Citrix ADC

ECDHEの暗号の組み合わせ

すべてのCitrix ADCアプライアンスは、フロントエンドとバックエンドでECDHE暗号グループをサポートします。SDXアプライアンスでは、SSLチップがVPXインスタンスに割り当てられている場合、MPXアプライアンスの暗号サポートが適用されます。それ以外の場合は、VPXインスタンスの通常の暗号サポートが適用されます。

これらの暗号をサポートするビルドとプラットフォームの詳細については、「Citrix ADCアプライアンスで利用可能な暗号」を参照してください。

ECDHE暗号スイートは、楕円曲線暗号(ECC)を使用します。キーサイズが小さいため、ECC は、モバイル(無線)環境またはミリ秒ごとに重要な対話型音声応答環境で特に役立ちます。キーサイズを小さくすると、電力、メモリ、帯域幅、計算コストを節約できます。

Citrix ADCアプライアンスは、次のECCカーブをサポートしています。

  • P_256
  • P_384
  • P_224
  • P_521

注意: リリース10.1のビルド121.10より前のビルドからアップグレードする場合は、ECCカーブを既存のSSL仮想サーバおよびサービスに明示的にバインドする必要があります。カーブは、アップグレード後に作成した仮想サーバおよびサービスにデフォルトでバインドされます。

ECC カーブを SSL フロントエンドおよびバックエンドエンティティにバインドできます。既定では、4 つのカーブはすべて P_256、P_384、P_224、P_521 の順序でバインドされます。順序を変更するには、まずすべてのカーブのバインドを解除してから、目的の順序でバインドする必要があります。

CLIを使用してECCカーブをSSL仮想サーバにバインドする

コマンドプロンプトで、次のように入力します。

bind ssl vserver <vServerName > -eccCurveName <eccCurveName >

例:

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done

GUIを使用してECCカーブをSSL仮想サーバにバインドする

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。
  2. SSL 仮想サーバーを選択し、[編集] をクリックします。
  3. [詳細設定] で、[ECC 曲線] をクリックします。 ECC曲線の詳細設定
  4. ECC 曲線セクションの内側をクリックします。
  5. [SSL 仮想サーバ ECC カーブバインディング] ページで、[バインディングの追加] をクリックします。 SSL仮想サーバでのECC曲線バインディングの追加
  6. [ECC 曲線バインド] で、[ECC 曲線を選択] をクリックします。 ECC 曲線を選択
  7. 値を選択し、[選択] をクリックします。 ECC 曲線値を選択してください
  8. [バインド] をクリックします。
  9. [閉じる] をクリックします。
  10. [完了] をクリックします。

CLI を使用して ECC カーブを SSL サービスにバインドする

コマンドプロンプトで、次のように入力します。

bind ssl service <vServerName > -eccCurveName <eccCurveName >

例:

> bind ssl service sslsvc -eccCurveName P_224
 Done
> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service sslsvc:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: DISABLED
    Session Reuse: ENABLED      Timeout: 300 seconds
    Cipher Redirect: DISABLED
    ClearText Port: 0
    Server Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: ???
    DHE Key Exchange With PSK: ???
    Tickets Per Authentication Context: ???

    ECC Curve: P_224


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done

GUIを使用してECCカーブをSSLサービスにバインドする

  1. [トラフィック管理] > [ロードバランシング] > [サービス]に移動します。
  2. SSL サービスを選択し、[編集] をクリックします。
  3. [詳細設定] で、[ECC 曲線] をクリックします。 ECC曲線の詳細設定
  4. ECC 曲線セクションの内側をクリックします。
  5. [SSL サービス ECC カーブバインディング] ページで、[バインディングの追加] をクリックします。 ECC 曲線バインドの追加
  6. [ECC 曲線バインド] で、[ECC 曲線を選択] をクリックします。 ECC 曲線を選択
  7. 値を選択し、[選択] をクリックします。 ECC 曲線値を選択してください
  8. [バインド] をクリックします。
  9. [閉じる] をクリックします。
  10. [完了] をクリックします。