Unterstützung des TLSv1.3-Protokolls wie in RFC 8446 definiert

2022年7月27日,

Beitrag冯:

Citrix ADC VPX- und Citrix ADC MPX-Appliances unterstützen jetzt das in RFC 8446 angelgebene tlsv1.3 - protokl。

Hinweise:

Ab Release 13.0 Build 71。x und höher wid die Hardwarebeschleunigung TLS1.3 auf den folgenden platformen unterstützt:

MPX 5900

MPX /有关8900

MPX /有关9100

MPX /有关15000

MPX /有关15000 - 50 g

MPX /有关26000

MPX / 26000 - 50年代有关

MPX /有关26000 - 100 g

- Nur-Software-Unterstützung für das tlsv1.3 - protocol koll ist auf allen anderen Citrix ADC MPX- und SDX-Appliances mit Ausnahme von Citrix ADC FIPS-Appliances verfügbar。

TLSv1.3 word nur mit dem erweiterten profile unterstützt。信息之阿克蒂维人，erweiteren档案发现你在Aktivieren des erweiterten简介．

Um TLS1.3 zu verwenden, müssen Sie einen客户端verwenden, der der RFC 8446-Spezifikation entspricht。

Unterstutzte Citrix ADC-Funktionen

纸页SSL-Funktionen werden unterstützt:

TLSv1.3-Verschlusselungssammlungen:
- TLS1.3-AES256-GCM-SHA384 (0 x1302)
- TLS1.3_CHACHA20_POLY1305_SHA256 (0 x1303)
- TLS1.3-AES128_GCM-SHA256 (0 x1301)
ECC-Kurven für kurzlebigen Diffie-Hellman-Schlüsselaustausch:
- P_256
- P_384
- P_521
Verkürzte握手，wenn die ticket-basierte Sitzungswiederaufnahme aktiviert ist
0-RTT fruhe Anwendungsdaten
可选订单:Clientauthentifizierung mit Unterstützung für OCSP und crl validierung von clientzerfikaten
Servernamenerweiterung: Auswahl des Serverzertifikats mithilfe von SNI
ashandlung des Anwendungsprotokolls (ALPN) mithilfe der Erweiterung application_level_protocol_negotiation。
OCSP-Heftung
Protokollnachrichten und AppFlow-Datensätze werden für tlsv1.3 -握手erstellt。
可选Protokollierung von TLS 1.3-Verkehrsgeheimnissen durch das paketerfassungsprogramnstrace．
Interoperabilität mit TLS-Clients, die RFC 8446 implementieren。Zum Beispiel Mozilla Firefox，谷歌Chrome和OpenSSL。

Unterstutzte浏览器

浏览器版本文件unterstützt und sind mit der Citrix ADC-Implementierung des TLS 1.3- kompatibel协议:

谷歌Chrome - Version 72.0.3626.121 (offizielles Build) (64-bisschen)
Mozilla Firefox - 65.0.2 (64 bisschen)
歌剧-版本:58.0.3135.79

Konfiguration

einem ssl - profile standardmäßig deaktiviert中的TLSv1.3 ist。

Hinzufügen eines ssl - profile mithilife der CLI

Geben Sie an der eingabeauforderung Folgendes ein:

添加SSL配置文件

Beispiel：

              add ssl profile tls13profile sh ssl profile tls13profile 1)名称:tls13profile(前端)SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Client Auth: DISABLED Use only bound CA certificates: DISABLED Strict CA checks: NO Session Reuse: ENABLED Timeout: 120秒DH: DISABLED DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Deny ssl Renegotiation ALL Non FIPS Cipher: DISABLED Cipher Redirect: DISABLED ssl Redirect:DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 Push Encryption Trigger: Always Push加密触发超时:1 ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header Check for SNI enabled SSL session: NO Push flag: 0x0 (Auto) SSL quantum size: 8kb加密触发超时100ms加密触发报文计数:45 Subject/Issuer Name插入格式:Unicode SSL截取:DISABLED SSL截取OCSP Check: ENABLED SSL截取端到端重新协商:ENABLED SSL截取每服务器最大复用会话:10 Session Ticket: DISABLED HSTS: DISABLED HSTS inclesubdomains: NO HSTS Max-Age: 0 ECC Curve: P_256, P_384, P_224, P_521 1) Cipher Name: DEFAULT Priority:1 Description:预定义密码别名Done 
             

