ADC

Configurer l’intégration ADC-nCipher

L’organigramme suivant décrit les tâches que vous devez effectuer pour utiliser nCipher HSM avec un NetScaler :

Organigramme

Comme indiqué dans l’organigramme précédent, vous effectuez les tâches suivantes :

  1. Activez la commande push de configuration à distance sur le HSM.
  2. Configurez l’ADC pour utiliser le nCipher HSM.
    • Ajoutez l’adresse NSIP sur le HSM.
    • Configurez l’autorisation d’accès pour l’ADC sur le RFS.
    • Configurez le démarrage automatique du Hardserver au démarrage.
    • Inscrivez le HSM sur l’ADC.
    • Ajoutez des détails RFS sur l’ADC.
    • Synchronisez ADC avec le RFS.
    • Vérifiez que nCipher HSM est correctement inscrit sur l’ADC.
  3. (Facultatif) Créez une clé HSM RSA.
  4. Configurez les entités sur NetScaler.
    • Ajoutez la clé HSM.
    • Ajoutez une paire de clés de certificat à l’aide de la clé HSM.
    • Ajoutez un serveur virtuel.
    • Ajoutez un objet serveur.
    • Ajoutez un service.
    • Liez le service au serveur virtuel.
    • Liez la paire de clés de certificat au serveur virtuel.
    • Vérifiez la configuration.

Configurer le HSM nCipher

Spécifiez l’adresse IP du RFS sur le HSM nCipher afin qu’il accepte la configuration que le RFS lui envoie. Utilisez le panneau avant de nShield Connect sur le nCipher HSM pour effectuer la procédure suivante.

Spécifiez l’adresse IP d’un ordinateur distant sur le nCipher HSM

  1. Accédez à Configuration du système > Options du fichier de configuration > Autoriser le push automatique.
  2. Sélectionnez ONet spécifiez l’adresse IP de l’ordinateur (RFS) à partir duquel accepter la configuration.

Activer la poussée de la configuration distante sur le HSM

Spécifiez l’adresse IP du RFS sur le HSM nCipher afin qu’il accepte la configuration que le RFS lui envoie. Utilisez le panneau avant de nShield Connect sur le nCipher HSM pour effectuer la procédure suivante.

Spécifiez l’adresse IP d’un ordinateur distant sur le nCipher HSM

  1. Accédez à Configuration système > Options du fichier de configuration > Autoriser la poussée automatique.
  2. Sélectionnez ONet spécifiez l’adresse IP de l’ordinateur (RFS) à partir duquel accepter la configuration.

Configurer l’ADC pour utiliser le nCipher HSM

Exemples de valeurs utilisées dans cette documentation :

Adresse NSIP=10.217.2.43

Adresse IP HSM nCipher = 10.217.2.112

Adresse IP RFS = 10.217.2.6

Ajoutez l’adresse NSIP sur le HSM

Vous utilisez généralement le panneau frontal de nShield Connect pour ajouter des clients au HSM. Pour plus d’informations, consultez le Guide de démarrage rapide de nShield Connect.

Vous pouvez également utiliser le RFS pour ajouter l’ADC en tant que client au HSM. Pour ajouter l’ADC, vous devez ajouter l’adresse NSIP dans la configuration HSM sur le RFS, puis transmettre la configuration au HSM. Avant de pouvoir valider la configuration, vous devez connaître le numéro de série électronique (ESN) du HSM.

Pour obtenir l’ESN de votre HSM, exécutez la commande suivante sur le RFS :

root@ns# /opt/nfast/bin/anonkneti <nCipher HSM IP address>
<!--NeedCopy-->

Exemple :

root@ns# /opt/nfast/bin/anonkneti 10.217.2.112
BD17-C807-58D9 5e30a698f7bab3b2068ca90a9488dc4e6c78d822
<!--NeedCopy-->

Le numéro ESN est BD17-C807-58D9.

