Citrix ADC 设备上可用的密码
Citrix ADC 设备随附一组预定义的密码组。要使用不属于 DEFAULT 密码组的密码,您必须将密码显式绑定到 SSL 虚拟服务器。您还可以创建用户定义的密码组以绑定到 SSL 虚拟服务器。有关创建用户定义的密码组的更多信息,请参阅在 ADC 设备上配置用户定义的密码组。
备注:
Citrix ADC 设备上的默认密码组中不包括 RC4 密码。但是,在基于 N3 的设备的软件中支持它。RC4 加密,包括握手,是在软件中完成的。
Citrix 建议您不要使用此密码,因为它被 RFC 7465 视为不安全且不推荐使用。
使用“显示硬件”命令来识别您的设备是否具有 N3 芯片。
sh hardware
Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
- 要显示有关在前端(到虚拟服务器)默认绑定的密码套件的信息,请键入:
sh cipher DEFAULT
- 要显示有关在后端(到服务)默认绑定的密码套件的信息,请键入:
sh cipher DEFAULT_BACKEND
- 要显示有关设备上定义的所有密码组(别名)的信息,请键入:
sh cipher
- 要显示属于特定密码组的所有密码套件的信息,请键入:
sh cipher <alias name>
。例如,sh 密码 ECDHE。
以下链接列出了不同 Citrix ADC 平台和外部硬件安全模块 (HSM) 支持的密码套件:
- Citrix ADC MPX/SDX (N3) 设备:Citrix ADC MPX/SDX (N3) 设备上的密码支持
- Citrix ADC MPX/SDX Intel Coleto 设备:基于 Citrix ADC MPX/SDX Intel Coleto SSL 芯片的设备上的密码支持
- Citrix ADC VPX 设备:Citrix ADC VPX 设备上的密码支持
- Citrix ADC MPX/SDX 14000 FIPS 设备:Citrix ADC MPX/SDX 14000 FIPS 设备上的密码支持
- 外部 HSM (Thales/Safenet):在外部 HSM (Thales/Safenet) 上支持密码
- Citrix ADC MPX/SDX (N2) 设备:Citrix ADC MPX/SDX (N2) 设备上的密码支持
- Citrix ADC MPX 9700 FIPS 设备:与固件 2.2 的 Citrix ADC MPX 9700 FIPS 上的密码支持
- Citrix ADC VPX FIPS 和 MPX FIPS 认证的设备:Citrix ADC VPX FIPS 和 MPX FIPS 认证的设备上的密码支持
注意:
有关 DTLS 密码支持,请参阅Citrix ADC VPX、MPX 和 SDX 设备上的 DTLS 密码支持。
表 1-支持虚拟服务器/前端服务/内部服务:
TLS 1.3 上的加密货币操作不会卸载给加密加速芯片。即使存在 Coleto 或 Cavium 加速芯片,TLS 1.3 握手的所有计算都是在所有支持平台上的软件中完成的。
协议/平台 | MPX/SDX (N2) | MPX/SDX (N3) | VPX | 带固件 2.2 的 MPX 9700* FIPS | MPX/SDX 14000** FIPS | MPX 5900/8900 MPX 15000-50G MPX 26000-100G |
---|---|---|---|---|---|---|
TLS 1.3 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 不支持 | 不支持 | 13.0 所有内部版本 |
12.1-50.x | 12.1-50.x | 12.1-50.x | 不支持 | 不支持 | 12.1-50.x | |
TLS 1.1/1.2 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G) | |
11.0 所有版本 | 11.0 所有版本 | 11.0 所有版本 | 11.0 所有版本 | 11.0 所有版本 | 11.0-70.x(仅在 MPX 5900/8900 上) | |
10.5 所有版本 | 10.5 所有版本 | 10.5-57.x | 10.5 58.1108.e | 10.5-59.1359.e | 10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上) | |
ECDHE/DHE(示例:TLS1-ECDHE-RSA-AES128-SHA) | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1-51.x | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G) | |
11.0 所有版本 | 11.0 所有版本 | 11.0 所有版本 | 11.0-70.114(仅在 MPX 5900/8900 上) | |||
10.5-53.x | 10.5-53.x | 10.5 所有版本 | 10.5-59.1306.e | 10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上) | ||
AES-GCM(例如:TLS1.2-AES128-GCM-SHA256) | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1-51.x(见注释) | 11.1-51.x(见注释) | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G) | |
11.0 所有版本 | 11.0 所有版本 | 11.0-66.x | 11.0-70.114(仅在 MPX 5900/8900 上) | |||
10.5-53.x | 10.5-53.x | 10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上) | ||||
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1-52.x | 11.1-52.x | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G) | |
11.0 所有版本 | 11.0 所有版本 | 11.0-66.x | 11.0-72.x、11.0-70.114(仅在 MPX 5900/8900 上) | |||
10.5-53.x | 10.5-53.x | 10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上) | ||||
ECDSA(例如 TLS1-ECDHE-ECDSA-AES256-SHA) | 不支持 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