Hinzufügen eines ssl - profile mithilife der GUI

Navigieren您祖茂堂系统>概要．民意调查您SSL-Profile．
Klicken您再见Hinzufugenund geben Sie einen Namen für das profile an。
民意调查您unt ProtokollTLSv13来自。
Klicken您再见好吧．

Binden Sie in ssl - profile mithilife der CLI一个einen virtuellen SSL-Server

Geben Sie an der eingabeauforderung Folgendes ein:

set ssl vserver  -sslProfile

Beispiel：

设置ssl vserver ssl-vs -sslProfile tls13profile

Binden Sie in ssl profile mithilife der GUI一个einen virtuellen SSL-Server

Navigieren您祖茂堂流量管理>负载均衡> Virtuelle服务器， und wählen Sie einen virtuellen SSL-Server aus。
Klicken您unt Erweiterte设置汪汪汪SSL-Profil．
Wählen Sie das zuvor erstellte tlsv1.3 - profile aus。
Klicken您再见好吧．
Klicken您再见多数时候．

SSL-Profilparameter für das tlsv1.3 - protocol . protocol

tls1.3 - einem ssl - profile aktivieren oder deaktivieren中的参数。
tls13: Status der TLSv1.3-Protokollunterstützung für das ssl - profile。
Mögliche Werte: ENABLED, DISABLED
Standardwert:禁用
```
设置SSL配置文件tls13profile -tls13 enable 
```
```
设置SSL配置文件tls13profile -tls13 disable 
```
我们的圣诞庆典。
Tls13SessionTicketsPerAuthContext: Anzahl der Tickets, die der virtuelle SSL-Server ausgibt, wenn TLS1.3 ausgehandelt wind, die ticket-basierte Wiederaufnahme aktiviert and entweder (1) in Handshake abgeschlossen ist oder (2) die Clientauthentifizierung nach dem Handshake abgeschlossen ist。
Dieser Wert kann erhöht werden, damit Clients mehere parallel verindungen mit einem neuen Ticket für jede verindung öffnen können。
这就是我们的生活，这就是我们的生活。
Standardwert: 1
Mindestwert: 1
最大温特:10
```
set ssl profile tls13profile -tls13sessionTicketsPerAuthContext 1 set ssl profile tls13profile -tls13sessionTicketsPerAuthContext 10 
```
Festlegen des DH-Schlusselaustausch
dheKeyExchangeWithPsk: Gibt an, ob ein virtueller SSL-Server einen DHE-Schlüsselaustausch erfordert, wenn ein vorab freigegebener Schlüssel während eines握手zur wiederaufnahmeeiner TLS 1.3-Sitzung akzeptiert wird。Ein DHE-Schlüsselaustausch gewährleistet die Vorwärtsgeheimnis, auch wenn Ticketschlüssel kompromittiert sind, auf Kosten zusätzlicher资源，die für die Durchführung desDHE-Schlusselaustauschserforderlich信德。
Die verfügbaren Einstellungen funktionieren wie folgt, wenn das Sitzungsticket aktiviert:
晶澳: Ein DHE-Schlüsselaustausch ist erforderlich, wenn Ein vorab freigegebener Schlüssel akzeptiert word, unabhängig davon, ob der Kunde den Schlüsselaustausch unterstützt。Der Handshake wird mit einer schwerwiegenden警告abgebrochen, wenn Der Client den DHE-Schlüsselaustausch nicht unterstützt, wenn er einen vorab freigegebenen Schlüssel anbietet。
不行: Der DHE-Schlüsselaustausch word durchgeführt, wenn ein vorab freigegebener Schlüssel akzeptiert word, nur wenn dies vunden angefordert word。
Mögliche Werte: JA, NEIN
Standardwert:不
```
set ssl profile tls13profile dheKeyExchangeWithPsk yes set ssl profile tls13profile dheKeyExchangeWithPsk no 
```
Frühe Datenakzeptanz von 0-RTT aktivieren oder deaktivieren
zeroRttEarlyData: Stand der frühen Anwendungsdaten von TLS 1.3。德国科学家:
ENABLED: Frühe Anwendungsdaten könnten verarbeitet werden, bevor der Handshake abgeschlossen ist。DISABLED: Frühe Anwendungsdaten werden ignororiert。
Mögliche Werte: ENABLED, DISABLED
Standardwert:禁用
```
set ssl profile tls13profile -zeroRttEarlyData ENABLED——NeedCopy >
```

