支持 DTLS 协议
注意:
- Citrix ADC MPX/SDX(基于 N2 和 N3)、VPX 和 MPX 14000 FIPS 设备支持 DTLSv1.0 协议。外部 HSM 不支持此功能。
- 包含 Intel Coleto SSL 芯片的 Citrix ADC 设备支持 DTLS 1.0 协议(从 12.1 版本 50.x)。
- Citrix ADC VPX 设备的前端支持 DTLSv1.2 协议(从版本 13.0 版本 47.x)。
- 包含 Intel Coleto SSL 芯片的 Citrix ADC 设备的前端支持 DTLS 1.2 协议(从版本 13.0 版本 52.x)。有关包含 Intel Coleto SSL 芯片的平台的更多信息,请参阅支持基于 Intel Coleto SSL 芯片的平台。
- 不支持 DTLS 类型的服务组。
- Citrix ADC MPX 设备的前端支持 dtlSV1.2 协议(来自版本 13.0 Build 58.x)。
- 有关针对 Citrix Gateway 的 Enlightened Data Transport (EDT) 支持的信息,请参阅HDX 开明的数据传输支持。
传统上,SSL 和 TLS 协议用于保护流媒体流量。这两个协议都基于 TCP,这是缓慢的。此外,TLS 无法处理丢失或重新排序的数据包。
UDP 是音频和视频应用程序的首选协议,如 Lync,Skype,iTunes,YouTube,培训视频和闪存。但是,UDP 不安全或不可靠。DTLS 协议旨在通过 UDP 保护数据,并用于媒体流媒体、VOIP 和在线游戏等应用程序以进行通信。在 DTLS 中,每个握手消息都会在该握手中分配一个特定的序列号。当对等方收到握手消息时,它可以快速确定该消息是否是预期的下一个消息。如果是,则对等方处理消息。如果没有,则在收到以前的所有消息后,该消息将排队进行处理。
创建 DTLS 虚拟服务器和 UDP 类型的服务。默认情况下,DTLS 配置文件(nsdtls_default ult_profile)绑定到虚拟服务器。或者,您可以创建用户定义的 DTLS 配置文件并将其绑定到虚拟服务器。
注意:DTLS 虚拟服务器上不支持 RC4 密码。
DTLS 配置
您可以使用命令行 (CLI) 或配置实用程序 (GUI) 在 ADC 设备上配置 DTLS。
注意: 从版本 13.0 版本 47.x 中,Citrix ADC VPX 设备的前端支持 DTLS 1.2 协议。配置 DTLSv1.2 虚拟服务器时,请指定 DTLS12。默认值为 DTLS1。
在命令提示窗口中,键入:
set ssl vserver DTLS [-dtls1 ( ENABLED | DISABLED )] [-dtls12 ( ENABLED | DISABLED )]
使用 CLI 创建 DTLS 配置
在命令提示窗口中,键入:
add lb vserver <vserver_name> DTLS <IPAddress> <port>
add service <service_name> <IPAddress> UDP 443
bind lb vserver <vserver_name> <udp_service_name>
以下步骤为可选步骤:
add dtlsProfile dtls1 -maxretryTime <positive_integer>
set ssl vserver <vserver_name> -dtlsProfileName <dtls_profile_name>
通过使用 GUI 创建 DTLS 配置
- 导航到 流量管理 > 负载平衡 > 虚拟服务器。
- 创建 DTLS 类型的虚拟服务器,并将 UDP 服务绑定到虚拟服务器。
- 默认 DTLS 配置文件绑定到 DTLS 虚拟服务器。要绑定不同的配置文件,请在 SSL 参数中选择不同的 DTLS 配置文件。要创建配置文件,请单击 DTLS 配置文件旁边的加号 (+)。
支持 DTLS 虚拟服务器上的 SNI
有关 SNI 的信息,请参阅为多个站点的安全托管配置 SNI 虚拟服务器。
使用 CLI 在 DTLS 虚拟服务器上配置 SNI
在命令提示窗口中,键入:
set dtls vserver <vServerName> -SNIEnable ENABLED
bind dtls vserver <vServerName> -certkeyName <string> -SNICert
show dtls vserver <vServerName>
示例:
set ssl vserver v1 -sniEnable ENABLED
bind ssl vserver v1 -certkeyName san2 -sniCert
bind ssl vserver v1 -certkeyName san13 –sniCert
bind ssl vserver v1 -certkeyName san17 –sniCert
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED
Ephemeral RSA: ENABLED
Refresh Count: 0
Session Reuse: ENABLED
Timeout: 1800 seconds
Cipher Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: ENABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
DTLSv1: ENABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
DTLS profile name: nsdtls_default_profile
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: ca