不支持 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
不支持 | 12.0 所有内部版本 | 12.0-57.x | 不适用 | 不支持 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1-56.x、11.1-54.126(仅支持 ECC curves P_256 和 P_384。) | |||||
CHACHA20 | 不支持 | 13.0 所有内部版本 | 13.0 所有内部版本 | 不支持 | 不支持 | 13.0 所有内部版本 |
不支持 | 不支持 | 12.1 所有内部版本 | 不支持 | 不支持 | 12.1-49.x(仅在 MPX 5900/8900 上) | |
不支持 | 不支持 | 12.0-56.x | 不支持 | 不支持 | 不支持 |
表 2-对后端服务的支持:
后端不支持 TLS 1.3。
协议/平台 | MPX/SDX (N2) | MPX/SDX (N3) | VPX | 带固件 2.2 的 MPX 9700* FIPS | MPX/SDX 14000** FIPS | MPX 5900/8900 MPX 15000-50G MPX 26000-100G |
---|---|---|---|---|---|---|
TLS 1.1/1.2 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G) | |
11.0-50.x | 11.0-50.x | 11.0-66.x | 11.0 所有版本 | 11.0-70.119(仅在 MPX 5900/8900 上) | ||
10.5-59.x | 10.5-59.x | 10.5-58.1108.e | 10.5-59.1359.e | 10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上) | ||
ECDHE/DHE(示例:TLS1-ECDHE-RSA-AES128-SHA) | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
12.0 所有内部版本 | 12.0 所有内部版本 | 12.0-56.x | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1 所有构建 | 11.1 所有构建 | 11.1-51.x | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G) | ||
11.0-50.x | 11.0-50.x | 11.0-70.119(仅在 MPX 5900/8900 上) | ||||
10.5-58.x | 10.5-58.x | 10.5-59.1306.e | 10.5-67.x、10.5-63.47(仅在 MPX 5900/8900 上) | |||
AES-GCM(例如:TLS1.2-AES128-GCM-SHA256) | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
12.0 所有内部版本 | 12.0 所有内部版本 | 不支持 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1 所有构建 | 11.1-51.x | 11.1-51.x | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G) | ||
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
12.0 所有内部版本 | 12.0 所有内部版本 | 不支持 | 12.0 所有内部版本 | 12.0 所有内部版本 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1 所有构建 | 11.1 所有构建 | 11.1-52.x | 11.1-52.x | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G) | ||
ECDSA(例如 TLS1-ECDHE-ECDSA-AES256-SHA) | 不支持 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 | 13.0 所有内部版本 |
不支持 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本 | 12.1 所有内部版本(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
不支持 | 12.0 所有内部版本 | 12.0-57.x | 不适用 | 不支持 | 12.0 所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
11.1-51.x | 不适用 | 11.1-56.x(适用于 MPX 5900/8900 和 MPX 15000-50G)、11.1-60.x(适用于 MPX 26000-100G)(仅支持 ECC 曲线 P_256 和 P_384 ) | ||||
CHACHA20 | 不支持 | 13.0 所有内部版本 | 13.0 所有内部版本 | 不支持 | 不支持 | 13.0 所有内部版本 |
不支持 | 不支持 | 12.1 所有内部版本 | 不支持 | 不支持 | 12.1-49.x(适用于 MPX 5900/8900)、12.1-50.x(适用于 MPX 15000-50G 和 MPX 26000-100G) | |
不支持 | 不支持 | 12.0-56.x | 不支持 | 不支持 | 不支持 |
有关支持的 ECDSA 密码的详细列表,请参阅ECDSA 密码套件支持。
注意
从版本 10.5 版本 57.x 的所有设备都支持 TLS-Fallback_SCSV 密码套件
HTTP 严格传输安全性 (HSTS) 支持是基于策略的。
所有设备的前端都支持所有 SHA-2 签名证书(SHA256、SHA384、SHA512)。在版本 11.1 版本 54.x 及更高版本中,所有设备的后端也支持这些证书。在 11.0 及更早版本中,所有设备的后端仅支持 SHA256 签名证书。
- 在 11.1 版本 52.x 及更早版本中,只有 MPX 9700 和 MPX/SDX 14000 FIPS 设备的前端才支持以下密码:
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 从版本 11.1 内部版本 53.x,在版本 12.0 中,这些密码也在后端受支持。
- 所有 ChaCha20-Poly1035 密码都使用带 SHA-256 哈希函数的 TLS 伪随机函数 (PSF)。