Citrix ADC

Citrix ADCアプライアンスで利用可能な暗号

Citrix ADCアプライアンスには、事前定義された一連の暗号グループが付属しています。DEFAULT 暗号グループの一部ではない暗号を使用するには、SSL 仮想サーバーに明示的にバインドする必要があります。また、ユーザー定義の暗号グループを作成して、SSL 仮想サーバーにバインドすることもできます。ユーザ定義の暗号グループの作成の詳細については、ADCアプライアンスでのユーザー定義の暗号グループの構成を参照してください。

注意事項:

RC4暗号は、Citrix ADCアプライアンスのデフォルトの暗号グループには含まれません。ただし、N3 ベースのアプライアンスのソフトウェアでサポートされています。ハンドシェイクを含む RC4 暗号化はソフトウェアで行われます。

この暗号は、RFC 7465では安全でないと考えられ、非推奨であると考えられるため、使用しないことをお勧めします。

「show hardware」コマンドを使用して、アプライアンスに N3 チップがあるかどうかを確認します。

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT
  • フロントエンド (仮想サーバー) でデフォルトでバインドされた暗号スイートに関する情報を表示するには、次のように入力します。sh cipher DEFAULT
  • バックエンド (サービスに) でデフォルトでバインドされた暗号スイートに関する情報を表示するには、次のように入力します。sh cipher DEFAULT_BACKEND
  • アプライアンスで定義されたすべての暗号グループ(エイリアス)に関する情報を表示するには、次のように入力します。sh cipher
  • 特定の暗号グループの一部であるすべての暗号スイートに関する情報を表示するには、次のように入力します。sh cipher <alias name>。たとえば、sh 暗号は ECDHE です。

以下のリンクは、さまざまなCitrix ADCプラットフォームおよび外部ハードウェアセキュリティモジュール(HSM)でサポートされている暗号スイートの一覧です。

注:

DTLS 暗号のサポートについては、Citrix ADC VPX、MPX、およびSDXアプライアンスでのDTLS暗号のサポートを参照してください。

表1-仮想サーバー/フロントエンドサービス/内部サービスのサポート:

TLS 1.3 での暗号化操作は、暗号アクセラレーションチップにオフロードされません。TLS 1.3 ハンドシェイクのすべての計算は、Coleto または Cavium アクセラレーションチップが存在する場合でも、サポートされているすべてのプラットフォーム上のソフトウェアで行われます。

プロトコル/プラットフォーム MPX/SDX (N2) MPX/SDX (N3) VPX ファームウェア2.2を搭載したMPX 9700* FIPS MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 未サポート 未サポート 13.0 すべてのビルド
  12.1-50.x 12.1-50.x 12.1-50.x 未サポート 未サポート 12.1-50.x
TLS 1.1/1.2 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G
  11.0 すべてのビルド 11.0 すべてのビルド 11.0 すべてのビルド 11.0 すべてのビルド 11.0 すべてのビルド 11.0-70.x (only on MPX 5900/8900)
  10.5 すべてのビルド 10.5 すべてのビルド 10.5-57.x 10.5 58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ)
ECDHE/DHE (例:TLS1-ECDHE-RSA-AES128-SHA) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1-51.x 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G
  11.0 すべてのビルド 11.0 すべてのビルド 11.0 すべてのビルド     11.0-70.114 (MPX 5900/8900でのみ)
  10.5-53.x 10.5-53.x 10.5 すべてのビルド 10.5-59.1306.e   10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ)
AES-GCM (例:TLS1.2-AES128-GCM-SHA256) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1-51.x(注を参照) 11.1-51.x(注を参照) 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G
  11.0 すべてのビルド 11.0 すべてのビルド 11.0-66.x     11.0-70.114 (MPX 5900/8900でのみ)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ)
SHA-2 Ciphers (例:TLS1.2-AES-128-SHA256) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1-52.x 11.1-52.x 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G
  11.0 すべてのビルド 11.0 すべてのビルド 11.0-66.x     11.0-72.x, 11.0-70.114 (MPX 5900/8900でのみ)
  10.5-53.x 10.5-53.x       10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ)
ECDSA (例:TLS1-ECDHE-ECDSA-AES256-SHA) 未サポート 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  未サポート 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  未サポート 12.0 すべてのビルド 12.0-57.x 該当なし 未サポート 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
    11.1 すべてのビルド       11.1-56.x, 11.1-54.126 (ECC curves P_256 およびP_384のみがサポートされています。)
CHACHA20 未サポート 13.0 すべてのビルド 13.0 すべてのビルド 未サポート 未サポート 13.0 すべてのビルド
  未サポート 未サポート 12.1 すべてのビルド 未サポート 未サポート 12.1-49.x (MPX 5900/8900でのみ)
  未サポート 未サポート 12.0-56.x 未サポート 未サポート 未サポート