Une fois que vous avez obtenu le numéro ESN, utilisez un éditeur, tel que vi, pour modifier le fichier de configuration HSM sur le RFS.

vi /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->

Dans la hs_clients section, ajoutez les entrées suivantes :

# Amount of data in bytes to encrypt with a session key before session key# renegotiation, or 0 for unlimitied. (default=1024\*1024\*8b=8Mb).
#  datalimit=INT
addr=10.217.2.43
clientperm=unpriv
keyhash=0000000000000000000000000000000000000000
esn=
timelimit=86400
datalimit=8388608
-----
<!--NeedCopy-->

Remarque : incluez un ou plusieurs traits d’union comme séparateurs pour ajouter plusieurs entrées dans la même section.

Pour transmettre la configuration au HSM, exécutez la commande suivante sur le RFS :

/opt/nfast/bin/cfg-pushnethsm --address=<nCipher HSM IP address> --force /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->

Exemple :

/opt/nfast/bin/cfg-pushnethsm --address=10.217.2.112 --force
                /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
<!--NeedCopy-->

Configurer l’autorisation d’accès pour l’ADC sur le RFS

Pour configurer l’autorisation d’accès pour l’ADC sur le RFS, exécutez la commande suivante sur le RFS :

/opt/nfast/bin/rfs-setup --force -g --write-noauth <NetScaler IP address>
<!--NeedCopy-->

Exemple :

[root@localhost bin]# /opt/nfast/bin/rfs-setup --force -g --write-noauth 10.217.2.43
Adding read-only remote_file_system entries
Ensuring the directory /opt/nfast/kmdata/local exists
Adding new writable remote_file_system entries
Ensuring the directory /opt/nfast/kmdata/local/sync-store exists
Saving the new config file and configuring the hardserver
Done
<!--NeedCopy-->

Vérifiez que l’ADC peut atteindre à la fois le RFS et le HSM nCipher à l’aide du port 9004.

Configurer le démarrage automatique hardserver de l’

Créez un fichier, puis redémarrez l’appliance. Désormais, chaque fois que vous redémarrez l’appliance, et si ce fichier est trouvé, elle démarre automatiquement. Hardserver

À l’invite shell, tapez :

touch /var/opt/nfast/bin/thales_hsm_is_enrolled
<!--NeedCopy-->

À l’invite de commande, tapez :

reboot
<!--NeedCopy-->

Inscrivez le HSM sur l’ADC

Changez de répertoire en /var/opt/nfast/bin.

Pour ajouter les détails du HSM à la configuration de l’ADC, exécutez la commande suivante sur l’ADC :

nethsmenroll --force <Thales_nShield_Connect_ip_address> $(anonkneti <Thales_nShield_Connect_ip_address>)

Exemple :

root@ns# ./nethsmenroll --force 10.217.2.112 $(anonkneti 10.217.2.112)
OK configuring hardserver's nethsm imports
<!--NeedCopy-->

Cette étape ajoute les entrées suivantes après la ligne # ntoken_esn=ESN dans la nethsm_imports section du fichier /var/opt/nfast/kmdata/config/config.

…
local_module=0
remote_ip=10.217.2.112
remote_port=9004
remote_esn=BD17-C807-58D9
keyhash=5e30a698f7bab3b2068ca90a9488dc4e6c78d822
timelimit=86400
datalimit=8388608
privileged=0
privileged_use_high_port=0
ntoken_esn=
<!--NeedCopy-->

Changez le répertoire en /var/opt/nfast/bin et exécutez la commande suivante sur l’ADC :

touch "thales_hsm_is_enrolled"
<!--NeedCopy-->

Remarque : Pour supprimer un HSM inscrit sur l’ADC, tapez :

./nethsmenroll –-remove <NETHSM-IP>
<!--NeedCopy-->

Ajouter des détails RFS sur l’ADC

Pour ajouter des détails RFS, remplacez le répertoire par /var/opt/nfast/bin/, puis exécutez la commande suivante :

./rfs-sync --no-authenticate --setup <rfs_ip_address>
<!--NeedCopy-->

Exemple :

./rfs-sync --no-authenticate --setup 10.217.2.6
No current RFS synchronization configuration.
Configuration successfully written; new config details:
Using RFS at 10.217.2.6:9004: not authenticating.
<!--NeedCopy-->

Cette étape ajoute les entrées suivantes après la ligne # Local_ESN=ESN dans la rfs_sync_client section du fichier /var/opt/nfast/kmdata/config/config.

