在 ADC 设备上配置用户定义的密码组

密码组是您绑定到 Citrix ADC 设备上的 SSL 虚拟服务器、服务或服务组的一组密码套件。密码套件包括协议、密钥交换 (Kx) 算法、身份验证 (Au) 算法、加密 (Enc) 算法和消息身份验证代码 (Mac)算法。您的设备随附一组预定义的密码组。当您创建 SSL 服务或 SSL 服务组时,所有密码组将自动绑定到它。但是,当您创建 SSL 虚拟服务器或透明 SSL 服务时,DEFAULT 密码组会自动绑定到它。此外,您可以创建用户定义的密码组并将其绑定到 SSL 虚拟服务器、服务或服务组。

注意: 如果您的 MPX 设备没有任何许可证,则仅导出密码绑定到 SSL 虚拟服务器、服务或服务组。

要创建用户定义的密码组,首先创建密码组,然后将密码或密码组绑定到此组。如果指定密码别名或密码组,则密码别名或组中的所有密码都会添加到用户定义的密码组中。您还可以将单个密码(密码套件)添加到用户定义的组。但是,您不能修改预定义的密码组。删除密码组之前,取消绑定组中的所有密码套件。

将密码组绑定到 SSL 虚拟服务器、服务或服务组时,将密码追加到绑定到实体的现有密码。若要将特定密码组绑定到实体,必须先解除绑定到实体的密码或密码组的绑定。然后将特定密码组绑定到实体。例如,若要仅将 AES 密码组绑定到 SSL 服务,请执行以下步骤:

  1. 解除在创建服务时默认绑定到服务的默认密码组全部绑定。

    unbind ssl service <service name> -cipherName ALL
    
  2. 将 AES 密码组绑定到服务

    bind ssl service <Service name> -cipherName AE
    

    如果要绑定除 AES 之外的密码组 DES,请在命令提示符下键入:

    bind ssl service <service name> -cipherName DES
    

注意: 免费的 Citrix ADC 虚拟设备仅支持 DH 密码组。

使用 CLI 配置用户定义的密码组

在命令提示符下,键入以下命令以添加密码组,或向先前创建的组添加密码,并验证设置:

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <string>
show ssl cipher <cipherGroupName>

示例:

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

使用 CLI 解除密码组中的密码绑定

在命令提示符下,键入以下命令以从用户定义的密码组取消绑定密码,并验证设置:

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>

使用 CLI 删除密码组

注意: 您无法删除内置密码组。删除用户定义的密码组之前,请确保密码组为空。

在命令提示符下,键入以下命令以删除用户定义的密码组,并验证配置:

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

示例:

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]

使用 GUI 配置用户定义的密码组

导航到 流量管理 > SSL > 密码组,并配置密码组。

使用 CLI 将密码组绑定到 SSL 虚拟服务器、服务或服务组

在命令提示符下,键入以下命令之一:

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

示例:

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done

使用 GUI 将密码组绑定到 SSL 虚拟服务器、服务或服务组

  1. 导航到 流量管理 > 负载平衡 > 虚拟服务器

    对于服务,请将虚拟服务器替换为服务。对于服务组,请将虚拟服务器替换为服务组。

    打开虚拟服务器、服务或服务组。

  2. 在“高级设置”中,选择 SSL 密码

  3. 将密码组绑定到虚拟服务器、服务或服务组。

将单个密码绑定到 SSL 虚拟服务器或服务

您还可以将单个密码(而不是密码组)绑定到虚拟服务器或服务。

要使用 CLI 绑定密码: 在命令提示符下,键入:

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>

示例:

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

使用 GUI 将密码绑定到 SSL 虚拟服务器:

  1. 导航到 流量管理 > 负载平衡 > 虚拟服务器
  2. 选择 SSL 虚拟服务器,然后单击 编辑
  3. 在“高级设置”中,选择 SSL 密码
  4. 密码套件中,选择 添加
  5. 在可用列表中搜索密码,然后单击箭头将其添加到配置的列表中。
  6. 单击确定
  7. 单击 完成

要将密码绑定到 SSL 服务,请在用服务替换虚拟服务器后重复上述步骤。