour lier au serveur virtuel SSL. Pour plus d’informations sur la création d’un groupe de chiffrement défini par l’utilisateur, reportez-vous à la section Configurer des groupes de chiffrement définis par l’utilisateur sur l’appliance ADC.
Notes :
Le chiffrement RC4 n’est pas inclus dans le groupe de chiffrement par défaut sur l’appliance Citrix ADC. Cependant, il est pris en charge dans le logiciel sur les appliances basées sur N3. Le chiffrement RC4, y compris la poignée de main, se fait dans le logiciel.
Citrix vous recommande de ne pas utiliser ce chiffrement car il est considéré comme non sécurisé et obsolète par la RFC 7465.
Utilisez la commande ‘show hardware ‘pour déterminer si votre appliance possède des puces N3.
sh hardware
Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
- Pour afficher des informations sur les suites de chiffrement liées par défaut à l’extrémité frontale (à un serveur virtuel), tapez :
sh cipher DEFAULT
- Pour afficher des informations sur les suites de chiffrement liées par défaut au back-end (à un service), tapez :
sh cipher DEFAULT_BACKEND
- Pour afficher des informations sur tous les groupes de chiffrement (alias) définis sur l’appliance, tapez :
sh cipher
- Pour afficher des informations sur toutes les suites de chiffrement faisant partie d’un groupe de chiffrement spécifique, tapez :
sh cipher <alias name>
. Par exemple, le chiffrement sh ECDHE.
Les liens suivants répertorient les suites de chiffrement prises en charge sur différentes plates-formes Citrix ADC et sur des modules de sécurité matérielle externes (HSM) :
- Appliance Citrix ADC MPX/SDX (N3) :Prise en charge du chiffrement sur une appliance Citrix ADC MPX/SDX (N3)
- Appliance Citrix ADC MPX/SDX Intel Coleto :Prise en charge du chiffrement sur une puce Citrix ADC MPX/SDX Intel Coleto SSL
- Appliance Citrix ADC VPX :Prise en charge du chiffrement sur un dispositif Citrix ADC VPX
- Appliance Citrix ADC MPX/SDX 14000 FIPS :Prise en charge du chiffrement sur un dispositif FIPS Citrix ADC MPX/SDX 14000
- HSM externe (Thales/Safenet) :Cipher pris en charge sur un HSM externe (Thales/Safenet)
- Appliance Citrix ADC MPX/SDX (N2) :Prise en charge du chiffrement sur une appliance Citrix ADC MPX/SDX (N2)
- Appliance Citrix ADC MPX 9700 FIPS :Prise en charge du chiffrement sur un Citrix ADC MPX 9700 FIPS avec firmware 2.2
- Appliances Citrix ADC VPX FIPS et MPX FIPS : Prise en charge du chiffrement sur les appliances certifiées FIPS et MPX FIPS VPX
Remarque :
Pour la prise en charge du chiffrement DTLS, reportez-vous à la section Prise en charge du chiffrement DTLS sur les appliances Citrix ADC VPX, MPX et SDX.
Tableau1 - Prise en charge du serveur virtuel/service frontend interne :
Les opérations Crypto sur TLS 1.3 ne sont pas déchargées sur les puces d’accélération crypto. Tous les calculs pour les poignées de main TLS 1.3 se font dans le logiciel sur toutes les plates-formes prises en charge, même si des puces d’accélération Coleto ou Cavium sont présentes.
Protocole/Plateforme | MPX/SDX (N2) | MPX/SDX (N3) | VPX | MPX 9700* FIPS avec firmware 2.2 | MPX/SDX 14000** FIPS | MPX 5900/8900 MPX 15000-50G MPX 26000-100G |
---|---|---|---|---|---|---|
TLS 1.3 | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | Non pris en charge | Non pris en charge | 13.0 toutes les versions |
12.1–50.x | 12.1–50.x | 12.1–50.x | Non pris en charge | Non pris en charge | 12.1–50.x | |
TLS 1.1/1.2 | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G | |
11.0 toutes les versions | 11.0 toutes les versions | 11.0 toutes les versions | 11.0 toutes les versions | 11.0 toutes les versions | 11.0—70.x (uniquement sur MPX 5900/8900) | |
10.5 toutes les versions | 10.5 toutes les versions | 10.5–57.x | 10.5 58.1108.e | 10.5–59.1359.e | 10.5—67.x, 10.5-63,47 (uniquement sur MPX 5900/8900) | |
ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1–51.x | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G | |
11.0 toutes les versions | 11.0 toutes les versions | 11.0 toutes les versions | 11.0—70.114 (uniquement sur MPX 5900/8900) | |||
10.5–53.x | 10.5–53.x | 10.5 toutes les versions | 10.5–59.1306.e | 10.5—67.x, 10.5-63,47 (uniquement sur MPX 5900/8900) | ||
AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1—51.x (Voir note) | 11.1—51.x (Voir note) | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G | |
11.0 toutes les versions | 11.0 toutes les versions | 11.0–66.x | 11.0—70.114 (uniquement sur MPX 5900/8900) | |||
10.5–53.x | 10.5–53.x | 10.5—67.x, 10.5-63,47 (uniquement sur MPX 5900/8900) | ||||
Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1–52.x | 11.1–52.x | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G | |
11.0 toutes les versions | 11.0 toutes les versions | 11.0–66.x | 11.0—72.x, 11.0-70.114 (uniquement sur MPX 5900/8900) | |||
10.5–53.x | 10.5–53.x | 10.5—67.x, 10.5-63,47 (uniquement sur MPX 5900/8900) | ||||
ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) | Non pris en charge | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
Non pris en charge | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
Non pris en charge | 12.0 toutes les versions | 12.0–-57.x | Non applicable | Non pris en charge | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1—56.x, 11.1-54.126 (Seules les courbes ECC P_256 et P_384 sont prises en charge.) | |||||
CHACHA20 | Non pris en charge | 13.0 toutes les versions | 13.0 toutes les versions | Non pris en charge | Non pris en charge | 13.0 toutes les versions |
Non pris en charge | Non pris en charge | 12.1 toutes les versions | Non pris en charge | Non pris en charge | 12.1—49.x (uniquement sur MPX 5900/8900) | |
Non pris en charge | Non pris en charge | 12.0–56.x | Non pris en charge | Non pris en charge | Non pris en charge |
Tableau 2 - Prise en charge des services back-end :
TLS 1.3 n’est pas pris en charge sur le back-end.