CA Certificate OCSPCheck: OptionalCA_Name Sent
2) CertKey Name: san2 Server Certificate for SNI
3) CertKey Name: san17 Server Certificate for SNI
4) CertKey Name: san13 Server Certificate for SNI
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done
通过使用 GUI 在 DTLS 虚拟服务器上配置 SNI
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 打开 DTLS 虚拟服务器,然后在“证书”中单击服务器证书。
- 添加证书或从列表中选择证书,然后选择 SNI 的服务器证书。
- 在 高级设置中,单击 SSL 参数。
- 选择 SNI 启用。
DTLS 虚拟服务器不支持的功能
无法在 DTLS 虚拟服务器上启用以下选项:
- SSLv2
- SSLv3
- TLSv1
- TLSv1.1
- TLSv1.2
- 推送加密触发器
- SSLv2Redirect
- SSLv2URL
DTLS 虚拟服务器未使用的参数
DTLS 虚拟服务器忽略以下 SSL 参数,即使已设置:
- 加密触发数据包计数
- PUSE 加密触发器超时
- SSL 量子大小
- 加密触发器超时
- 主题/发行人名称插入格式
在 DTLS 服务上配置重新协商
DTLS 服务支持非安全的重新协商。您可以使用 CLI 或 GUI 来配置此设置。
使用 CLI 配置对 DTLS 服务的重新协商
在命令提示窗口中,键入:
set ssl parameter -denysslreneg NONSECURE
示例:
set ssl parameter -denysslreneg NONSECURE
sh ssl parameter
Advanced SSL Parameters
-----------------------
SSL quantum size : 8 KB
Max CRL memory size : 256 MB
Strict CA checks : NO
Encryption trigger timeout : 100 ms
Send Close-Notify : YES
Encryption trigger packet count : 45
Deny SSL Renegotiation : NONSECURE
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size : 10 MB
Push flag : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout : 1 ms
Crypto Device Disable Limit : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile : DISABLED
SSL Insert Space in Certificate Header : YES
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 0
Hybrid FIPS Mode : DISABLED
Signature and Hash Algorithms supported by TLS1.2 : ALL
SSL Interception Error Learning and Caching : DISABLED
SSL Interception Maximum Error Cache Memory : 0 Bytes
Done
通过使用 GUI 配置在 DTLS 服务上的重新协商
- 导航到流量管理 > 负载平衡 > 服务。
- 选择一个 DTLS 服务,然后单击 编辑。
- 导航到 SSL > 高级设置 。
- 选择 拒绝 SSL 重新协商。
DTLS 服务不支持的功能
无法在 DTLS 服务上启用以下选项:
- SSLv2
- SSLv3
- TLSv1
- TLSv1.1
- TLSv1.2
- 推送加密触发器
- SSLv2Redirect
- SSLv2URL
- SNI
- 安全重新谈判
DTLS 服务未使用的参数
DTLS 服务忽略以下 SSL 参数,即使已设置:
- 加密触发数据包计数
- PUSE 加密触发器超时
- SSL 量子大小
- 加密触发器超时
- 主题/发行人名称插入格式
注意:
SSL 会话重用握手在 DTLS 服务上失败,因为当前在 DTLS 服务上不支持会话重用。
解决办法: 手动禁用 DTLS 服务上的会话重用。在 CLI 中,键入:
set ssl service <dtls-service-name> -sessReuse DISABLED
DTLS 配置文件
具有默认设置的 DTLS 配置文件将自动绑定到 DTLS 虚拟服务器。但是,您可以创建具有特定设置的 DTLS 配置文件以满足您的需求。
将 DTLS 配置文件与 DTLS 虚拟服务器或 VPN DTLS 虚拟服务器结合使用。您不能将 SSL 配置文件与 DTLS 虚拟服务器一起使用。
使用 CLI 创建 DTLS 配置文件
add ssl dtlsProfile <name>
show ssl dtlsProfile<name>
示例:
add dtlsProfile dtls1 -helloVerifyRequest ENABLED -maxretryTime 4
Done
show dtlsProfile dtls1
1) Name: dtls1
PMTU Discovery: DISABLED
Max Record Size: 1460 bytes
Max Retry Time: 4 sec
Hello Verify Request: ENABLED
