Citrix ADCアプライアンスで利用可能な暗号
Citrix ADCアプライアンスには、事前定義された一連の暗号グループが付属しています。DEFAULT 暗号グループの一部ではない暗号を使用するには、SSL 仮想サーバーに明示的にバインドする必要があります。また、ユーザー定義の暗号グループを作成して、SSL 仮想サーバーにバインドすることもできます。ユーザ定義の暗号グループの作成の詳細については、ADCアプライアンスでのユーザー定義の暗号グループの構成を参照してください。
注意事項:
RC4暗号は、Citrix ADCアプライアンスのデフォルトの暗号グループには含まれません。ただし、N3 ベースのアプライアンスのソフトウェアでサポートされています。ハンドシェイクを含む RC4 暗号化はソフトウェアで行われます。
この暗号は、RFC 7465では安全でないと考えられ、非推奨であると考えられるため、使用しないことをお勧めします。
「show hardware」コマンドを使用して、アプライアンスに N3 チップがあるかどうかを確認します。
sh hardware
Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
- フロントエンド (仮想サーバー) でデフォルトでバインドされた暗号スイートに関する情報を表示するには、次のように入力します。
sh cipher DEFAULT - バックエンド (サービスに) でデフォルトでバインドされた暗号スイートに関する情報を表示するには、次のように入力します。
sh cipher DEFAULT_BACKEND - アプライアンスで定義されたすべての暗号グループ(エイリアス)に関する情報を表示するには、次のように入力します。
sh cipher - 特定の暗号グループの一部であるすべての暗号スイートに関する情報を表示するには、次のように入力します。
sh cipher <alias name>。たとえば、sh 暗号は ECDHE です。
以下のリンクは、さまざまなCitrix ADCプラットフォームおよび外部ハードウェアセキュリティモジュール(HSM)でサポートされている暗号スイートの一覧です。
- Citrix ADC MPX/SDX(N3)アプライアンス:Citrix ADC MPX/SDX(N3)アプライアンスでの暗号サポート
- Citrix ADC MPX/SDX インテル・コレト・アプライアンス:Citrix ADC MPX/SDX インテルコレト SSL チップベースのアプライアンスでの暗号サポート
- Citrix ADC VPXアプライアンス:Citrix ADC VPXアプライアンスでの暗号サポート
- Citrix ADCのMPX/SDX 14000 FIPSアプライアンス:Citrix ADC MPX/SDX 14000 FIPSアプライアンスでの暗号サポート
- 外部HSM(Thales/Safenet):外部HSM(Thales/Safenet)でサポートされる暗号化
- Citrix ADC MPX/SDX(N2)アプライアンス:Citrix ADC MPX/SDX(N2)アプライアンスでの暗号サポート
- Citrix ADC MPX 9700 FIPS アプライアンス:ファームウェア2.2を搭載したCitrix ADC MPX 9700 FIPSでの暗号のサポート
- Citrix ADC VPX FIPSおよびMPX FIPS認定アプライアンス:Citrix ADC VPX FIPSおよびMPX FIPS認定アプライアンスでの暗号サポート
注:
DTLS 暗号のサポートについては、Citrix ADC VPX、MPX、およびSDXアプライアンスでのDTLS暗号のサポートを参照してください。
表1-仮想サーバー/フロントエンドサービス/内部サービスのサポート:
TLS 1.3 での暗号化操作は、暗号アクセラレーションチップにオフロードされません。TLS 1.3 ハンドシェイクのすべての計算は、Coleto または Cavium アクセラレーションチップが存在する場合でも、サポートされているすべてのプラットフォーム上のソフトウェアで行われます。
| プロトコル/プラットフォーム | MPX/SDX (N2) | MPX/SDX (N3) | VPX | ファームウェア2.2を搭載したMPX 9700* FIPS | MPX/SDX 14000** FIPS | MPX 5900/8900 MPX 15000-50G MPX 26000-100G |
|---|---|---|---|---|---|---|
| TLS | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 未サポート | 未サポート | 13.0 すべてのビルド |
| 12.1-50.x | 12.1-50.x | 12.1-50.x | 未サポート | 未サポート | 12.1-50.x | |
| TLS 1.1/1.2 | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G | |
| 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0-70.x (only on MPX 5900/8900) | |
| 10.5 すべてのビルド | 10.5 すべてのビルド | 10.5-57.x | 10.5 58.1108.e | 10.5-59.1359.e | 10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ) | |
| ECDHE/DHE (例:TLS1-ECDHE-RSA-AES128-SHA) | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1-51.x | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G | |
| 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0-70.114 (MPX 5900/8900でのみ) | |||
| 10.5-53.x | 10.5-53.x | 10.5 すべてのビルド | 10.5-59.1306.e | 10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ) | ||
| AES-GCM (例:TLS1.2-AES128-GCM-SHA256) | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1-51.x(注を参照) | 11.1-51.x(注を参照) | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G | |
| 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0-66.x | 11.0-70.114 (MPX 5900/8900でのみ) | |||
| 10.5-53.x | 10.5-53.x | 10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ) | ||||
| SHA-2 Ciphers (例:TLS1.2-AES-128-SHA256) | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1-52.x | 11.1-52.x | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G | |
| 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0-66.x | 11.0-72.x, 11.0-70.114 (MPX 5900/8900でのみ) | |||
