In SSLオフロードおよびSSLアクセラレーション
In Citrix ADC 13.0
In Citrix ADC
In All products
製品ドキュメント
In SSLオフロードおよびSSLアクセラレーション
In Citrix ADC 13.0
In Citrix ADC
In All products
SSLオフロードおよびSSLアクセラレーション
Current Release 12.1 12.0 11.1 10.5
PDFを表示

ECDSA暗号の組み合わせのサポート

September 11, 2020
寄稿者: 
C

ECDSA暗号スイートは、楕円曲線暗号化(ECC)を使用します。サイズが小さいため、処理能力、ストレージ領域、帯域幅、消費電力に制約がある環境で役立ちます。

次のCitrix ADCアプライアンスは、楕円曲線デジタル署名アルゴリズム(ECDSA)暗号グループをサポートするようになりました。

  • N3チップを搭載したCitrix ADC MPXおよびSDXアプライアンス
  • Citrix ADC MPX 5900/8900/15000/26000
  • Citrix ADC SDX 8900/15000
  • Citrix ADC VPX アプライアンス

ECDHE_ECDSA 暗号グループを使用する場合、サーバーの証明書に ECDSA 対応の公開鍵が含まれている必要があります。

例:

sh ssl cipher ECDSA

1)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
2)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
3)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
4)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
5)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
6)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
7)      Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
8)      Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

次の表は、N3チップ、Citrix ADC VPXアプライアンス、MPX 5900/26000、MPX/SDX 8900/15000アプライアンスを搭載したアプライアンスでサポートされるECDSA暗号の一覧です。

暗号名 優先度 説明 キー交換アルゴリズム 認証アルゴリズム 暗号化アルゴリズム (鍵サイズ) メッセージ認証コード (MAC) アルゴリズム 16進コード
TLS1-ECDHE-ECDSA-AES128-SHA 1 SSLv3 ECC-DHE ECDSA AES(128) SHA1 0xc009
TLS1-ECDHE-ECDSA-AES256-SHA 2 SSLv3 ECC-DHE ECDSA AES(256) SHA1 0xc00a
TLS1.2-ECDHE-ECDSA-AES128-SHA256 3 TLSv1.2 ECC-DHE ECDSA AES(128) SHA-256 0xc023
TLS1.2-ECDHE-ECDSA-AES256-SHA384 4 TLSv1.2 ECC-DHE ECDSA AES(256) SHA-384 0xc024
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 5 TLSv1.2 ECC-DHE ECDSA AES-GCM(128) SHA-256 0xc02b
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 6 TLSv1.2 ECC-DHE ECDSA AES-GCM(256) SHA-384 0xc02c
TLS1-ECDHE-ECDSA-RC4-SHA 7 SSLv3 ECC-DHE ECDSA RC4(128) SHA1 0xc007
TLS1-ECDHE-ECDSA-DES-CBC3-SHA 8 SSLv3 ECC-DHE ECDSA 3DES(168) SHA1 0xc008
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 9 TLSv1.2 ECC-DHE ECDSA CHACHA20/POLY1305(256) AEAD cca9

重要

show ns hardware コマンドを使用して、アプライアンスに N3 チップがあるかどうかを確認します。

例:

sh ns hardware
              Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
              Manufactured on: 8/19/2013
              CPU: 2900MHZ
              Host Id: 1006665862
              Serial no: ENUK6298FT
              Encoded serial no: ENUK6298FT
     Done

ECDSA/RSA 暗号と証明書の選択

ECDSA および RSA サーバ証明書の両方を SSL 仮想サーバに同時にバインドできます。ECDSA 証明書と RSA 証明書の両方が仮想サーバーにバインドされると、クライアントに対して提示する適切なサーバー証明書が自動的に選択されます。クライアント暗号リストにRSA暗号が含まれていても、ECDSA暗号が含まれていない場合、仮想サーバはRSAサーバ証明書を提示します。両方の暗号がクライアントのリストに存在する場合、提示されるサーバ証明書は、仮想サーバに設定されている暗号の優先順位によって異なります。つまり、RSA のプライオリティが高い場合は、RSA 証明書が表示されます。ECDSA の優先順位が高い場合は、ECDSA 証明書がクライアントに提示されます。

ECDSA または RSA 証明書を使用したクライアント認証

クライアント認証では、仮想サーバにバインドされた CA 証明書を ECDSA または RSA 署名にすることができます。アプライアンスは、混合証明書チェーンをサポートします。たとえば、次の証明書チェーンがサポートされています。

クライアント証明書(ECDSA)<-> CA証明書(RSA)<-> 中間証明書(RSA)<-> ルート証明書(RSA)

次の曲線のみを持つ ECDSA 証明書がサポートされています。

  • prime256v1
  • secp384r1
  • secp521r1 (VPX only)
  • 224r1 (VPX のみ)

ECDSA 証明書とキーペアの作成

CLI または GUI を使用して、Citrix ADC アプライアンスで直接 ECDSA 証明書とキーのペアを作成できます。以前は、アプライアンスに ECC 証明書とキーのペアをインストールしてバインドすることができましたが、OpenSSL を使用して証明書とキーのペアを作成する必要がありました。

P_256 および P_384 曲線のみがサポートされています。

このサポートは、MPX 9700/1050/12500/15500 を除くすべてのプラットフォームで利用できます。

CLI を使用して ECDSA 証明書とキーペアを作成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]

例:

create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done

GUI を使用して ECDSA 証明書とキーペアを作成するには、次の手順を実行します。

  1. [トラフィック管理] > [SSL] > [SSL ファイル] > [キー] に移動し、[ECDSA キーの作成] をクリックします。
  2. PKCS #8 形式でキーを作成するには、[PKCS8] を選択します。
ECDSA暗号の組み合わせのサポート
September 11, 2020
寄稿者: 
C
September 11, 2020
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.