Citrix ADC

ECDSA暗号の組み合わせのサポート

ECDSA暗号スイートは、楕円曲線暗号化(ECC)を使用します。サイズが小さいため、処理能力、ストレージ領域、帯域幅、消費電力に制約がある環境で役立ちます。

次のCitrix ADCアプライアンスは、楕円曲線デジタル署名アルゴリズム(ECDSA)暗号グループをサポートするようになりました。

  • N3チップを搭載したCitrix ADC MPXおよびSDXアプライアンス
  • Citrix ADC MPX 5900/8900/15000/26000
  • Citrix ADC SDX 8900/15000
  • Citrix ADC VPX アプライアンス

ECDHE_ECDSA 暗号グループを使用する場合、サーバーの証明書に ECDSA 対応の公開鍵が含まれている必要があります。

例:

sh ssl cipher ECDSA

1)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
2)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
3)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
4)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
5)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
6)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
7)      Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
8)      Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

次の表は、N3チップ、Citrix ADC VPXアプライアンス、MPX 5900/26000、MPX/SDX 8900/15000アプライアンスを搭載したアプライアンスでサポートされるECDSA暗号の一覧です。

暗号名 優先度 説明 キー交換アルゴリズム 認証アルゴリズム 暗号化アルゴリズム (鍵サイズ) メッセージ認証コード (MAC) アルゴリズム 16進コード
TLS1-ECDHE-ECDSA-AES128-SHA 1 SSLv3 ECC-DHE ECDSA AES(128) SHA1 0xc009
TLS1-ECDHE-ECDSA-AES256-SHA 2 SSLv3 ECC-DHE ECDSA AES(256) SHA1 0xc00a
TLS1.2-ECDHE-ECDSA-AES128-SHA256 3 TLSv1.2 ECC-DHE ECDSA AES(128) SHA-256 0xc023
TLS1.2-ECDHE-ECDSA-AES256-SHA384 4 TLSv1.2 ECC-DHE ECDSA AES(256) SHA-384 0xc024
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 5 TLSv1.2 ECC-DHE ECDSA AES-GCM(128) SHA-256 0xc02b
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 6 TLSv1.2 ECC-DHE ECDSA AES-GCM(256) SHA-384 0xc02c
TLS1-ECDHE-ECDSA-RC4-SHA 7 SSLv3 ECC-DHE ECDSA RC4(128) SHA1 0xc007
TLS1-ECDHE-ECDSA-DES-CBC3-SHA 8 SSLv3 ECC-DHE ECDSA 3DES(168) SHA1 0xc008
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 9 TLSv1.2 ECC-DHE ECDSA CHACHA20/POLY1305(256) AEAD cca9

重要

show ns hardware コマンドを使用して、アプライアンスに N3 チップがあるかどうかを確認します。

例:

sh ns hardware
              Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
              Manufactured on: 8/19/2013
              CPU: 2900MHZ
              Host Id: 1006665862
              Serial no: ENUK6298FT
              Encoded serial no: ENUK6298FT
     Done

ECDSA/RSA 暗号と証明書の選択

ECDSA および RSA サーバ証明書の両方を SSL 仮想サーバに同時にバインドできます。ECDSA 証明書と RSA 証明書の両方が仮想サーバーにバインドされると、クライアントに対して提示する適切なサーバー証明書が自動的に選択されます。クライアント暗号リストにRSA暗号が含まれていても、ECDSA暗号が含まれていない場合、仮想サーバはRSAサーバ証明書を提示します。両方の暗号がクライアントのリストに存在する場合、提示されるサーバ証明書は、仮想サーバに設定されている暗号の優先順位によって異なります。つまり、RSA のプライオリティが高い場合は、RSA 証明書が表示されます。ECDSA の優先順位が高い場合は、ECDSA 証明書がクライアントに提示されます。

ECDSA または RSA 証明書を使用したクライアント認証

クライアント認証では、仮想サーバにバインドされた CA 証明書を ECDSA または RSA 署名にすることができます。アプライアンスは、混合証明書チェーンをサポートします。たとえば、次の証明書チェーンがサポートされています。

クライアント証明書(ECDSA)<-> CA証明書(RSA)<-> 中間証明書(RSA)<-> ルート証明書(RSA)

次の曲線のみを持つ ECDSA 証明書がサポートされています。

  • prime256v1
  • secp384r1
  • secp521r1 (VPX only)
  • 224r1 (VPX のみ)

ECDSA 証明書とキーペアの作成

CLI または GUI を使用して、Citrix ADC アプライアンスで直接 ECDSA 証明書とキーのペアを作成できます。以前は、アプライアンスに ECC 証明書とキーのペアをインストールしてバインドすることができましたが、OpenSSL を使用して証明書とキーのペアを作成する必要がありました。

P_256 および P_384 曲線のみがサポートされています。

このサポートは、MPX 9700/1050/12500/15500 を除くすべてのプラットフォームで利用できます。

CLI を使用して ECDSA 証明書とキーペアを作成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]

例:

create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done

GUI を使用して ECDSA 証明書とキーペアを作成するには、次の手順を実行します。

  1. [トラフィック管理] > [SSL] > [SSL ファイル] > [キー] に移動し、[ECDSA キーの作成] をクリックします。
  2. PKCS #8 形式でキーを作成するには、[PKCS8] を選択します。

ECDSA暗号の組み合わせのサポート