Citrix ADC

ADCアプライアンスでのユーザー定義の暗号グループの構成

暗号グループは、Citrix ADCアプライアンス上のSSL仮想サーバー、サービス、またはサービスグループにバインドする一連の暗号スイートです。暗号スイートは、プロトコル、鍵交換(Kx)アルゴリズム、認証(Au)アルゴリズム、暗号化(Enc)アルゴリズム、およびメッセージ認証コード(Mac)で構成されています。アルゴリズムを使用します。アプライアンスには、事前定義された一連の暗号グループが付属しています。SSL サービスまたは SSL サービスグループを作成すると、ALL 暗号グループが自動的にバインドされます。ただし、SSL 仮想サーバーまたは透過的 SSL サービスを作成すると、DEFAULT 暗号グループが自動的にバインドされます。また、ユーザ定義の暗号グループを作成し、SSL 仮想サーバ、サービス、またはサービスグループにバインドすることもできます。

注: MPX アプライアンスにライセンスがない場合は、EXPORT 暗号のみが SSL 仮想サーバー、サービス、またはサービスグループにバインドされます。

ユーザ定義の暗号グループを作成するには、まず暗号グループを作成し、次に暗号グループまたは暗号グループをこのグループにバインドします。暗号エイリアスまたは暗号グループを指定すると、暗号エイリアスまたはグループ内のすべての暗号がユーザ定義の暗号グループに追加されます。また、個々の暗号(暗号スイート)をユーザー定義グループに追加することもできます。ただし、定義済みの暗号グループは変更できません。暗号グループを削除する前に、グループ内のすべての暗号スイートのバインドを解除します。

暗号グループを SSL 仮想サーバー、サービス、またはサービスグループにバインドすると、エンティティにバインドされている既存の暗号に暗号が追加されます。エンティティに特定の暗号グループをバインドするには、まずエンティティにバインドされている暗号または暗号グループのバインドを解除する必要があります。次に、特定の暗号グループをエンティティにバインドします。たとえば、AES 暗号グループだけを SSL サービスにバインドするには、次の手順を実行します。

  1. サービスの作成時にデフォルトでサービスにバインドされているデフォルトの暗号グループ ALL をバインド解除します。

    unbind ssl service <service name> -cipherName ALL
    
  2. AES 暗号グループをサービスにバインドする

    bind ssl service <Service name> -cipherName AE
    

    AES に加えて暗号グループ DES をバインドする場合は、コマンドプロンプトで次のように入力します。

    bind ssl service <service name> -cipherName DES
    

注: 無料のCitrix ADC仮想アプライアンスは、DH暗号グループのみをサポートします。

CLI を使用したユーザ定義の暗号グループの設定

コマンドプロンプトで、次のコマンドを入力して、暗号グループを追加するか、以前に作成したグループに暗号を追加し、設定を確認します。

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <string>
show ssl cipher <cipherGroupName>

例:

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

CLI を使用して暗号グループから暗号をバインド解除する

コマンドプロンプトで次のコマンドを入力して、ユーザー定義の暗号グループから暗号のバインドを解除し、設定を確認します。

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>

CLI を使用した暗号グループの削除

注: 組み込みの暗号グループは削除できません。ユーザ定義の暗号グループを削除する前に、暗号グループが空であることを確認してください。

コマンドプロンプトで、次のコマンドを入力して、ユーザー定義の暗号グループを削除し、構成を確認します。

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

例:

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]

GUI を使用したユーザー定義の暗号グループの構成

[トラフィック管理] > [SSL] > [暗号グループ]に移動し、暗号グループを設定します。

CLI を使用して、暗号グループを SSL 仮想サーバ、サービス、またはサービスグループにバインドするには、次の手順を実行します。

コマンドプロンプトで、次のいずれかを入力します。

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

例:

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done

GUI を使用して、暗号グループを SSL 仮想サーバ、サービス、またはサービスグループにバインドするには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。

    サービスの場合は、仮想サーバをサービスに置き換えます。サービスグループの場合は、仮想サーバをサービスグループに置き換えます。

    仮想サーバ、サービス、またはサービスグループを開きます。

  2. [詳細設定]で、[SSL 暗号] を選択します。

  3. 仮想サーバ、サービス、またはサービスグループに暗号グループをバインドします。

SSL仮想サーバーまたはサービスへの個々の暗号のバインド

また、暗号グループの代わりに個々の暗号を仮想サーバーまたはサービスにバインドすることもできます。

CLI を使用して暗号をバインドするには: コマンドプロンプトで次のように入力します。

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>

例:

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

GUI を使用して SSL 仮想サーバに暗号をバインドするには、次の手順を実行します。

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
  2. SSL 仮想サーバーを選択し、[編集] をクリックします。
  3. [詳細設定]で、[SSL 暗号] を選択します。
  4. 暗号スイート」で、「 追加」を選択します。
  5. 使用可能なリストで暗号を検索し、矢印をクリックして設定済みリストに追加します。
  6. [OK] をクリックします。
  7. [完了] をクリックします。

暗号を SSL サービスにバインドするには、仮想サーバをサービスに置き換えた後、上記の手順を繰り返します。