ADC

ECDSA暗号の組み合わせのサポート

ECDSA 暗号スイートは楕円曲線暗号 (ECC) を使用します。サイズが小さいため、処理能力、ストレージ領域、帯域幅、消費電力に制約がある環境で役立ちます。

ECDHE_ECDSA 暗号グループを使用する場合、サーバーの証明書に ECDSA 対応の公開鍵が含まれている必要があります。

次の表は、N3チップ、NetScaler VPXアプライアンス、MPX 5900/26000、MPX/SDX 8900/15000アプライアンスを搭載したアプライアンスでサポートされるECDSA暗号の一覧です。

暗号名 優先度 説明 鍵交換アルゴリズム 認証アルゴリズム 暗号化アルゴリズム (キーサイズ) メッセージ認証コード (MAC) アルゴリズム 16進コード
TLS1-ECDHE-ECDSA-AES128-SHA 1 SSLv3 ECC-DHE ECDSA AES (128) SHA1 0xc009
TLS1-ECDHE-ECDSA-AES256-SHA 2 SSLv3 ECC-DHE ECDSA AES (256) SHA1 0xc00a
TLS1.2-ECDHE-ECDSA-AES128-SHA256 3 TLSv1.2 ECC-DHE ECDSA AES (128) SHA-256 0xc023
TLS1.2-ECDHE-ECDSA-AES256-SHA384 4 TLSv1.2 ECC-DHE ECDSA AES (256) SHA-384 0xc024
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 5 TLSv1.2 ECC-DHE ECDSA AES-GCM(128) SHA-256 0xc02b
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 6 TLSv1.2 ECC-DHE ECDSA AES-GCM(256) SHA-384 0xc02c
TLS1-ECDHE-ECDSA-RC4-SHA 7 SSLv3 ECC-DHE ECDSA RC4(128) SHA1 0xc007
TLS1-ECDHE-ECDSA-DES-CBC3-SHA 8 SSLv3 ECC-DHE ECDSA 3DES(168) SHA1 0xc008
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 9 TLSv1.2 ECC-DHE ECDSA CHACHA20/POLY1305(256) 先に cca9

ECDSA/RSA 暗号と証明書の選択

ECDSA と RSA のサーバー証明書の両方を SSL 仮想サーバーに同時にバインドできます。ECDSA証明書とRSA証明書の両方が仮想サーバーにバインドされると、クライアントに提示する適切なサーバー証明書が自動的に選択されます。クライアント暗号リストに RSA 暗号が含まれているが ECDSA 暗号が含まれていない場合、仮想サーバーは RSA サーバー証明書を提示します。クライアントのリストに両方の暗号が存在する場合、表示されるサーバー証明書は仮想サーバーに設定されている暗号優先度によって異なります。つまり、RSA の優先順位が高い場合は、RSA 証明書が表示されます。ECDSA の優先順位が高い場合は、ECDSA 証明書がクライアントに提示されます。

ECDSA または RSA 証明書を使用したクライアント認証

クライアント認証では、仮想サーバーにバインドされたCA証明書にECDSAまたはRSA署名を付けることができます。アプライアンスは混合証明書チェーンをサポートします。たとえば、次の証明書チェーンがサポートされています。

クライアント証明書(ECDSA)<-> CA証明書(RSA)<-> 中間証明書(RSA)<-> ルート証明書(RSA)

次の表に、ECDSA暗号グループおよびECDSA証明書を使用するさまざまなCitrix ADCアプライアンスでサポートされている楕円曲線を示します。

楕円曲線 サポートされているプラットフォーム
prime256v1 FIPS を含むすべてのプラットフォーム。
secp384r1 FIPS を含むすべてのプラットフォーム。
secp521r1 MPX 5900、MPX/SDX 8900、MPX/SDX 15000、MPX/SDX 26000、VPX
secp224r1 MPX 5900、MPX/SDX 8900。MPX/SDX 15000、MPX/SDX 26000、VPX

ECDSA 証明書とキーペアの作成

CLIまたはGUIを使用して、ECDSA証明書とキーのペアをNetScalerアプライアンス上で直接作成できます。以前は、アプライアンスに ECC 証明書とキーのペアをインストールしてバインドすることはできましたが、証明書とキーのペアを作成するには OpenSSL を使用する必要がありました。

P_256 カーブと P_384 カーブのみがサポートされています。

このサポートは、MPX 9700/1050/12500/15500を除くすべてのプラットフォームで利用できます。

CLI を使用して ECDSA 証明書とキーのペアを作成するには:

コマンドプロンプトで入力します。

create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]
<!--NeedCopy-->

例:

create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done
<!--NeedCopy-->

GUI を使用して ECDSA 証明書とキーのペアを作成するには:

  1. [ トラフィック管理] > [SSL] > [SSL ファイル] > [キー ] に移動し、[ ECDSA キーの作成] をクリックします。
  2. PKCS #8 形式でキーを作成するには、PKCS8 を選択します。
ECDSA暗号の組み合わせのサポート