Terminate Session: DISABLED
Max Packet Count: 120 bytes
Done
通过使用 GUI 创建 DTLS 配置文件
导航到系统>“配 置文件>DTLS 配置文 件”并配置新配置文件。
端到端 DTLS 配置示例
enable ns feature SSL LB
add server s1 198.51.100.2
en ns mode usnip
add service svc_dtls s1 DTLS 443
add lb vserver v1 DTLS 10.102.59.244 443
bind ssl vserver v1 -ciphername ALL
add ssl certkey servercert -cert servercert_aia_valid.pem -key serverkey_aia.pem
bind ssl vserver v1 -certkeyname servercert
bind lb vserver lb1 svc_dtls
sh lb vserver v1
v1 (10.102.59.244:4433) - DTLS Type: ADDRESS
State: UP
Last state change was at Fri Apr 27 07:00:27 2018
Time since last state change: 0 days, 00:00:04.810
Effective State: UP
Client Idle Timeout: 120 sec
Down state flush: ENABLED
Disable Primary Vserver On Down : DISABLED
Appflow logging: ENABLED
No. of Bound Services : 1 (Total) 0 (Active)
Configured Method: LEASTCONNECTION
Current Method: Round Robin, Reason: A new service is bound BackupMethod: ROUNDROBIN
Mode: IP
Persistence: NONE
L2Conn: OFF
Skip Persistency: None
Listen Policy: NONE
IcmpResponse: PASSIVE
RHIstate: PASSIVE
New Service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0
Mac mode Retain Vlan: DISABLED
DBS_LB: DISABLED
Process Local: DISABLED
Traffic Domain: 0
TROFS Persistence honored: ENABLED
Retain Connections on Cluster: NO
1) svc_dtls (10.102.59.190: 4433) - DTLS State: UP Weight: 1
Done
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 1800 seconds
Cipher Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
DTLSv1: ENABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
DTLS profile name: nsdtls_default_profile
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: servercert Server Certificate
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
2) Cipher Name: ALL
Description: All ciphers supported by NetScaler, excluding NULL ciphers
Done
sh service svc_dtls
svc_dtls (10.102.59.190:4433) - DTLS
State: UP
Last state change was at Fri Apr 27 07:00:26 2018
Time since last state change: 0 days, 00:00:22.790
Server Name: s1
Server ID : None Monitor Threshold : 0
Max Conn: 0 Max Req: 0 Max Bandwidth: 0 kbits
Use Source IP: NO
Client Keepalive(CKA): NO
Access Down Service: NO
TCP Buffering(TCPB): NO
HTTP Compression(CMP): NO
Idle timeout: Client: 120 sec Server: 120 sec
Client IP: DISABLED
Cacheable: NO
SC: OFF
SP: OFF
Down state flush: ENABLED
Monitor Connection Close : NONE
Appflow logging: ENABLED
Process Local: DISABLED
Traffic Domain: 0
1) Monitor Name: ping-default
State: UP Weight: 1 Passive: 0
Probes: 5 Failed [Total: 0 Current: 0]
Last response: Success - ICMP echo reply received.