……
remote_ip=10.217.2.6
remote_port=9004
use_kneti=no
local_esn=
<!--NeedCopy-->

Remarque : Pour supprimer un RFS inscrit sur l’ADC, tapez :

./rfs_sync –remove
<!--NeedCopy-->

Synchronisez l’ADC avec le RFS

Pour synchroniser tous les fichiers, remplacez le répertoire par /var/opt/nfast/bin, puis exécutez la commande suivante sur l’ADC :

./rfs-sync –-update
<!--NeedCopy-->

Cette commande extrait tous les fichiers World, les fichiers de module et les fichiers clés du répertoire /opt/nfast/kmdata/local du RFS et les place dans le répertoire /var/opt/nfast/kmdata/local de l’ADC. Citrix vous recommande de copier manuellement les fichiers World, les fichiers Module_xxxx_xxxx, où XXXX_XXXX correspond à l’ESN du HSM inscrit, et uniquement les fichiers de clé et de certificat RSA requis.

Vérifiez que le nCipher HSM est correctement inscrit sur l’ADC

Après avoir synchronisé ADC avec le RFS, procédez comme suit :

  • Vérifiez que le local Hardserver est opérationnel. (serveur nCipher en cours d’exécution).
  • Obtenez l’état des HSM configurés et vérifiez que les valeurs du champ n_modules (nombre de modules) et des champs d’informations km ne sont pas nulles.
  • Vérifiez que le HSM est correctement inscrit et qu’il est utilisable (état 0x2 Utilisable) par l’ADC.
  • Chargez les tests en utilisant sigtest run properly.

Modifiez le répertoire en /var/opt/nfast/bin, et à l’invite shell, exécutez les commandes suivantes :

root@ns# ./chkserv root@ns# ./nfkminfo root@ns# ./sigtest
<!--NeedCopy-->

Voir l’annexe pour un exemple.

Créer une clé HSM RSA

Seules les clés RSA sont prises en charge en tant que clés HSM.

Remarque : Ignorez cette étape si les clés sont déjà présentes dans le /opt/nfast/kmdata/local dossier du RFS.

Créez une clé RSA, un certificat auto-signé et une demande de signature de certificat (CSR). Envoyez le CSR à une autorité de certification pour obtenir un certificat de serveur.

Les fichiers suivants sont créés dans l’exemple suivant :

  • Intégrer la clé RSA : key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
  • Certificat auto-signé : example_selfcert
  • Demande de signature de certificat : example_req

Remarque : La generatekey commande est prise en charge dans le cadre strict de la norme FIPS 140-2 de niveau 3 Security World. Un jeu de cartes d’administrateur (ACS) ou un jeu de cartes d’opérateur (OCS) est nécessaire pour contrôler de nombreuses opérations, y compris la création de clés et d’OCS. Lorsque vous exécutez la generatekey commande, vous êtes invité à insérer une carte ACS ou OCS. Pour plus d’informations sur le monde de sécurité strict selon la norme FIPS 140-2 niveau 3, consultez le guide de l’utilisateur de nShield Connect.

L’exemple suivant utilise Level-2 Security World. Dans l’exemple, les commandes sont en gras.

Exemple :

[root@localhost bin]# ./generatekey embed
size: Key size? (bits, minimum 1024) [1024] > 2048
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
embedsavefile: Filename to write key to? []
> example
plainname: Key name? [] > example
x509country: Country code? [] > US
x509province: State or province? [] > CA
x509locality: City or locality? [] > Santa Clara
x509org: Organisation? [] > Citrix
x509orgunit: Organisation unit? [] > NS
x509dnscommon: Domain name? [] > www.citrix.com
x509email: Email address? [] > example@citrix.com
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
digest: Digest to sign cert req with? (md5, sha1, sha256, sha384, sha512)
  [default sha1] > sha512
key generation parameters:
 operation      Operation to perform               generate
 application    Application                        embed
 verify         Verify security of key             yes
 type           Key type                           RSA
 size           Key size                           2048
 pubexp         Public exponent for RSA key (hex)
 embedsavefile  Filename to write key to           example
 plainname      Key name                           example
 x509country    Country code                       US
 x509province   State or province                  CA
 x509locality   City or locality                   Santa Clara
 x509org        Organisation                       Citrix
 x509orgunit    Organisation unit                  NS
 x509dnscommon  Domain name                        www.citrix.com
 x509email      Email address                      example@citrix.com
 nvram          Blob in NVRAM (needs ACS)          no
 digest         Digest to sign cert req with       sha512
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
You have new mail in /var/spool/mail/root
<!--NeedCopy-->

