Konfigurieren benutzerdefinierter Verschlüsselungsgruppen auf der ADC-Appliance

Eine Verschlüsselungsgruppe ist eine Reihe von Verschlüsselungssuiten, die Sie an einen virtuellen SSL-Server, -Dienst oder eine Dienstgruppe auf der NetScaler-Appliance binden. Eine Verschlüsselungssuite umfasst ein Protokoll, einen Schlüsselaustauschalgorithmus (Kx), einen Authentifizierungsalgorithmus (Au), einen Verschlüsselungsalgorithmus (Enc) und einen Algorithmus für den Nachrichtenauthentifizierungscode (Mac). Ihre Appliance wird mit einem vordefinierten Satz von Verschlüsselungsgruppen geliefert. Wenn Sie einen SSL-Dienst oder eine SSL-Dienstgruppe erstellen, wird die ALL-Chiffriergruppe automatisch daran gebunden. Wenn Sie jedoch einen virtuellen SSL-Server oder einen transparenten SSL-Dienst erstellen, wird die DEFAULT-Verschlüsselungsgruppe automatisch daran gebunden. Darüber hinaus können Sie eine benutzerdefinierte Verschlüsselungsgruppe erstellen und sie an einen virtuellen SSL-Server, -Dienst oder eine Dienstgruppe binden.

Hinweis:Wenn Ihre MPX-Appliance über keine Lizenzen verfügt, ist nur die EXPORT-Chiffre an Ihren virtuellen SSL-Server, -Dienst oder Ihre Dienstgruppe gebunden.

Um eine benutzerdefinierte Verschlüsselungsgruppe zu erstellen, erstellen Sie zunächst eine Verschlüsselungsgruppe und binden dann Chiffren oder Verschlüsselungsgruppen an diese Gruppe. Wenn Sie einen Chiffrieralias oder eine Verschlüsselungsgruppe angeben, werden alle Chiffren in dem Chiffrieralias oder der Verschlüsselungsgruppe zur benutzerdefinierten Verschlüsselungsgruppe hinzugefügt. Sie können einer benutzerdefinierten Gruppe auch einzelne Chiffren (Cipher Suites) hinzufügen. Sie können jedoch eine vordefinierte Verschlüsselungsgruppe nicht ändern. Bevor Sie eine Verschlüsselungsgruppe entfernen, heben Sie die Bindung aller Cipher-Suites in der Gruppe auf.

Beim Binden einer Verschlüsselungsgruppe an einen virtuellen SSL-Server, -Dienst oder eine Dienstgruppe werden die Chiffren an die vorhandenen Verschlüsselungen angehängt, die an die Entität gebunden sind. Um eine bestimmte Verschlüsselungsgruppe an die Entität zu binden, müssen Sie zuerst die Chiffren oder Verschlüsselungsgruppe aufheben, die an die Entität gebunden ist. Binden Sie dann die spezifische Verschlüsselungsgruppe an die Entität. Um beispielsweise nur die AES-Verschlüsselungsgruppe an einen SSL-Dienst zu binden, führen Sie die folgenden Schritte aus:

1. Entbindet die Standard-Verschlüsselungsgruppe ALL, die standardmäßig an den Dienst gebunden ist, wenn der Dienst erstellt wird.

   unbind ssl service  -cipherName ALL 

2. Binden Sie die AES-Verschlüsselungsgruppe an den Dienst

   bind ssl service  -cipherName AE 

   Wenn Sie die Verschlüsselungsgruppe DES zusätzlich zu AES binden möchten, geben Sie an der Befehlszeile Folgendes ein:

   bind ssl service  -cipherName DES 

Hinweis:Die kostenlose virtuelle NetScaler-Appliance unterstützt nur die DH-Chiffriergruppe.

Konfigurieren您一张benutzerdefinierte Verschlusselungsgruppe mithilfe der CLI

您一个der Befehlszeile死folgenden Befehle ein, um eine Verschlüsselungsgruppe hinzuzufügen oder um Verschlüsselungen zu einer zuvor erstellten Gruppe hinzuzufügen, und überprüfen Sie die Einstellungen:

add ssl cipher  bind ssl cipher  -cipherName  show ssl cipher  

Beispiel:

add ssl cipher test Done bind ssl cipher test -cipherName ECDHE Done sh ssl cipher test 1) Cipher Name: TLS1-ECDHE-RSA-AES256-SHA Priority : 1 Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 2) Cipher Name: TLS1-ECDHE-RSA-AES128-SHA Priority : 2 Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013 3) Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384 Priority : 3 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA-384 HexCode=0xc028 4) Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256 Priority : 4 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA-256 HexCode=0xc027 5) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030 6) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f 7) Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA Priority : 7 Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA1 HexCode=0xc00a 8) Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA Priority : 8 Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA1 HexCode=0xc009 9) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384 Priority : 9 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA-384 HexCode=0xc024 10) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256 Priority : 10 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA-256 HexCode=0xc023 11) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 Priority : 11 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c 12) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority : 12 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b 13) Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 13 Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012 14) Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA Priority : 14 Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=3DES(168) Mac=SHA1 HexCode=0xc008 15) Cipher Name: TLS1-ECDHE-RSA-RC4-SHA Priority : 15 Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=RC4(128) Mac=SHA1 HexCode=0xc011 16) Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA Priority : 16 Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=RC4(128) Mac=SHA1 HexCode=0xc007 17) Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca8 18) Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 Priority : 18 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca9 Done bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA 

