Citrix ADC

Citrix ADC 设备上可用的密码

Citrix ADC 设备随附一组预定义的密码组。要使用不属于 DEFAULT 密码组的密码,您必须将密码显式绑定到 SSL 虚拟服务器。您还可以创建用户定义的密码组以绑定到 SSL 虚拟服务器。有关创建用户定义的密码组的更多信息,请参阅在 ADC 设备上配置用户定义的密码组

注意

Citrix ADC 设备上的默认密码组中不包括 RC4 密码。但是,在基于 N3 的设备的软件中支持它。RC4 加密,包括握手,是在软件中完成的。

Citrix 建议您不要使用此密码,因为它被 RFC 7465 视为不安全且不推荐使用。

使用“显示硬件”命令来识别您的设备是否具有 N3 芯片。

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT
  • 要显示有关默认情况下绑定在前端(到虚拟服务器)的密码套件的信息,请键入:sh cipher DEFAULT
  • 要显示有关默认情况下绑定在后端(到服务)的密码套件的信息,请键入:sh cipher DEFAULT_BACKEND
  • 要显示有关设备上定义的所有密码组(别名)的信息,请键入:sh cipher
  • 要显示有关属于特定密码组的所有密码套件的信息,请键入:sh cipher <alias name>。例如,sh 密码 ECDHE。

以下链接列出了不同 Citrix ADC 平台和外部硬件安全模块 (HSM) 支持的密码套件:

注意:

有关 DTLS 密码支持,请参阅Citrix ADC VPX、MPX 和 SDX 设备上的 DTLS 密码支持

表 1-支持虚拟服务器/前端服务/内部服务:

TLS 1.3 上的加密操作不会卸载到加密加速芯片上。TLS 1.3 握手的所有计算都是在所有支持平台上的软件中完成的,即使存在 Cole 或 Cavium 加速芯片。

协议/平台 MPX/SDX (N2) MPX/SDX (N3) VPX 带固件 2.2 的 MPX 9700* FIPS MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.3 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 不支持 不支持 13.0 所有内部版本
  12.1-50.x 12.1-50.x 12.1-50.x 不支持 不支持 12.1-50.x
TLS 1.1/1.2 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
  11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)
  11.0 所有版本 11.0 所有版本 11.0 所有版本 11.0 所有版本 11.0 所有版本 11.0-70.x(仅在 MPX 5900/8900 上)
  10.5 所有版本 10.5 所有版本 10.5-57.x 10.5 58.1108.e 10.5-59.1359.e 10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上)
ECDHE/DHE(示例:TLS1-ECDHE-RSA-AES128-SHA) 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
  11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1-51.x 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)
  11.0 所有版本 11.0 所有版本 11.0 所有版本     11.0-70.114(仅在 MPX 5900/8900 上)
  10.5-53.x 10.5-53.x 10.5 所有版本 10.5-59.1306.e   10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上)
AES-GCM(例如:TLS1.2-AES128-GCM-SHA256) 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
  11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1-51.x(见注释) 11.1-51.x(见注释) 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)
  11.0 所有版本 11.0 所有版本 11.0-66.x     11.0-70.114(仅在 MPX 5900/8900 上)
  10.5-53.x 10.5-53.x       10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上)
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
  11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1-52.x 11.1-52.x 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)
  11.0 所有版本 11.0 所有版本 11.0-66.x     11.0-72.x、11.0-70.114(仅在 MPX 5900/8900 上)
  10.5-53.x 10.5-53.x       10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上)
ECDSA(例如 TLS1-ECDHE-ECDSA-AES256-SHA) 不支持 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  不支持 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  不支持 12.0 所有内部版本 12.0-57.x 不适用 不支持 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
    11.1 所有构建       11.1-56.x、11.1-54.126(仅支持 ECC curves P_256 和 P_384。)
CHACHA20 不支持 13.0 所有内部版本 13.0 所有内部版本 不支持 不支持 13.0 所有内部版本
  不支持 不支持 12.1 所有内部版本 不支持 不支持 12.1-49.x(仅在 MPX 5900/8900 上)
  不支持 不支持 12.0-56.x 不支持 不支持 不支持

表 2-对后端服务的支持:

后端不支持 TLS 1.3。

协议/平台 MPX/SDX (N2) MPX/SDX (N3) VPX 带固件 2.2 的 MPX 9700* FIPS MPX/SDX 14000** FIPS MPX 5900/8900 MPX 15000-50G MPX 26000-100G
TLS 1.1/1.2 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
  11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1 所有构建 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)
  11.0-50.x 11.0-50.x 11.0-66.x 11.0 所有版本   11.0-70.119(仅在 MPX 5900/8900 上)
  10.5-59.x 10.5-59.x   10.5-58.1108.e 10.5-59.1359.e 10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上)
ECDHE/DHE(示例:TLS1-ECDHE-RSA-AES128-SHA) 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  12.0 所有内部版本 12.0 所有内部版本 12.0-56.x 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
  11.1 所有构建 11.1 所有构建   11.1 所有构建 11.1-51.x 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)
  11.0-50.x 11.0-50.x       11.0-70.119(仅在 MPX 5900/8900 上)
  10.5-58.x 10.5-58.x   10.5-59.1306.e   10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上)
AES-GCM(例如:TLS1.2-AES128-GCM-SHA256) 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  12.0 所有内部版本 12.0 所有内部版本 不支持 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
  11.1 所有构建 11.1 所有构建   11.1-51.x 11.1-51.x 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  12.0 所有内部版本 12.0 所有内部版本 不支持 12.0 所有内部版本 12.0 所有内部版本 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
  11.1 所有构建 11.1 所有构建   11.1-52.x 11.1-52.x 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)
ECDSA(例如 TLS1-ECDHE-ECDSA-AES256-SHA) 不支持 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本 13.0 所有内部版本
  不支持 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  不支持 12.0 所有内部版本 12.0-57.x 不适用 不支持 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G)
    11.1-51.x   不适用   11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)(仅支持 ECC 曲线 P_256 和 P_384 )
CHACHA20 不支持 13.0 所有内部版本 13.0 所有内部版本 不支持 不支持 13.0 所有内部版本
  不支持 不支持 12.1 所有内部版本 不支持 不支持 12.1-49.x(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G)
  不支持 不支持 12.0-56.x 不支持 不支持 不支持

有关支持的 ECDSA 密码的详细列表,请参阅ECDSA 密码套件支持

注意

  • 从版本 10.5 版本 57.x 的所有设备都支持 TLS-Fallback_SCSV 密码套件

  • HTTP 严格传输安全性 (HSTS) 支持是基于策略的。

  • 所有设备的前端都支持所有 SHA-2 签名证书(SHA256、SHA384、SHA512)。在版本 11.1 版本 54.x 及更高版本中,所有设备的后端也支持这些证书。在 11.0 及更早版本中,所有设备的后端仅支持 SHA256 签名证书。

  • 在 11.1 版本 52.x 及更早版本中,只有 MPX 9700 和 MPX/SDX 14000 FIPS 设备的前端才支持以下密码:
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 从版本 11.1 内部版本 53.x,在版本 12.0 中,这些密码也在后端受支持。
  • 所有 ChaCha20-Poly1035 密码都使用带 SHA-256 哈希函数的 TLS 伪随机函数 (PSF)。

Citrix ADC 设备上可用的密码