Response Time: 2.77 millisec
Done
sh ssl service svc_dtls
Advanced SSL configuration for Back-end SSL Service svc_dtls:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 1800 seconds
Cipher Redirect: DISABLED
ClearText Port: 0
Server Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
DTLSv1: ENABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: ???
DHE Key Exchange With PSK: ???
Tickets Per Authentication Context: ???
DTLS profile name: nsdtls_default_profile
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT_BACKEND
Description: Default cipher list for Backend SSL session
Done
sh dtlsProfile nsdtls_default_profile
1) Name: nsdtls_default_profile
PMTU Discovery: DISABLED
Max Record Size: 1459 bytes
Max Retry Time: 3 sec
Hello Verify Request: DISABLED
Terminate Session: DISABLED
Max Packet Count: 120 bytes
Done
DTLS 密码支持
默认情况下,当您创建 DTLS 虚拟服务器或服务时绑定 DTLS 密码组。DEFAULT_DTLS 包含前端 DTLS 实体支持的密码。默认情况下,当您创建 DTLS 虚拟服务器时,此组将绑定。DEFAULT_DTLS_后端包含后端 DTLS 实体支持的密码。默认情况下,此组绑定到 DTLS 后端服务。DTLS_FIPS 包含 Citrix ADC FIPS 平台支持的密码。默认情况下,此组绑定到在 FIPS 平台上创建的 DTLS 虚拟服务器或服务。
Citrix ADC VPX、MPX/SDX(基于 N2 和 N3 的)设备上的 DTLS 密码支持
如何阅读表格:
除非指定内部版本号,否则发行版本中的所有版本都支持密码套件。
示例:
- 10.5、11.0、11.1、12.0、12.1、13.0:版本 10.5、11.0、11.1、12.0、12.1、13.0 的所有内部版本。
- -NA-:不适用。
Citrix ADC VPX、MPX/SDX(基于 N2 和 N3 的)设备上的 DTLS 密码支持
密码套件名称 | 十六码 | 威斯藏密码套件名称 | 支持的构建(前端) | 支持的构建(后端) |
---|---|---|---|---|
TLS1-AES-256-CBC-SHA | 0x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | 12.0, 12.1, 13.0 |
TLS1-AES-128-CBC-SHA | 0x002f | TLS_RSA_WITH_AES_128_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | 12.0, 12.1, 13.0 |
SSL3-DES-CBC-SHA | 0x0009 | TLS_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | -NA- |
SSL3-DES-CBC3-SHA | 0x000a | TLS_RSA_WITH_3DES_EDE_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | 12.0, 12.1, 13.0 |
SSL3-EDH-RSA-DES-CBC3-SHA | 0x0016 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_S | 11.0, 11.1, 12.0, 12.1, 13.0 | -NA- |
SSL3-EDH-RSA-DES-CBC-SHA | 0x0015 | TLS_DHE_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | -NA- |
TLS1-ECDHE-RSA-AES256-SHA | 0xc014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 12.1, 13.0 | 12.1, 13.0 |
TLS1-ECDHE-RSA-AES128-SHA | 0xc013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 12.1, 13.0 | 12.1, 13.0 |
TLS1-ECDHE-RSA-DES-CBC3-SHA | 0xc012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 12.1, 13.0 | -NA- |
TLS1-DHE-RSA-AES-128-CBC-SHA | 0x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | 12.1, 13.0 | 12.1, 13.0 |
TLS1-DHE-RSA-AES-256-CBC-SHA | 0x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | 12.1, 13.0 | 12.1, 13.0 |
要查看前端支持的默认密码列表,请在命令提示符下键入:
show ssl cipher DEFAULT_DTLS
1) Cipher Name: TLS1-AES-256-CBC-SHA Priority : 1
Description: SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035
2) Cipher Name: TLS1-AES-128-CBC-SHA Priority : 2
Description: SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f
3) Cipher Name: TLS1-ECDHE-RSA-AES256-SHA Priority : 3