Résultat :

Vous avez créé un CSR (example_req), un certificat auto-signé (example_selfcert) et un fichier de jeton clé d’application au format embed (/opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78)

Comme l’ADC ne prend en charge que les clés au format simple, vous devez convertir la clé incorporée en clé simple.

Pour convertir la clé d’intégration en une clé simple, exécutez la commande suivante sur le RFS :

[root@localhost bin]# ./generatekey -r simple
from-application: Source application? (embed, simple) [embed] > embed
from-ident: Source key identifier? (c6410ca00af7e394157518cb53b2db46ff18ce29,
                                    2ed5428aaeae1e159bdbd63f25292c7113ec2c78)
  [default c6410ca00af7e394157518cb53b2db46ff18ce29]
> 2ed5428aaeae1e159bdbd63f25292c7113ec2c78
ident: Key identifier? [] > examplersa2048key
plainname: Key name? [] > examplersa2048key
key generation parameters:
 operation         Operation to perform    retarget
 application       Application             simple
 verify            Verify security of key  yes
 from-application  Source application      embed
 from-ident        Source key identifier   2ed5428aaeae1e159bdbd63f25292c7113ec2c78
 ident             Key identifier          examplersa2048key
 plainname         Key name                examplersa2048key
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_simple_examplersa2048key
<!--NeedCopy-->

Important :

Lorsque vous êtes invité à saisir l’identifiant de la clé source, entrez 2ed5428aaeae1e159bdbd63f25292c7113ec2c78 comme clé d’intégration.

Résultat :

Une clé avec le préfixe key_simple (par exemple key_simple_examplersa2048key) est créée.

Remarque : examplersa2048key est l’identifiant de clé (ident) et est appelé nom de clé HSM sur l’ADC. Un identifiant clé est unique. Tous les fichiers simples ont le préfixe key_simple.

Configurer les entités sur l’ADC

Avant que ADC puisse traiter le trafic, vous devez effectuer les opérations suivantes :

  1. Activez les fonctionnalités.
  2. Ajoutez une adresse IP de sous-réseau (SNIP).
  3. Ajoutez la clé HSM à l’ADC.
  4. Ajoutez une paire de clés de certificat à l’aide de la clé HSM.
  5. Ajoutez un serveur virtuel.
  6. Ajoutez un objet serveur.
  7. Ajoutez un service.
  8. Liez le service au serveur virtuel.
  9. Liez la paire de clés de certificat au serveur virtuel.
  10. Vérifiez la configuration.

Activer les fonctionnalités de l’ADC

Les licences doivent être présentes sur l’ADC pour que vous puissiez activer une fonctionnalité.

Activer une fonctionnalité à l’aide de la CLI

À l’invite de commandes, exécutez les commandes suivantes :

enable feature lb
enable feature ssl
<!--NeedCopy-->

Activer une fonctionnalité à l’aide de l’interface graphique

Accédez à Système > Paramètres et, dans le groupe Modes et fonctionnalités, sélectionnez Configurer les fonctionnalités de base, puis sélectionnez Déchargement SSL.

Ajouter une adresse IP de sous-réseau

Pour plus d’informations sur les adresses IP des sous-réseaux, voir Configuration des adresses IP de sous-réseau.

