ECDHE 密码

所有 Citrix ADC 设备都支持前端和后端的 ECDHE 密码组。在 SDX 设备上,如果将 SSL 芯片分配给 VPX 实例,则应用 MPX 设备的密码支持。否则,将适用 VPX 实例的正常密码支持。

有关支持这些密码的版本和平台的更多信息,请参阅Citrix ADC 设备上可用的密码

ECDHE 密码套件使用椭圆曲线加密 (ECC)。由于其密钥尺寸较小,ECC 在移动(无线)环境或交互式语音响应环境中特别有用,其中每毫秒都很重要。较小的密钥尺寸可节省功耗、内存、带宽和计算成本。

Citrix ADC 设备支持以下 ECC 曲线:

  • P_256
  • P_384
  • P_224
  • P_521

注意:如果从版本 10.1 版本 121.10 之前的版本升级,则必须将 ECC 曲线显式绑定到现有 SSL 虚拟服务器或前端服务。默认情况下,曲线将绑定到升级后创建的任何虚拟服务器或前端服务。

您只能将 ECC 曲线绑定到 SSL 前端实体。默认情况下,按以下顺序绑定所有四条曲线:P_256、P_384、P_224、P_521。要更改顺序,必须先取消绑定所有曲线,然后按所需顺序绑定它们。

使用 CLI 取消将 ECC 曲线绑定到 SSL 虚拟服务器并将其绑定到 ECC 曲线

在命令提示窗口中,键入:

unbind ssl vserver  <vServerName > -eccCurveName ALL

bind ssl vserver  <vServerName > -eccCurveName  <eccCurveName >

示例:

unbind ssl vs v1 –eccCurvename ALL

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done