| 10.5-53.x | 10.5-53.x | 10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ) | ||||
| ECDSA (例:TLS1-ECDHE-ECDSA-AES256-SHA) | 未サポート | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 未サポート | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 未サポート | 12.0 すべてのビルド | 12.0-57.x | 該当なし | 未サポート | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1-56.x, 11.1-54.126 (ECC curves P_256 およびP_384のみがサポートされています。) | |||||
| CHACHA20 | 未サポート | 13.0 すべてのビルド | 13.0 すべてのビルド | 未サポート | 未サポート | 13.0 すべてのビルド |
| 未サポート | 未サポート | 12.1 すべてのビルド | 未サポート | 未サポート | 12.1-49.x (MPX 5900/8900でのみ) | |
| 未サポート | 未サポート | 12.0-56.x | 未サポート | 未サポート | 未サポート |
表2-バックエンドサービスのサポート:
バックエンドでは TLS 1.3 はサポートされていません。
| プロトコル/プラットフォーム | MPX/SDX (N2) | MPX/SDX (N3) | VPX | ファームウェア2.2を搭載したMPX 9700* FIPS | MPX/SDX 14000** FIPS | MPX 5900/8900 MPX 15000-50G MPX 26000-100G |
|---|---|---|---|---|---|---|
| TLS 1.1/1.2 | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G | |
| 11.0-50.x | 11.0-50.x | 11.0-66.x | 11.0 すべてのビルド | 11.0-70.119 (MPX 5900/8900でのみ) | ||
| 10.5-59.x | 10.5-59.x | 10.5-58.1108.e | 10.5-59.1359.e | 10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ) | ||
| ECDHE/DHE (例:TLS1-ECDHE-RSA-AES128-SHA) | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0-56.x | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1-51.x | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G | ||
| 11.0-50.x | 11.0-50.x | 11.0-70.119 (MPX 5900/8900でのみ) | ||||
| 10.5-58.x | 10.5-58.x | 10.5-59.1306.e | 10.5-67.x, 10.5-63.47 (MPX 5900/8900でのみ) | |||
| AES-GCM (例:TLS1.2-AES128-GCM-SHA256) | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 12.0 すべてのビルド | 12.0 すべてのビルド | 未サポート | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1-51.x | 11.1-51.x | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G | ||
| SHA-2 Ciphers (例:TLS1.2-AES-128-SHA256) | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 12.0 すべてのビルド | 12.0 すべてのビルド | 未サポート | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1-52.x | 11.1-52.x | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G | ||
| ECDSA (例:TLS1-ECDHE-ECDSA-AES256-SHA) | 未サポート | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |
| 未サポート | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 未サポート | 12.0 すべてのビルド | 12.0-57.x | 該当なし | 未サポート | 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G | |
| 11.1-51.x | 該当なし | 11.1-56.x for MPX 5900/8900 and MPX 15000-50G, 11.1-60.x for MPX 26000-100G (ECC curves P_256およびP_384のみがサポートされています。) | ||||
| CHACHA20 | 未サポート | 13.0 すべてのビルド | 13.0 すべてのビルド | 未サポート | 未サポート | 13.0 すべてのビルド |
| 未サポート | 未サポート | 12.1 すべてのビルド | 未サポート | 未サポート | 12.1-49.x for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G | |
| 未サポート | 未サポート | 12.0-56.x | 未サポート | 未サポート | 未サポート |
サポートされる ECDSA 暗号の詳細なリストについては、ECDSA 暗号スイートのサポートを参照してください。
注
TLS-フォールバック_SCSV 暗号スイートは、リリース 10.5 ビルド 57.xのすべてのアプライアンスでサポートされます。
HTTP 厳密トランスポートセキュリティ (HSTS) のサポートはポリシーベースです。
すべての SHA-2 署名証明書 (SHA256、SHA384、SHA512) は、すべてのアプライアンスのフロントエンドでサポートされます。リリース 11.1 ビルド 54.x 以降では、これらの証明書はすべてのアプライアンスのバックエンドでもサポートされます。リリース 11.0 以前では、すべてのアプライアンスのバックエンドで SHA256 署名証明書のみがサポートされています。
- リリース 11.1 ビルド 52.x 以前では、次の暗号は MPX 9700 および MPX/SDX 14000 FIPS アプライアンスのフロントエンドでのみサポートされます。
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 リリース11.1からビルド53.xであり、リリース12.0では、これらの暗号もバックエンドでサポートされています。
- すべてのChaCha20-Poly1035暗号は、SHA-256ハッシュ関数とTLS擬似ランダム関数(PSF)を使用します。
Citrix ADCアプライアンスで利用可能な暗号
この記事の概要
コピー完了
Failed!