Citrix ADC

ECDHE 密码

所有 Citrix ADC 设备都支持前端和后端的 ECDHE 密码组。在 SDX 设备上,如果将 SSL 芯片分配给 VPX 实例,则应用 MPX 设备的密码支持。否则,将适用 VPX 实例的正常密码支持。

有关支持这些密码的版本和平台的更多信息,请 参阅 Citrix ADC 设备上提供的密码器

ECDHE 密码套件使用椭圆曲线加密 (ECC)。由于其密钥尺寸较小,ECC 在移动(无线)环境或交互式语音响应环境中特别有用,其中每毫秒都很重要。较小的密钥尺寸可节省功耗、内存、带宽和计算成本。

Citrix ADC 设备支持以下 ECC 曲线:

  • P_256
  • P_384
  • P_224
  • P_521

注意:如果从 10.1 版本之前的版本升级版本 121.10,则必须将 ECC 曲线显式绑定到现有 SSL 虚拟服务器和服务。默认情况下,曲线绑定到升级后创建的任何虚拟服务器和服务。

您可以将 ECC 曲线绑定到 SSL 前端和后端实体。默认情况下,按以下顺序绑定所有四条曲线:P_256、P_384、P_224、P_521。要更改顺序,必须先取消绑定所有曲线,然后按所需顺序绑定它们。

使用 CLI 将 ECC 曲线绑定到 SSL 虚拟服务器

在命令提示符下,键入:

bind ssl vserver <vServerName > -eccCurveName <eccCurveName >

示例:

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

使用 GUI 将 ECC 曲线绑定到 SSL 虚拟服务器

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 选择 SSL 虚拟服务器,然后单击 编辑
  3. 在“高级设置”中,单击“ECC 曲线”。 ECC 曲线的高级设置
  4. 在 ECC 曲线部分内单击。
  5. 在“SSL 虚拟服务器 ECC 曲线绑定”页中,单击“添加绑定”。 在 SSL 虚拟服务器上添加 ECC 曲线绑定
  6. ECC 曲线绑定中,单击“选择 ECC 曲线”。 选择 ECC 曲线
  7. 选择一个值,然后单击“选择”。 选择 ECC 曲线值
  8. 单击 Bind(绑定)。
  9. 单击关闭
  10. 单击完成

使用 CLI 将 ECC 曲线绑定到 SSL 服务

在命令提示符下,键入:

bind ssl service <vServerName > -eccCurveName <eccCurveName >

示例:

> bind ssl service sslsvc -eccCurveName P_224
 Done
> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service sslsvc:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: DISABLED
    Session Reuse: ENABLED      Timeout: 300 seconds
    Cipher Redirect: DISABLED
    ClearText Port: 0
    Server Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: ???
    DHE Key Exchange With PSK: ???
    Tickets Per Authentication Context: ???

    ECC Curve: P_224


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done
<!--NeedCopy-->

使用 GUI 将 ECC 曲线绑定到 SSL 服务

  1. 导航到流量管理 > 负载平衡 > 服务
  2. 选择一个 SSL 服务,然后单击 编辑
  3. 在“高级设置”中,单击“ECC 曲线”。 ECC 曲线的高级设置
  4. 在 ECC 曲线部分内单击。
  5. 在“SSL 服务 ECC 曲线绑定”页中,单击“添加绑定”。 添加 ECC 曲线绑定
  6. ECC 曲线绑定中,单击“选择 ECC 曲线”。 选择 ECC 曲线
  7. 选择一个值,然后单击“选择”。 选择 ECC 曲线值
  8. 单击 Bind(绑定)。
  9. 单击关闭
  10. 单击完成