Citrix ADC

Citrix ADCアプライアンスで利用可能な暗号

Citrix ADCアプライアンスには、事前定義された一連の暗号グループが付属しています。DEFAULT 暗号グループの一部ではない暗号を使用するには、SSL 仮想サーバーに明示的にバインドする必要があります。また、ユーザー定義の暗号グループを作成して、SSL 仮想サーバーにバインドすることもできます。ユーザ定義の暗号グループの作成の詳細については、ADCアプライアンスでのユーザー定義の暗号グループの構成を参照してください。

ノート:

RC4暗号は、Citrix ADCアプライアンスのデフォルトの暗号グループには含まれません。ただし、N3 ベースのアプライアンスのソフトウェアでサポートされています。ハンドシェイクを含む RC4 暗号化はソフトウェアで行われます。

この暗号は、RFC 7465では安全でないと考えられ、非推奨であると考えられるため、使用しないことをお勧めします。

「show hardware」コマンドを使用して、アプライアンスに N3 チップがあるかどうかを確認します。

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT
  • フロントエンド(仮想サーバー)にデフォルトでバインドされている暗号スイートに関する情報を表示するには、次のように入力します。 sh cipher DEFAULT
  • バックエンド(サービスに)でデフォルトでバインドされている暗号スイートに関する情報を表示するには、次のように入力します。 sh cipher DEFAULT_BACKEND
  • アプライアンスで定義されているすべての暗号グループ(エイリアス)に関する情報を表示するには、次のように入力します。 sh cipher
  • 特定の暗号グループの一部であるすべての暗号スイートに関する情報を表示するには、次のように入力します。sh cipher <alias name>。たとえば、sh 暗号は ECDHE です。

以下のリンクは、さまざまなCitrix ADCプラットフォームおよび外部ハードウェアセキュリティモジュール(HSM)でサポートされている暗号スイートの一覧です。

注:

DTLS 暗号のサポートについては、Citrix ADC VPX、MPX、およびSDXアプライアンスでのDTLS暗号のサポートを参照してください。

表1-仮想サーバー/フロントエンドサービス/内部サービスのサポート:

TLS 1.3での暗号化操作は、暗号化アクセラレーションチップにオフロードされません。TLS 1.3ハンドシェイクのすべての計算は、ColetoまたはCaviumアクセラレーションチップが存在する場合でも、サポートされているすべてのプラットフォームのソフトウェアで実行されます。

プロトコル/プラットフォーム MPX/SDX (N2) MPX/SDX (N3) VPX ファームウェア2.2を搭載したMPX 9700* FIPS MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.3 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 未サポート 未サポート 13.0 すべてのビルド
  12.1–50.x 12.1–50.x 12.1–50.x 未サポート 未サポート 12.1–50.x
TLS 1.1/1.2 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX26000-100Gの場合は11.1-60.x
  11.0 すべてのビルド 11.0 すべてのビルド 11.0 すべてのビルド 11.0 すべてのビルド 11.0 すべてのビルド 11.0–70.x(MPXのみ 5900/8900)
  10.5 すべてのビルド 10.5 すべてのビルド 10.5–57.x 10.5 58.1108.e 10.5–59.1359.e 10.5–67.x、10.5〜63.47(MPXのみ 5900/8900)
ECDHE/DHE (例:TLS1-ECDHE-RSA-AES128-SHA) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1–51.x MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX26000-100Gの場合は11.1-60.x
  11.0 すべてのビルド 11.0 すべてのビルド 11.0 すべてのビルド     11.0〜70.114(MPXのみ 5900/8900)
  10.5–53.x 10.5–53.x 10.5 すべてのビルド 10.5–59.1306.e   10.5–67.x、10.5〜63.47(MPXのみ 5900/8900)
AES-GCM (例:TLS1.2-AES128-GCM-SHA256) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1–51.x(注を参照) 11.1–51.x(注を参照) MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX26000-100Gの場合は11.1-60.x
  11.0 すべてのビルド 11.0 すべてのビルド 11.0–66.x     11.0〜70.114(MPXのみ 5900/8900)
  10.5–53.x 10.5–53.x       10.5–67.x、10.5〜63.47(MPXのみ 5900/8900)
SHA-2 Ciphers (例:TLS1.2-AES-128-SHA256) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1–52.x 11.1–52.x MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX26000-100Gの場合は11.1-60.x
  11.0 すべてのビルド 11.0 すべてのビルド 11.0–66.x     11.0–72.x、11.0-70.114(MPXのみ 5900/8900)
  10.5–53.x 10.5–53.x       10.5–67.x、10.5〜63.47(MPXのみ 5900/8900)
ECDSA (例:TLS1-ECDHE-ECDSA-AES256-SHA) 未サポート 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  未サポート 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  未サポート 12.0 すべてのビルド 12.0–-57.x 該当なし 未サポート 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
    11.1 すべてのビルド       11.1–56.x、11.1-54.126(ECC曲線のみ P_256 そして P_384 サポートされています。)
CHACHA20 未サポート 13.0 すべてのビルド 13.0 すべてのビルド 未サポート 未サポート 13.0 すべてのビルド
  未サポート 未サポート 12.1 すべてのビルド 未サポート 未サポート 12.1–49.x(MPXのみ 5900/8900)
  未サポート 未サポート 12.0–56.x 未サポート 未サポート 未サポート

表2-バックエンドサービスのサポート:

TLS 1.3 is not supported on the back end.

