In SSL 卸载与加速
In Citrix ADC 13.0
In Citrix ADC
In All products
产品文档
In SSL 卸载与加速
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
查看 PDF

支持 DTLS 协议

January 7, 2021
贡献者: 
C

注意:

  • Citrix ADC MPX/SDX(基于 N2 和 N3)、VPX 和 MPX 14000 FIPS 设备支持 DTLSv1.0 协议。外部 HSM 不支持此功能。
  • 包含 Intel Coleto SSL 芯片的 Citrix ADC 设备支持 DTLS 1.0 协议(从 12.1 版本 50.x)。
  • Citrix ADC VPX 设备的前端支持 DTLSv1.2 协议(从版本 13.0 版本 47.x)。
  • 包含 Intel Coleto SSL 芯片的 Citrix ADC 设备的前端支持 DTLS 1.2 协议(从版本 13.0 版本 52.x)。有关包含 Intel Coleto SSL 芯片的平台的更多信息,请参阅支持基于 Intel Coleto SSL 芯片的平台
  • 不支持 DTLS 类型的服务组。
  • Citrix ADC MPX 设备的前端支持 dtlSV1.2 协议(来自版本 13.0 Build 58.x)。
  • 有关针对 Citrix Gateway 的 Enlightened Data Transport (EDT) 支持的信息,请参阅HDX 开明的数据传输支持

传统上,SSL 和 TLS 协议用于保护流媒体流量。这两个协议都基于 TCP,这是缓慢的。此外,TLS 无法处理丢失或重新排序的数据包。

UDP 是音频和视频应用程序的首选协议,如 Lync,Skype,iTunes,YouTube,培训视频和闪存。但是,UDP 不安全或不可靠。DTLS 协议旨在通过 UDP 保护数据,并用于媒体流媒体、VOIP 和在线游戏等应用程序以进行通信。在 DTLS 中,每个握手消息都会在该握手中分配一个特定的序列号。当对等方收到握手消息时,它可以快速确定该消息是否是预期的下一个消息。如果是,则对等方处理消息。如果没有,则在收到以前的所有消息后,该消息将排队进行处理。

创建 DTLS 虚拟服务器和 UDP 类型的服务。默认情况下,DTLS 配置文件(nsdtls_default ult_profile)绑定到虚拟服务器。或者,您可以创建用户定义的 DTLS 配置文件并将其绑定到虚拟服务器。

注意:DTLS 虚拟服务器上不支持 RC4 密码。

DTLS 配置

您可以使用命令行 (CLI) 或配置实用程序 (GUI) 在 ADC 设备上配置 DTLS。

注意: 从版本 13.0 版本 47.x 中,Citrix ADC VPX 设备的前端支持 DTLS 1.2 协议。配置 DTLSv1.2 虚拟服务器时,请指定 DTLS12。默认值为 DTLS1。

在命令提示窗口中,键入:

set ssl vserver DTLS [-dtls1 ( ENABLED | DISABLED )] [-dtls12 ( ENABLED | DISABLED )]

使用 CLI 创建 DTLS 配置

在命令提示窗口中,键入:

add lb vserver <vserver_name> DTLS <IPAddress>  <port>
add service  <service_name>  <IPAddress> UDP 443
bind lb vserver  <vserver_name>  <udp_service_name>

以下步骤为可选步骤:

add dtlsProfile dtls1 -maxretryTime <positive_integer>
set ssl vserver <vserver_name> -dtlsProfileName <dtls_profile_name>

通过使用 GUI 创建 DTLS 配置

  1. 导航到 流量管理 > 负载平衡 > 虚拟服务器
  2. 创建 DTLS 类型的虚拟服务器,并将 UDP 服务绑定到虚拟服务器。
  3. 默认 DTLS 配置文件绑定到 DTLS 虚拟服务器。要绑定不同的配置文件,请在 SSL 参数中选择不同的 DTLS 配置文件。要创建配置文件,请单击 DTLS 配置文件旁边的加号 (+)。

支持 DTLS 虚拟服务器上的 SNI

有关 SNI 的信息,请参阅为多个站点的安全托管配置 SNI 虚拟服务器

使用 CLI 在 DTLS 虚拟服务器上配置 SNI

在命令提示窗口中,键入:

set dtls vserver <vServerName> -SNIEnable ENABLED
bind dtls vserver <vServerName> -certkeyName <string> -SNICert
show dtls vserver <vServerName>