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014
4) Cipher Name: TLS1-ECDHE-RSA-AES128-SHA Priority : 4
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013
5) Cipher Name: TLS1-DHE-RSA-AES-256-CBC-SHA Priority : 5
Description: SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0039
6) Cipher Name: TLS1-DHE-RSA-AES-128-CBC-SHA Priority : 6
Description: SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x0033
7) Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 7
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012
8) Cipher Name: SSL3-DES-CBC3-SHA Priority : 8
Description: SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a
要查看后端支持的默认密码列表,请在命令提示符下键入:
show ssl cipher DEFAULT_DTLS_BACKEND
1) Cipher Name: TLS1-AES-256-CBC-SHA Priority : 1
Description: SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035
2) Cipher Name: TLS1-AES-128-CBC-SHA Priority : 2
Description: SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f
3) Cipher Name: TLS1-ECDHE-RSA-AES256-SHA Priority : 3
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014
4) Cipher Name: TLS1-ECDHE-RSA-AES128-SHA Priority : 4
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013
5) Cipher Name: TLS1-DHE-RSA-AES-256-CBC-SHA Priority : 5
Description: SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0039
6) Cipher Name: TLS1-DHE-RSA-AES-128-CBC-SHA Priority : 6
Description: SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x0033
7) Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 7
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012
8) Cipher Name: SSL3-DES-CBC3-SHA Priority : 8
Description: SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a
Citrix ADC MPX 14000 FIPS 平台上的 DTLS 密码支持
注意:如果满足以下条件,FIPS 平台支持开明数据支持 (EDT):
- StoreFront 上设置的 UDT MSS 值为 900。
- Windows 客户端版本是 4.12 或更高版本。
- 启用 DTLS 的 VDA 版本为 7.17 或更高版本。
- 非 DTLS VDA 版本为 7.15 LTSR CU3 或更高版本。
如何阅读表格:
除非指定内部版本号,否则发行版本中的所有版本都支持密码套件。
示例:
- 10.5、11.0、11.1、12.0、12.1、13.0:版本 10.5、11.0、11.1、12.0、12.1、13.0 的所有内部版本。
- -NA-:不适用。
密码套件名称 | 十六码 | 威斯藏密码套件名称 | 支持的构建(前端) | 支持的构建(后端) |
---|---|---|---|---|
TLS1-AES-256-CBC-SHA | 0x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | 11.0, 11.1, 12.0, 12.1–49.x, 13.0 | 12.0, 12.1–49.x, 13.0 |
TLS1-AES-128-CBC-SHA | 0x002f | TLS_RSA_WITH_AES_128_CBC_SHA | 11.0, 11.1, 12.0, 12.1–49.x, 13.0 | 12.0, 12.1–49.x, 13.0 |
SSL3-DES-CBC-SHA | 0x0009 | TLS_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1–49.x, 13.0 | -NA- |
SSL3-DES-CBC3-SHA | 0x000a | TLS_RSA_WITH_3DES_EDE_CBC_SHA | 11.0, 11.1, 12.0, 12.1–49.x, 13.0 | 12.0, 12.1–49.x, 13.0 |
SSL3-EDH-RSA-DES-CBC3-SHA | 0x0016 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_S | 11.0, 11.1, 12.0, 12.1–49.x, 13.0 | -NA- |
SSL3-EDH-RSA-DES-CBC-SHA | 0x0015 | TLS_DHE_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1–49.x, 13.0 | -NA- |
TLS1-ECDHE-RSA-AES256-SHA | 0xc014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 12.1–49.x, 13.0 | 12.1–49.x, 13.0 |