Ajoutez une adresse SNIP et vérifiez la configuration à l’aide de l’interface de ligne de commande

À l’invite de commandes, exécutez les commandes suivantes :

add ns ip <IPAddress> <netmask> -type SNIP
show ns ip
<!--NeedCopy-->

Exemple :

add ns ip 192.168.17.253 255.255.248.0 -type SNIP
Done
show ns ip
        Ipaddress        Traffic Domain  Type             Mode     Arp      Icmp     Vserver  State
        ---------        --------------  ----             ----     ---      ----     -------  ------
1)      192.168.17.251   0               NetScaler IP     Active   Enabled  Enabled  NA       Enabled
2)      192.168.17.252   0               VIP              Active   Enabled  Enabled  Enabled  Enabled
3)      192.168.17.253   0               SNIP              Active   Enabled  Enabled  NA       Enabled
 Done
<!--NeedCopy-->

Ajoutez une adresse SNIP et vérifiez la configuration à l’aide de l’interface graphique

Accédez à Système > Réseau > IP, ajoutez une adresse IP et sélectionnez le type IP comme adresse IP de sous-réseau.

Copiez la clé HSM et le certificat sur l’ADC

Utilisez un utilitaire de transfert de fichiers sécurisé pour copier de manière sécurisée la clé (key_simple_examplersa2048key) /var/opt/nfast/kmdata/local dans le dossier et le certificat (example_selfcert) /nsconfig/ssl dans le dossier de l’ADC.

Ajoutez la clé sur l’ADC

Toutes les touches ont un préfixe simple. Lorsque vous ajoutez la clé à l’ADC, utilisez l’identifiant comme nom de clé HSM. Par exemple, si la clé que vous avez ajoutée est Key_Simple_XXXX, le nom de la clé HSM est XXXX.

Important :

  • Le nom de la clé HSM doit être identique à l’identifiant que vous avez spécifié lors de la conversion d’une clé intégrée en un format de clé simple.
  • Les clés doivent être présentes dans le /var/opt/nfast/kmdata/local/ répertoire de l’ADC.

Ajouter une clé HSM à l’aide de la CLI

À l’invite du shell, exécutez la commande suivante :

add ssl hsmKey <hsmKeyName> -key <string>
<!--NeedCopy-->

Exemple :

add ssl hsmKey examplersa2048key –key key_simple_examplersa2048key
Done
<!--NeedCopy-->

Ajouter une clé HSM à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > HSM, puis ajoutez une clé HSM.

Ajouter une paire de clés de certificat sur ADC

Pour plus d’informations sur les paires de clés de certificat, voir Ajouter ou mettre à jour une paire de clés de certificat.

Ajouter une paire de clés de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, exécutez la commande suivante :

add ssl certKey <certkeyName> -cert <string> -hsmKey <string>
<!--NeedCopy-->

Exemple :

add ssl certKey key22 -cert example_selfcert -hsmKey examplersa2048key
Done
<!--NeedCopy-->

Ajouter une paire de clés de certificat à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > Certificatset ajoutez une paire de clés de certificat.

Ajouter un serveur virtuel

Pour plus d’informations sur un serveur virtuel, reportez-vous à la section Configuration du serveur virtuel SSL.

Configurer un serveur virtuel SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, exécutez la commande suivante :

add lb vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

Exemple :

add lb vserver v1 SSL 192.168.17.252 443
<!--NeedCopy-->

Configurer un serveur virtuel basé sur SSL à l’aide de l’interface graphique

Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, créez un serveur virtuel et spécifiez le protocole SSL.

Ajouter un objet serveur

Avant de pouvoir ajouter un objet serveur sur l’ADC, assurez-vous d’avoir créé un serveur principal. L’exemple suivant utilise le module Python HTTP Server intégré sur un système Linux.

Exemple :

%python –m SimpleHTTPServer 80
<!--NeedCopy-->

Ajouter un objet serveur à l’aide de la CLI

À l’invite de commandes, exécutez la commande suivante :

add server <name> <IPAddress>
<!--NeedCopy-->

Exemple :

add server s1 192.168.17.246
<!--NeedCopy-->

Ajouter un objet serveur à l’aide de l’interface graphique

Accédez à Gestion du trafic > Équilibrage de charge > Serveurs, puis ajoutez un serveur.

Ajouter un service

Pour plus d’informations, voir Configuration des services.