示例

set ssl vserver v1 -sniEnable ENABLED
bind ssl vserver  v1 -certkeyName san2 -sniCert
bind ssl vserver  v1 -certkeyName san13 –sniCert
bind ssl vserver  v1 -certkeyName san17 –sniCert

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED
Ephemeral RSA: ENABLED
Refresh Count: 0
Session Reuse: ENABLED
Timeout: 1800 seconds
Cipher Redirect: DISABLED

ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: ENABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
DTLSv1: ENABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1

DTLS profile name: nsdtls_default_profile

ECC Curve: P_256, P_384, P_224, P_521

1) CertKey Name: ca
CA Certificate  OCSPCheck: OptionalCA_Name Sent
2) CertKey Name: san2 Server Certificate for SNI
3) CertKey Name: san17 Server Certificate for SNI
4) CertKey Name: san13 Server Certificate for SNI


1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done

通过使用 GUI 在 DTLS 虚拟服务器上配置 SNI

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 打开 DTLS 虚拟服务器,然后在“证书”中单击服务器证书
  3. 添加证书或从列表中选择证书,然后选择 SNI 的服务器证书
  4. 高级设置中,单击 SSL 参数
  5. 选择 SNI 启用

DTLS 虚拟服务器不支持的功能

无法在 DTLS 虚拟服务器上启用以下选项:

  • SSLv2
  • SSLv3
  • TLSv1
  • TLSv1.1
  • TLSv1.2
  • 推送加密触发器
  • SSLv2Redirect
  • SSLv2URL

DTLS 虚拟服务器未使用的参数

DTLS 虚拟服务器忽略以下 SSL 参数,即使已设置:

  • 加密触发数据包计数
  • PUSE 加密触发器超时
  • SSL 量子大小
  • 加密触发器超时
  • 主题/发行人名称插入格式

在 DTLS 服务上配置重新协商

DTLS 服务支持非安全的重新协商。您可以使用 CLI 或 GUI 来配置此设置。

使用 CLI 配置对 DTLS 服务的重新协商

在命令提示窗口中,键入:

set ssl parameter -denysslreneg NONSECURE

示例

set ssl parameter -denysslreneg NONSECURE

sh ssl parameter
Advanced SSL Parameters
-----------------------
SSL quantum size                                      : 8 KB
Max CRL memory size                                   : 256 MB
Strict CA checks                                      : NO
Encryption trigger timeout                            : 100 ms
Send Close-Notify                                     : YES
Encryption trigger packet count                       : 45
Deny SSL Renegotiation                                : NONSECURE
Subject/Issuer Name Insertion Format                  : Unicode
OCSP cache size                                       : 10 MB
Push flag                                             : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout                       : 1 ms
Crypto Device Disable Limit                           : 0
Global undef action for control policies              : CLIENTAUTH
Global undef action for data policies                 : NOOP
Default profile                                       : DISABLED
SSL Insert Space in Certificate Header                : YES
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services      : NO
Software Crypto acceleration CPU Threshold            : 0
Hybrid FIPS Mode                                      : DISABLED
Signature and Hash Algorithms supported by TLS1.2     : ALL
SSL Interception Error Learning and Caching           : DISABLED
SSL Interception Maximum Error Cache Memory           : 0 Bytes
Done

通过使用 GUI 配置在 DTLS 服务上的重新协商

  1. 导航到流量管理 > 负载平衡 > 服务
  2. 选择一个 DTLS 服务,然后单击 编辑
  3. 导航到 SSL > 高级设置
  4. 选择 拒绝 SSL 重新协商

DTLS 服务不支持的功能

无法在 DTLS 服务上启用以下选项:

  • SSLv2
  • SSLv3
  • TLSv1
  • TLSv1.1
  • TLSv1.2
  • 推送加密触发器
  • SSLv2Redirect
  • SSLv2URL
  • SNI
  • 安全重新谈判

DTLS 服务未使用的参数

DTLS 服务忽略以下 SSL 参数,即使已设置:

  • 加密触发数据包计数
  • PUSE 加密触发器超时
  • SSL 量子大小
  • 加密触发器超时
  • 主题/发行人名称插入格式

注意:

SSL 会话重用握手在 DTLS 服务上失败,因为当前在 DTLS 服务上不支持会话重用。

解决办法: 手动禁用 DTLS 服务上的会话重用。在 CLI 中,键入:

set ssl service <dtls-service-name> -sessReuse DISABLED

DTLS 配置文件

具有默认设置的 DTLS 配置文件将自动绑定到 DTLS 虚拟服务器。但是,您可以创建具有特定设置的 DTLS 配置文件以满足您的需求。

将 DTLS 配置文件与 DTLS 虚拟服务器或 VPN DTLS 虚拟服务器结合使用。您不能将 SSL 配置文件与 DTLS 虚拟服务器一起使用。

使用 CLI 创建 DTLS 配置文件

add ssl dtlsProfile <name>

show ssl dtlsProfile<name>

示例:

add dtlsProfile dtls1 -helloVerifyRequest ENABLED -maxretryTime 4

Done

show dtlsProfile dtls1

    1)      Name: dtls1
            PMTU Discovery: DISABLED
            Max Record Size: 1460 bytes
            Max Retry Time: 4 sec
            Hello Verify Request: ENABLED
            Terminate Session: DISABLED
            Max Packet Count: 120 bytes
     Done

通过使用 GUI 创建 DTLS 配置文件

导航到系统>“配 置文件>DTLS 配置文 件”并配置新配置文件。

端到端 DTLS 配置示例

enable ns feature SSL LB

add server s1 198.51.100.2

en ns mode usnip

add service svc_dtls s1 DTLS 443

add lb vserver v1 DTLS 10.102.59.244 443

bind ssl vserver v1 -ciphername ALL

add ssl certkey servercert -cert servercert_aia_valid.pem -key serverkey_aia.pem

bind ssl vserver v1 -certkeyname servercert

bind lb vserver lb1 svc_dtls

sh lb vserver v1

                    v1 (10.102.59.244:4433) - DTLS     Type: ADDRESS
                    State: UP
                    Last state change was at Fri Apr 27 07:00:27 2018
                    Time since last state change: 0 days, 00:00:04.810
                    Effective State: UP
                    Client Idle Timeout: 120 sec
                    Down state flush: ENABLED
                    Disable Primary Vserver On Down : DISABLED
                    Appflow logging: ENABLED
                    No. of Bound Services :  1 (Total) 0 (Active)
                    Configured Method: LEASTCONNECTION
                    Current Method: Round Robin, Reason: A new service is bound         BackupMethod: ROUNDROBIN
                    Mode: IP
                    Persistence: NONE
                    L2Conn: OFF
                    Skip Persistency: None
                    Listen Policy: NONE
                    IcmpResponse: PASSIVE
                    RHIstate: PASSIVE
                    New Service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0
                    Mac mode Retain Vlan: DISABLED
                    DBS_LB: DISABLED
                    Process Local: DISABLED
                    Traffic Domain: 0
                    TROFS Persistence honored: ENABLED
                    Retain Connections on Cluster: NO

    1) svc_dtls (10.102.59.190: 4433) - DTLS State: UP  Weight: 1
Done


sh ssl vserver v1

                    Advanced SSL configuration for VServer v1:
                    DH: DISABLED
                    DH Private-Key Exponent Size Limit: DISABLED        Ephemeral RSA: ENABLED                               Refresh Count: 0
                    Session Reuse: ENABLED                 Timeout: 1800 seconds
                    Cipher Redirect: DISABLED
                    ClearText Port: 0
                    Client Auth: DISABLED
                    SSL Redirect: DISABLED
                    Non FIPS Ciphers: DISABLED
                    SNI: DISABLED
                    OCSP Stapling: DISABLED
                    HSTS: DISABLED
                    HSTS IncludeSubDomains: NO
                    HSTS Max-Age: 0
                    DTLSv1: ENABLED
                    Send Close-Notify: YES
                    Strict Sig-Digest Check: DISABLED
                    Zero RTT Early Data: DISABLED
                    DHE Key Exchange With PSK: NO
                    Tickets Per Authentication Context: 1
                    DTLS profile name: nsdtls_default_profile