Standard-Verschlusselungsgruppe

死亡standardmäßige Verschlüsselungsgruppe umfasst TLS1.3-Verschlüsselungen。

              sh cipher DEFAULT 1) cipher Name: TLS1-AES-256-CBC-SHA Priority: 1 Description: SSLv3 Kx=RSA Au=RSA encc =AES(256) Mac=SHA1 HexCode=0x0035 2) cipher Name: TLS1-AES-128-CBC-SHA Priority: 2 Description: SSLv3 Kx=RSA Au=RSA encc =AES(128) Mac=SHA1 HexCode=0x002f ... ... 27) cipher Name: TLS1.3-AES256-GCM-SHA384 Priority: 27 Description: TLSv1.3 Kx=any Au=any encc =AES- gcm (256) Mac=AEAD HexCode=0x1302 28) cipher Name: TLS1.3_CHACHA20_POLY1305_SHA256 Priority: 28 Description:TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0x1303 29) Cipher Name: TLS1.3-AES128_GCM-SHA256 Priority: 29 Description: TLSv1.3 Kx=any Au=any Enc=AES-GCM(128) Mac=AEAD HexCode=0x1301 Done 
             

Einschrankungen

TLSv1.3 wird im后端nicht unterstützt。
TLSv1.3 wird auf einer Citrix Secure Web Gateway-Anwendung和Citrix ADC FIPS-Appliance nicht unterstützt。

Beschrankungen der Sicherheit

TLSv1.3-Serverbetreiber müssen die folgenden Sicherheitsbeschränkungen für die Abwärtskompatibilität beachten, die in RFC 8446 beschrieben sind。NetScaler-Appliance的标准配置Einschränkungen。Eine NetScaler-Appliance erzwingt jedoch nicht, dass diese Regeln eingehalten werden。

Die Sicherheit von RC4-Verschlüsselungssammlungen wird als unzureichend angesehen, wie in RFC7465 beschrieben。Implementierungen dürfen keine RC4-Verschlüsselungssammlungen für irgendeine Version von TLS anbieten oder aushandeln。
Alte Versionen von TLS ermöglichten die Verwendung von Chiffren mit geringer Stärke。Chiffren mit einer Stärke von weniger als 112 Bit dürfen für keine Version von TLS angeboten oder ausgehandelt werden。
在RFC7568 beschrieben als unzureichend angesehen und darf nicht ausgehandelt werden中执行SSL 3.0 [SSLv3]。Deaktivieren Sie SSLv3, wenn TLSv1.3 aktiviert ist (SSLv3 ist standardmäßig deaktiviert)。
在RFC6176 beschrieben als unzureichend angesehen und darf night ausgehandelt werden中使用SSL 2.0 [SSLv2]。SSLv2, wenn TLS 1.3 aktivierist (SSLv2 ist standardmäßig deaktiviert)。

Hinweis:

信息zur Fehlerbehebung von Protokollen, die über TLS1.3 laufen, finden Sie unterEntschlüsseln des TLS1.3-Datenverkehrs aus der Paketverfolgung．

Die offizielle Version dieses吸入英语。Für den einfachen einsteg wiril des Inhalts der Citrix Dokumentation maschinell übersetzt。Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können。Es wirkeine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix products oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren endbenutze - lizenzvereinbarung oder Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wirx，dass das Produkt oden den Dokumentation mit der übereinstimmt，镀金夜在Umfang，在dem diese Dokumentation maschinell übersetzt wurde。Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter吸入器können。

战争死亡者阿蒂克尔·希尔弗里奇?

Unterstützung des TLSv1.3-Protokolls wie in RFC 8446 definiert

2022年7月27日,

Beitrag冯:

2022年7月27日,

Beitrag冯:

在diesem Artikel

战争死亡者阿蒂克尔·希尔弗里奇?