Configurer un service à l’aide de l’interface de ligne de commande

À l’invite de commandes, exécutez la commande suivante :

add service <name> <serverName> <serviceType> <port>
<!--NeedCopy-->

Exemple :

add service sr1 s1 HTTP 80
<!--NeedCopy-->

Configurer un service à l’aide de l’interface graphique

Accédez à Gestion du trafic > Équilibrage de charge > Services, puis créez un service.

Liez le service au serveur virtuel

Pour plus d’informations, voir Lier les services au serveur virtuel SSL.

Lier un service à un serveur virtuel à l’aide de l’interface de ligne de commande

À l’invite de commandes, exécutez la commande suivante :

bind lb vserver <name> <serviceName>
<!--NeedCopy-->

Exemple :

bind lb vserver v1 sr1
<!--NeedCopy-->

Liaison d’un service à un serveur virtuel à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Ouvrez un serveur virtuel et cliquez dans le volet Services pour lier un service au serveur virtuel.

Liez la paire de clés de certificat au serveur virtuel sur ADC

Pour plus d’informations, voir Lier la paire de clés de certificat au serveur virtuel SSL.

Liez une paire de clés de certificat à un serveur virtuel à l’aide de l’interface de ligne de commande

À l’invite de commandes, exécutez la commande suivante :

bind ssl vserver <vServerName> -certkeyName <string>
<!--NeedCopy-->

Exemple :

bind ssl vserver v1 -certkeyName key22
Warning: Current certificate replaces the previous binding
<!--NeedCopy-->

Liez une paire de clés de certificat à un serveur virtuel à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Ouvrez un serveur virtuel SSL et, dans les paramètres avancés, cliquez sur Certificat SSL.
  3. Liez un certificat de serveur au serveur virtuel.

Vérifiez la configuration

Pour afficher la configuration à l’aide de la CLI :

À l’invite de commandes, exécutez les commandes suivantes :

show lb vserver <name>
show ssl vserver <vServerName>
<!--NeedCopy-->

Exemple :

show lb vserver v1
        v1 (192.168.17.252:443) - SSL   Type: ADDRESS
        State: UP
        Last state change was at Wed Oct 29 03:11:11 2014
        Time since last state change: 0 days, 00:01:25.220
        Effective State: UP
        Client Idle Timeout: 180 sec
        Down state flush: ENABLED
        Disable Primary Vserver On Down : DISABLED
        Appflow logging: ENABLED
        No. of Bound Services :  1 (Total)       1 (Active)
        Configured Method: LEASTCONNECTION
        Current Method: Round Robin, Reason: Bound service's state changed to UP
        Mode: IP
        Persistence: NONE
        Vserver IP and Port insertion: OFF
        Push: DISABLED  Push VServer:
        Push Multi Clients: NO
        Push Label Rule: none
        L2Conn: OFF
        Skip Persistency: None
        IcmpResponse: PASSIVE
        RHIstate: PASSIVE
        New Service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0
        Mac mode Retain Vlan: DISABLED
        DBS_LB: DISABLED
        Process Local: DISABLED
        Traffic Domain: 0

1) sr1 (192.168.17.246: 80) - HTTP State: UP    Weight: 1
Done
<!--NeedCopy-->
sh ssl vserver v1
        Advanced SSL configuration for VServer v1:
        DH: DISABLED
        Ephemeral RSA: ENABLED          Refresh Count: 0
        Session Reuse: ENABLED          Timeout: 120 seconds
        Cipher Redirect: DISABLED
        SSLv2 Redirect: DISABLED
        ClearText Port: 0
        Client Auth: DISABLED
        SSL Redirect: DISABLED
        Non FIPS Ciphers: DISABLED
        SNI: DISABLED
        SSLv2: DISABLED  SSLv3: DISABLED  TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
        Push Encryption Trigger: Always
        Send Close-Notify: YES

        ECC Curve: P_256, P_384, P_224, P_521

1)      CertKey Name: key22       Server Certificate

1)      Cipher Name: DEFAULT
        Description: Predefined Cipher Alias
 Done
<!--NeedCopy-->

Pour afficher la configuration à l’aide de l’interface graphique :

Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis double-cliquez sur un serveur virtuel SSL pour l’ouvrir et afficher la configuration.

Configurer l’intégration ADC-nCipher