                    ECC Curve: P_256, P_384, P_224, P_521

    1)            CertKey Name: servercert               Server Certificate

    1)            Cipher Name: DEFAULT
                    Description: Default cipher list with encryption strength >= 128bit

    2)            Cipher Name: ALL
                    Description: All ciphers supported by NetScaler, excluding NULL ciphers
     Done

sh service svc_dtls

                    svc_dtls (10.102.59.190:4433) - DTLS
                    State: UP
                    Last state change was at Fri Apr 27 07:00:26 2018
                    Time since last state change: 0 days, 00:00:22.790
                    Server Name: s1
                    Server ID : None                 Monitor Threshold : 0
                    Max Conn: 0        Max Req: 0           Max Bandwidth: 0 kbits
                    Use Source IP: NO
                    Client Keepalive(CKA): NO
                    Access Down Service: NO
                    TCP Buffering(TCPB): NO
                    HTTP Compression(CMP): NO
                    Idle timeout: Client: 120 sec           Server: 120 sec
                    Client IP: DISABLED
                    Cacheable: NO
                    SC: OFF
                    SP: OFF
                    Down state flush: ENABLED
                    Monitor Connection Close : NONE
                    Appflow logging: ENABLED
                    Process Local: DISABLED
                    Traffic Domain: 0

    1)            Monitor Name: ping-default
                                    State: UP               Weight: 1              Passive: 0
                                   Probes: 5              Failed [Total: 0 Current: 0]
                                    Last response: Success - ICMP echo reply received.
                       Response Time: 2.77 millisec
     Done

sh ssl service svc_dtls

                    Advanced SSL configuration for Back-end SSL Service svc_dtls:
                    DH: DISABLED
                    DH Private-Key Exponent Size Limit: DISABLED        Ephemeral RSA: DISABLED
                    Session Reuse: ENABLED                 Timeout: 1800 seconds
                    Cipher Redirect: DISABLED
                    ClearText Port: 0
                    Server Auth: DISABLED
                    SSL Redirect: DISABLED
                    Non FIPS Ciphers: DISABLED
                    SNI: DISABLED
                    OCSP Stapling: DISABLED
                    DTLSv1: ENABLED
                    Send Close-Notify: YES
                    Strict Sig-Digest Check: DISABLED
                    Zero RTT Early Data: ???
                    DHE Key Exchange With PSK: ???
                    Tickets Per Authentication Context: ???
                    DTLS profile name: nsdtls_default_profile
                    ECC Curve: P_256, P_384, P_224, P_521
    1)            Cipher Name: DEFAULT_BACKEND
                    Description: Default cipher list for Backend SSL session
     Done


sh dtlsProfile nsdtls_default_profile

    1)            Name: nsdtls_default_profile
                    PMTU Discovery: DISABLED
                    Max Record Size: 1459 bytes
                    Max Retry Time: 3 sec
                    Hello Verify Request: DISABLED
                    Terminate Session: DISABLED
                    Max Packet Count: 120 bytes
     Done

DTLS 密码支持

默认情况下,当您创建 DTLS 虚拟服务器或服务时绑定 DTLS 密码组。DEFAULT_DTLS 包含前端 DTLS 实体支持的密码。默认情况下,当您创建 DTLS 虚拟服务器时,此组将绑定。DEFAULT_DTLS_后端包含后端 DTLS 实体支持的密码。默认情况下,此组绑定到 DTLS 后端服务。DTLS_FIPS 包含 Citrix ADC FIPS 平台支持的密码。默认情况下,此组绑定到在 FIPS 平台上创建的 DTLS 虚拟服务器或服务。

Citrix ADC VPX、MPX/SDX(基于 N2 和 N3 的)设备上的 DTLS 密码支持

如何阅读表格:

除非指定内部版本号,否则发行版本中的所有版本都支持密码套件。

示例:

  • 10.5、11.0、11.1、12.0、12.1、13.0:版本 10.5、11.0、11.1、12.0、12.1、13.0 的所有内部版本。
  • -NA-:不适用。