Protocole/Plateforme | MPX/SDX (N2) | MPX/SDX (N3) | VPX | MPX 9700* FIPS avec firmware 2.2 | MPX/SDX 14000** FIPS | MPX 5900/8900 MPX 15000-50G MPX 26000-100G |
---|---|---|---|---|---|---|
TLS 1.1/1.2 | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G | |
11.0–50.x | 11.0–50.x | 11.0–66.x | 11.0 toutes les versions | 11.0—70.119 (uniquement sur MPX 5900/8900) | ||
10.5–59.x | 10.5–59.x | 10.5–58.1108.e | 10.5–59.1359.e | 10.5—67.x, 10.5-63,47 (uniquement sur MPX 5900/8900) | ||
ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
12.0 toutes les versions | 12.0 toutes les versions | 12.0–56.x | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1 toutes les versions | 11.1 toutes les versions | 11.1–51.x | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G | ||
11.0–50.x | 11.0–50.x | 11.0—70.119 (uniquement sur MPX 5900/8900) | ||||
10.5–58.x | 10.5–58.x | 10.5–59.1306.e | 10.5—67.x, 10.5-63,47 (uniquement sur MPX 5900/8900) | |||
AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
12.0 toutes les versions | 12.0 toutes les versions | Non pris en charge | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1 toutes les versions | 11.1–51.x | 11.1–51.x | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G | ||
Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
12.0 toutes les versions | 12.0 toutes les versions | Non pris en charge | 12.0 toutes les versions | 12.0 toutes les versions | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1 toutes les versions | 11.1 toutes les versions | 11.1–52.x | 11.1–52.x | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G | ||
ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) | Non pris en charge | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions | 13.0 toutes les versions |
Non pris en charge | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions | 12.1 toutes les versions pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
Non pris en charge | 12.0 toutes les versions | 12.0–57.x | Non applicable | Non pris en charge | 12.0 toutes les versions pour MPX 5900/8900, 12.0-57.x pour MPX 15000-50G, 12.0-60.x pour MPX 26000-100G | |
11.1–51.x | Non applicable | 11.1—56.x pour MPX 5900/8900 et MPX 15000-50G, 11.1-60.x pour MPX 26000-100G (Seules les courbes ECC P_256 et P_384 sont prises en charge). | ||||
CHACHA20 | Non pris en charge | 13.0 toutes les versions | 13.0 toutes les versions | Non pris en charge | Non pris en charge | 13.0 toutes les versions |
Non pris en charge | Non pris en charge | 12.1 toutes les versions | Non pris en charge | Non pris en charge | 12.1—49.x pour MPX 5900/8900, 12.1-50.x pour MPX 15000-50G et MPX 26000-100G | |
Non pris en charge | Non pris en charge | 12.0–56.x | Non pris en charge | Non pris en charge | Non pris en charge |
Pour obtenir la liste détaillée des chiffrements ECDSA pris en charge, reportez-vous à la section Prise en charge des suites de chiffrement ECDSA.
Remarque
La suite de chiffrement TLS-Fallback_scsv est prise en charge sur toutes les appliances de la version 10.5 build 57.x
La prise en charge de HTTP Strict Transport Security (HSTS) est basée sur des stratégies.
Tous les certificats signés SHA-2 (SHA256, SHA384, SHA512) sont pris en charge sur le front de toutes les appliances. Dans la version 11.1, version 54.x et ultérieure, ces certificats sont également pris en charge sur le back-end de toutes les appliances. Dans les versions 11.0 et antérieures, seuls les certificats signés SHA256 sont pris en charge sur le back-end de toutes les appliances.
- Dans la version 11.1 build 52.x et antérieure, les chiffrements suivants ne sont pris en charge que sur l’avant des appliances MPX 9700 et MPX/SDX 14000 FIPS :
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 À partir de la version 11.1 build 53.x, et dans la version 12.0, ces chiffrements sont également pris en charge sur le back-end.
- Tous les chiffrements Chacha20-Poly1035 utilisent une fonction pseudo-aléatoire (PSF) TLS avec la fonction de hachage SHA-256.