Entbinden von Chiffren aus einer Verschlüsselungsgruppe mithilfe der CLI

您一个der Befehlszeile死folgenden Befehle ein, um die Bindung von Chiffren an eine benutzerdefinierte Verschlüsselungsgruppe aufzuheben, und überprüfen Sie die Einstellungen:

show ssl cipher  unbind ssl cipher  -cipherName  show ssl cipher  

Entfernen Sie eine Verschlüsselungsgruppe mithilfe der CLI

Hinweis:Sie können eine integrierte Verschlüsselungsgruppe nicht entfernen. Bevor Sie eine benutzerdefinierte Verschlüsselungsgruppe entfernen, stellen Sie sicher, dass die Verschlüsselungsgruppe leer ist.

您一个der Befehlszeile死folgenden Befehle ein, um eine benutzerdefinierte Verschlüsselungsgruppe zu entfernen, und überprüfen Sie die Konfiguration:

rm ssl cipher  [ ...] show ssl cipher  

Beispiel:

rm ssl cipher test Done sh ssl cipher test ERROR: No such resource [cipherGroupName, test] 

Konfigurieren您一张benutzerdefinierte Verschlusselungsgruppe mithilfe der GUI

1. Navigieren Sie zuTraffic Management > SSL > Cipher Groups.
2. Klicken Sie aufHinzufügen.
3. Geben Sie einen Namen für die Verschlüsselungsgruppe an.
4. Klicken Sie aufHinzufügen, um die verfügbaren Chiffren und Verschlüsselungsgruppen anzuzeigen.
5. Wählen Sie eine Chiffre oder Verschlüsselungsgruppe aus und klicken Sie auf die Pfeilschaltfläche, um sie hinzuzufügen.
6. Klicken Sie aufErstellen.
7. Klicken Sie aufSchließen.

So binden Sie eine Verschlüsselungsgruppe mithilfe der CLI an einen virtuellen SSL-Server, -Dienst oder eine Dienstgruppe:

Geben Sie in der Befehlszeile einen der folgenden Befehle ein:

bind ssl vserver  -cipherName  bind ssl service  -cipherName  bind ssl serviceGroup  -cipherName  

Beispiel:

bind ssl vserver ssl_vserver_test -cipherName test Done bind ssl service nshttps -cipherName test Done bind ssl servicegroup ssl_svc -cipherName test Done 

So binden Sie eine Verschlüsselungsgruppe mithilfe der GUI an einen virtuellen SSL-Server, Dienst oder Dienstgruppe:

1. Navigieren Sie zuTraffic Management > Load Balancing > Virtuelle Server.

   Ersetzen Sie virtuelle Server für den Service durch Dienste. Ersetzen Sie für Dienstgruppen virtuelle Server durch Dienstgruppen.

   Öffnen Sie den virtuellen Server, Dienst oder Dienstgruppe.

2. Wählen Sie unterErweiterte Einstellungendie OptionSSL-Verschlüsselungenaus.

3. Binden Sie eine Verschlüsselungsgruppe an den virtuellen Server, Dienst oder Dienstgruppe.

Bindung einzelner Chiffren an einen virtuellen SSL-Server oder -Dienst

Sie können anstelle einer Verschlüsselungsgruppe auch einzelne Chiffren an einen virtuellen Server oder Dienst binden.

Um eine Chiffre mithilfe der CLI zu binden:Geben Sie in der Befehlszeile Folgendes ein:

bind ssl vserver  -cipherName  bind ssl service  -cipherName  

Beispiel:

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Done bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Done 

Um eine Chiffre mithilfe der GUI an einen virtuellen SSL-Server zu binden:

1. Navigieren Sie zuTraffic Management > Load Balancing > Virtuelle Server.
2. Wählen Sie einen virtuellen SSL-Server aus und klicken Sie aufBearbeiten.
3. Wählen Sie unterErweiterte Einstellungendie OptionSSL-Verschlüsselungenaus.
4. Wählen Sie inCipher SuitesHinzufügen aus.
5. Suchen Sie in der verfügbaren Liste nach der Chiffre und klicken Sie auf den Pfeil, um sie der konfigurierten Liste hinzuzufügen.
6. Klicken Sie aufOK.
7. Klicken Sie aufFertig.

Um eine Verschlüsselung an einen SSL-Dienst zu binden, wiederholen Sie die vorherigen Schritte, nachdem Sie den virtuellen Server durch den Dienst ersetzt haben.