表2-バックエンドサービスのサポート:

バックエンドでは TLS 1.3 はサポートされていません。

プロトコル/プラットフォーム MPX/SDX (N2) MPX/SDX (N3) VPX ファームウェア2.2を搭載したMPX 9700* FIPS MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.1/1.2 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G
  11.0-50.x 11.0-50.x 11.0-66.x 11.0 すべてのビルド   11.0-70.119 (MPX 5900/8900でのみ)
  10.5-59.x 10.5-59.x   10.5-58.1108.e 10.5-59.1359.e 10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ)
ECDHE/DHE (例:TLS1-ECDHE-RSA-AES128-SHA) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0-56.x 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド   11.1 すべてのビルド 11.1-51.x 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G
  11.0-50.x 11.0-50.x       11.0-70.119 (MPX 5900/8900でのみ)
  10.5-58.x 10.5-58.x   10.5-59.1306.e   10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ)
AES-GCM (例:TLS1.2-AES128-GCM-SHA256) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 未サポート 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド   11.1-51.x 11.1-51.x 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G
SHA-2 Ciphers (例:TLS1.2-AES-128-SHA256) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 未サポート 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド   11.1-52.x 11.1-52.x 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G
ECDSA (例:TLS1-ECDHE-ECDSA-AES256-SHA) 未サポート 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  未サポート 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  未サポート 12.0 すべてのビルド 12.0-57.x 該当なし 未サポート 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
    11.1-51.x   該当なし   11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G (ECC curves P_256およびP_384のみがサポートされています。)
CHACHA20 未サポート 13.0 すべてのビルド 13.0 すべてのビルド 未サポート 未サポート 13.0 すべてのビルド
  未サポート 未サポート 12.1 すべてのビルド 未サポート 未サポート 12.1-49.x for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  未サポート 未サポート 12.0-56.x 未サポート 未サポート 未サポート

サポートされる ECDSA 暗号の詳細なリストについては、ECDSA 暗号スイートのサポートを参照してください。

  • TLS-フォールバック_SCSV 暗号スイートは、リリース 10.5 ビルド 57.xのすべてのアプライアンスでサポートされます。

  • HTTP 厳密トランスポートセキュリティ (HSTS) のサポートはポリシーベースです。

  • すべての SHA-2 署名証明書 (SHA256、SHA384、SHA512) は、すべてのアプライアンスのフロントエンドでサポートされます。リリース 11.1 ビルド 54.x 以降では、これらの証明書はすべてのアプライアンスのバックエンドでもサポートされます。リリース 11.0 以前では、すべてのアプライアンスのバックエンドで SHA256 署名証明書のみがサポートされています。

  • リリース 11.1 ビルド 52.x 以前では、次の暗号は MPX 9700 および MPX/SDX 14000 FIPS アプライアンスのフロントエンドでのみサポートされます。
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 リリース11.1からビルド53.xであり、リリース12.0では、これらの暗号もバックエンドでサポートされています。
  • すべてのChaCha20-Poly1035暗号は、SHA-256ハッシュ関数とTLS擬似ランダム関数(PSF)を使用します。

Citrix ADCアプライアンスで利用可能な暗号