Citrix ADC VPX、MPX/SDX(基于 N2 和 N3 的)设备上的 DTLS 密码支持

密码套件名称 十六码 威斯藏密码套件名称 支持的构建(前端) 支持的构建(后端)
TLS1-AES-256-CBC-SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0, 12.1, 13.0
TLS1-AES-128-CBC-SHA 0x002f TLS_RSA_WITH_AES_128_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0, 12.1, 13.0
SSL3-DES-CBC-SHA 0x0009 TLS_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 -NA-
SSL3-DES-CBC3-SHA 0x000a TLS_RSA_WITH_3DES_EDE_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0, 12.1, 13.0
SSL3-EDH-RSA-DES-CBC3-SHA 0x0016 TLS_DHE_RSA_WITH_3DES_EDE_CBC_S 11.0, 11.1, 12.0, 12.1, 13.0 -NA-
SSL3-EDH-RSA-DES-CBC-SHA 0x0015 TLS_DHE_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 -NA-
TLS1-ECDHE-RSA-AES256-SHA 0xc014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 12.1, 13.0 12.1, 13.0
TLS1-ECDHE-RSA-AES128-SHA 0xc013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 12.1, 13.0 12.1, 13.0
TLS1-ECDHE-RSA-DES-CBC3-SHA 0xc012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 12.1, 13.0 -NA-
TLS1-DHE-RSA-AES-128-CBC-SHA 0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 12.1, 13.0 12.1, 13.0
TLS1-DHE-RSA-AES-256-CBC-SHA 0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA 12.1, 13.0 12.1, 13.0

要查看前端支持的默认密码列表,请在命令提示符下键入:

show ssl cipher DEFAULT_DTLS
1)    Cipher Name: TLS1-AES-256-CBC-SHA    Priority : 1
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0035
2)    Cipher Name: TLS1-AES-128-CBC-SHA    Priority : 2
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x002f
3)    Cipher Name: TLS1-ECDHE-RSA-AES256-SHA    Priority : 3
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
4)    Cipher Name: TLS1-ECDHE-RSA-AES128-SHA    Priority : 4
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
5)    Cipher Name: TLS1-DHE-RSA-AES-256-CBC-SHA    Priority : 5
    Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0039
6)    Cipher Name: TLS1-DHE-RSA-AES-128-CBC-SHA    Priority : 6
    Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x0033
7)    Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 7
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
8)    Cipher Name: SSL3-DES-CBC3-SHA    Priority : 8
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0x000a

要查看后端支持的默认密码列表,请在命令提示符下键入:

show ssl cipher DEFAULT_DTLS_BACKEND
1)  Cipher Name: TLS1-AES-256-CBC-SHA    Priority : 1
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0035
2)    Cipher Name: TLS1-AES-128-CBC-SHA    Priority : 2
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x002f
3)    Cipher Name: TLS1-ECDHE-RSA-AES256-SHA    Priority : 3
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
4)    Cipher Name: TLS1-ECDHE-RSA-AES128-SHA    Priority : 4
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
5)    Cipher Name: TLS1-DHE-RSA-AES-256-CBC-SHA    Priority : 5
    Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0039
6)    Cipher Name: TLS1-DHE-RSA-AES-128-CBC-SHA    Priority : 6
    Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x0033
7)    Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 7
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
8)    Cipher Name: SSL3-DES-CBC3-SHA    Priority : 8
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0x000a

Citrix ADC MPX 14000 FIPS 平台上的 DTLS 密码支持

注意:如果满足以下条件,FIPS 平台支持开明数据支持 (EDT):

  • StoreFront 上设置的 UDT MSS 值为 900。
  • Windows 客户端版本是 4.12 或更高版本。
  • 启用 DTLS 的 VDA 版本为 7.17 或更高版本。
  • 非 DTLS VDA 版本为 7.15 LTSR CU3 或更高版本。

如何阅读表格:

除非指定内部版本号,否则发行版本中的所有版本都支持密码套件。

示例:

  • 10.5、11.0、11.1、12.0、12.1、13.0:版本 10.5、11.0、11.1、12.0、12.1、13.0 的所有内部版本。
  • -NA-:不适用。
密码套件名称 十六码 威斯藏密码套件名称 支持的构建(前端) 支持的构建(后端)
TLS1-AES-256-CBC-SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 12.0, 12.1–49.x, 13.0
TLS1-AES-128-CBC-SHA 0x002f TLS_RSA_WITH_AES_128_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 12.0, 12.1–49.x, 13.0
SSL3-DES-CBC-SHA 0x0009 TLS_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 -NA-
SSL3-DES-CBC3-SHA 0x000a TLS_RSA_WITH_3DES_EDE_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 12.0, 12.1–49.x, 13.0
SSL3-EDH-RSA-DES-CBC3-SHA 0x0016 TLS_DHE_RSA_WITH_3DES_EDE_CBC_S 11.0, 11.1, 12.0, 12.1–49.x, 13.0 -NA-
SSL3-EDH-RSA-DES-CBC-SHA 0x0015 TLS_DHE_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1–49.x, 13.0 -NA-
TLS1-ECDHE-RSA-AES256-SHA 0xc014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 12.1–49.x, 13.0 12.1–49.x, 13.0
TLS1-ECDHE-RSA-AES128-SHA 0xc013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 12.1–49.x, 13.0 12.1–49.x, 13.0
TLS1-ECDHE-RSA-DES-CBC3-SHA 0xc012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 12.1–49.x, 13.0 -NA-
TLS1-DHE-RSA-AES-128-CBC-SHA 0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 12.1–49.x, 13.0 12.1–49.x, 13.0
TLS1-DHE-RSA-AES-256-CBC-SHA 0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA 12.1–49.x, 13.0 12.1–49.x, 13.0

要查看 Citrix ADC FIPS 设备支持的默认密码列表,请在命令提示符下键入:

show ssl cipher DTLS_FIPS
1)    Cipher Name: TLS1-AES-256-CBC-SHA    Priority : 1
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0035
2)    Cipher Name: TLS1-AES-128-CBC-SHA    Priority : 2
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x002f
3)    Cipher Name: TLS1-ECDHE-RSA-AES256-SHA    Priority : 3
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
4)    Cipher Name: TLS1-ECDHE-RSA-AES128-SHA    Priority : 4
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
5)    Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA  Priority : 5
    Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
6)    Cipher Name: SSL3-DES-CBC3-SHA    Priority : 6
    Description: SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0x000a

DTLS 密码支持,实现完全正向保密 (PFS)

  • SSL3-EDH-RSA-DES-CBC3-SHA(仅限前端)
  • SSL3-EDH-RSA-DES-CBC-SHA(仅限前端)
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1-ECHE-RSA-DES-CBC3-SHA(仅限前端)
  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA

前端 VPX 设备上的 DTLSv1.2 密码支持

下表列出了 DTLSv1.2 协议支持的其他密码。

密码套件名称 十六码 威斯藏密码套件名称 支持的构建(VPX 前端) 支持的构建(后端)
TLS1.2-AES256-GCM-SHA384 0x009d TLS_RSA_WITH_AES_256_GCM_SHA384 13.0–47.x 不适用
TLS1.2-AES128-GCM-SHA256 0x009c TLS_RSA_WITH_AES_128_GCM_SHA256 13.0–47.x 不适用
TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 0xc030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 13.0–47.x 不适用
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 0xc02f TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 13.0–47.x 不适用
TLS1.2-DHE-RSA-AES256-GCM-SHA384 0x009f TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 13.0–47.x 不适用
TLS1.2-DHE-RSA-AES128-GCM-SHA256 0x009e TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 13.0–47.x 不适用
TLS1.2-AES-256-SHA256 0x003d TLS_RSA_WITH_AES_256_CBC_SHA256 13.0–47.x 不适用
TLS1.2-AES-128-SHA256 0x003c TLS_RSA_WITH_AES_128_CBC_SHA256 13.0–47.x 不适用
TLS1.2-ECDHE-RSA-AES-256-SHA384 0xc028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 13.0–47.x 不适用
TLS1.2-ECDHE-RSA-AES-128-SHA256 0xc027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 13.0–47.x 不适用
TLS1.2-DHE-RSA-AES-256-SHA256 0x006b TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 13.0–47.x 不适用
TLS1.2-DHE-RSA-AES-128-SHA256 0x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 13.0–47.x 不适用
支持 DTLS 协议
January 7, 2021
贡献者: 
C
January 7, 2021
贡献者: 
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie 首选项 | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.