プロトコル/プラットフォーム MPX/SDX (N2) MPX/SDX (N3) VPX ファームウェア2.2を搭載したMPX 9700* FIPS MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.1/1.2 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド 11.1 すべてのビルド MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX26000-100Gの場合は11.1-60.x
  11.0–50.x 11.0–50.x 11.0–66.x 11.0 すべてのビルド   11.0〜70.119(MPXのみ 5900/8900)
  10.5–59.x 10.5–59.x   10.5–58.1108.e 10.5–59.1359.e 10.5–67.x、10.5〜63.47(MPXのみ 5900/8900)
ECDHE/DHE (例:TLS1-ECDHE-RSA-AES128-SHA) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 12.0–56.x 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド   11.1 すべてのビルド 11.1–51.x MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX26000-100Gの場合は11.1-60.x
  11.0–50.x 11.0–50.x       11.0〜70.119(MPXのみ 5900/8900)
  10.5–58.x 10.5–58.x   10.5–59.1306.e   10.5–67.x、10.5〜63.47(MPXのみ 5900/8900)
AES-GCM (例:TLS1.2-AES128-GCM-SHA256) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 未サポート 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド   11.1–51.x 11.1–51.x MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX26000-100Gの場合は11.1-60.x
SHA-2 Ciphers (例:TLS1.2-AES-128-SHA256) 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  12.0 すべてのビルド 12.0 すべてのビルド 未サポート 12.0 すべてのビルド 12.0 すべてのビルド 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
  11.1 すべてのビルド 11.1 すべてのビルド   11.1–52.x 11.1–52.x MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX26000-100Gの場合は11.1-60.x
ECDSA (例:TLS1-ECDHE-ECDSA-AES256-SHA) 未サポート 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド 13.0 すべてのビルド
  未サポート 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 すべてのビルド 12.1 all builds for MPX 5900/8900, 12.1-50.x for MPX 15000-50G and MPX 26000-100G
  未サポート 12.0 すべてのビルド 12.0–57.x 該当なし 未サポート 12.0 all builds for MPX 5900/8900, 12.0-57.x for MPX 15000-50G, 12.0-60.x for MPX 26000-100G
    11.1–51.x   該当なし   MPXの場合は11.1〜56.x 5900/8900 およびMPX15000-50G、MPX 26000-100Gの場合は11.1-60.x(ECC曲線のみ P_256 そして P_384 サポートされています。)
CHACHA20 未サポート 13.0 すべてのビルド 13.0 すべてのビルド 未サポート 未サポート 13.0 すべてのビルド
  未サポート 未サポート 12.1 すべてのビルド 未サポート 未サポート MPXの場合は12.1〜49.x 5900/8900, MPX15000-50GおよびMPX26000-100Gの場合は12.1-50.x
  未サポート 未サポート 12.0–56.x 未サポート 未サポート 未サポート

サポートされる ECDSA 暗号の詳細なリストについては、ECDSA 暗号スイートのサポートを参照してください。

  • TLS-フォールバック_SCSV 暗号スイートは、リリース 10.5 ビルド 57.xのすべてのアプライアンスでサポートされます。

  • HTTP 厳密トランスポートセキュリティ (HSTS) のサポートはポリシーベースです。

  • すべての SHA-2 署名証明書 (SHA256、SHA384、SHA512) は、すべてのアプライアンスのフロントエンドでサポートされます。リリース 11.1 ビルド 54.x 以降では、これらの証明書はすべてのアプライアンスのバックエンドでもサポートされます。リリース 11.0 以前では、すべてのアプライアンスのバックエンドで SHA256 署名証明書のみがサポートされています。

  • リリース11.1ビルド52.x以前では、次の暗号はMPX9700のフロントエンドでのみサポートされています。 MPX/SDX 14000 FIPSアプライアンス:
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 リリース11.1からビルド53.xであり、リリース12.0では、これらの暗号もバックエンドでサポートされています。
  • すべてのChaCha20-Poly1035暗号は、SHA-256ハッシュ関数とTLS擬似ランダム関数(PSF)を使用します。
Citrix ADCアプライアンスで利用可能な暗号