TLS1-ECDHE-RSA-AES128-SHA | 0xc013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 12.1–49.x, 13.0 | 12.1–49.x, 13.0 |
TLS1-ECDHE-RSA-DES-CBC3-SHA | 0xc012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 12.1–49.x, 13.0 | -NA- |
TLS1-DHE-RSA-AES-128-CBC-SHA | 0x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | 12.1–49.x, 13.0 | 12.1–49.x, 13.0 |
TLS1-DHE-RSA-AES-256-CBC-SHA | 0x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | 12.1–49.x, 13.0 | 12.1–49.x, 13.0 |
要查看 Citrix ADC FIPS 设备支持的默认密码列表,请在命令提示符下键入:
show ssl cipher DTLS_FIPS
1) Cipher Name: TLS1-AES-256-CBC-SHA Priority : 1
Description: SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035
2) Cipher Name: TLS1-AES-128-CBC-SHA Priority : 2
Description: SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f
3) Cipher Name: TLS1-ECDHE-RSA-AES256-SHA Priority : 3
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014
4) Cipher Name: TLS1-ECDHE-RSA-AES128-SHA Priority : 4
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013
5) Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 5
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012
6) Cipher Name: SSL3-DES-CBC3-SHA Priority : 6
Description: SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a
DTLS 密码支持,实现完全正向保密 (PFS)
- SSL3-EDH-RSA-DES-CBC3-SHA(仅限前端)
- SSL3-EDH-RSA-DES-CBC-SHA(仅限前端)
- TLS1-ECDHE-RSA-AES256-SHA
- TLS1-ECDHE-RSA-AES128-SHA
- TLS1-ECHE-RSA-DES-CBC3-SHA(仅限前端)
- TLS1-DHE-RSA-AES-128-CBC-SHA
- TLS1-DHE-RSA-AES-256-CBC-SHA
前端 VPX 设备上的 DTLSv1.2 密码支持
下表列出了 DTLSv1.2 协议支持的其他密码。
密码套件名称 | 十六码 | 威斯藏密码套件名称 | 支持的构建(VPX 前端) | 支持的构建(后端) |
---|---|---|---|---|
TLS1.2-AES256-GCM-SHA384 | 0x009d | TLS_RSA_WITH_AES_256_GCM_SHA384 | 13.0–47.x | 不适用 |
TLS1.2-AES128-GCM-SHA256 | 0x009c | TLS_RSA_WITH_AES_128_GCM_SHA256 | 13.0–47.x | 不适用 |
TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 | 0xc030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 13.0–47.x | 不适用 |
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 | 0xc02f | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 13.0–47.x | 不适用 |
TLS1.2-DHE-RSA-AES256-GCM-SHA384 | 0x009f | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | 13.0–47.x | 不适用 |
TLS1.2-DHE-RSA-AES128-GCM-SHA256 | 0x009e | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | 13.0–47.x | 不适用 |
TLS1.2-AES-256-SHA256 | 0x003d | TLS_RSA_WITH_AES_256_CBC_SHA256 | 13.0–47.x | 不适用 |
TLS1.2-AES-128-SHA256 | 0x003c | TLS_RSA_WITH_AES_128_CBC_SHA256 | 13.0–47.x | 不适用 |
TLS1.2-ECDHE-RSA-AES-256-SHA384 | 0xc028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 13.0–47.x | 不适用 |
TLS1.2-ECDHE-RSA-AES-128-SHA256 | 0xc027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 13.0–47.x | 不适用 |
TLS1.2-DHE-RSA-AES-256-SHA256 | 0x006b | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | 13.0–47.x | 不适用 |
TLS1.2-DHE-RSA-AES-128-SHA256 | 0x0067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | 13.0–47.x | 不适用 |