ECDSA密码套件支持
ECDSA密码套件采用椭圆曲线密码(ECC)。由于其较小的尺寸,它在处理能力、存储空间、带宽和功耗都受到限制的环境中很有帮助。
下面的Citrix ADC设备现在支持椭圆曲线数字签名算法(ECDSA)密码组:
- Citrix ADC MPX和SDX设备与N3芯片
- Citrix ADC MPX 5900/8900/15000/26000
- Citrix ADC SDX 8900/15000
- Citrix ADC VPX电器
当使用ECDHE_ECDSA密码组时,服务器的证书必须包含一个支持ecdsa的公钥。
注意:从版本12.1构建50。x,您可以创建一个pkcs# 8格式的ECDSA密钥。
例子:
sh ssl密码ECDSA 1)密码名称:TLS1-ECDHE-ECDSA-AES256-SHA优先级:1描述:SSLv3 Kx = ECC-DHE盟= ECDSA Enc = AES (256) Mac = SHA1 HexCode = 0 xc00a 2)密码名称:TLS1-ECDHE-ECDSA-AES128-SHA优先级:2描述:SSLv3 Kx = ECC-DHE盟= ECDSA Enc = AES (128) Mac = SHA1 HexCode = 0 xc009 3)密码名称:TLS1.2-ECDHE-ECDSA-AES256-SHA384优先级:3描述:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA-384 HexCode=0xc024 4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256 Priority: 4 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA-256 HexCode=0xc023 5) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 Priority: 5TLSv1.2 Kx= ec - dhe Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c 6) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority: 6 Description: TLSv1.2 Kx= ec - dhe Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b 7) Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA Priority: 7 Description:SSLv3 Kx= ec - dhe Au=ECDSA Enc=3DES(168) Mac=SHA1 HexCode=0xc008 8) Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA Priority: 8 Description: SSLv3 Kx= ec - dhe Au=ECDSA Enc=RC4(128) Mac=SHA1 HexCode=0xc007 9) Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 Priority: 9 Description:TLSv1.2 Kx= ec - dhe Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca9 Done
下表列出了使用N3芯片的Citrix ADC MPX和SDX设备、Citrix ADC VPX设备、MPX 5900/26000和MPX/SDX 8900/15000设备支持的ECDSA密码。
密码的名字 | 优先级 | 描述 | 密钥交换算法 | 身份验证算法 | 加密算法(密钥大小) | MAC (Message Authentication Code)算法 | HexCode |
---|---|---|---|---|---|---|---|
TLS1-ECDHE-ECDSA-AES128-SHA | 1 | SSLv3 | ECC-DHE | ECDSA | AES (128) | SHA1 | 0 xc009 |
TLS1-ECDHE-ECDSA-AES256-SHA | 2 | SSLv3 | ECC-DHE | ECDSA | AES (256) | SHA1 | 0 xc00a |
TLS1.2-ECDHE-ECDSA-AES128-SHA256 | 3. | TLSv1.2 | ECC-DHE | ECDSA | AES (128) | sha - 256 | 0 xc023 |
TLS1.2-ECDHE-ECDSA-AES256-SHA384 | 4 | TLSv1.2 | ECC-DHE | ECDSA | AES (256) | sha - 384 | 0 xc024 |
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 | 5 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM (128) | sha - 256 | 0 xc02b |
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 | 6 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM (256) | sha - 384 | 0 xc02c |
TLS1-ECDHE-ECDSA-RC4-SHA | 7 | SSLv3 | ECC-DHE | ECDSA | RC4 (128) | SHA1 | 0 xc007 |
TLS1-ECDHE-ECDSA-DES-CBC3-SHA | 8 | SSLv3 | ECC-DHE | ECDSA | 3 des (168) | SHA1 | 0 xc008 |
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 | 9 | TLSv1.2 | ECC-DHE | ECDSA | CHACHA20 / POLY1305 (256) | AEAD | 0 xcca9 |
重要的
使用显示ns硬件命令以确定您的设备是否有N3芯片。
例子:
sh ns硬件平台:nsmpx - 22000 CPU + 24 *第九+ 16 * 12 * E1K + 2 * E1K + 4 * CVM N3 2200100制造:8/19/2013 CPU: 2900 mhz主机Id: 1006665862序列号:ENUK6298FT编码序列号:ENUK6298FT做< !——NeedCopy >
ECDSA/RSA密码和证书选择
您可以同时将ECDSA和RSA服务器证书绑定到SSL虚拟服务器。当ECDSA和RSA证书都绑定到虚拟服务器时,它会自动选择适当的服务器证书提供给客户端。如果客户端密码列表中包含RSA密码,但不包含ECDSA密码,则虚拟服务器提供RSA服务器证书。如果两个密码都出现在客户端列表中,则提供的服务器证书取决于虚拟服务器上设置的密码优先级。也就是说,如果RSA的优先级更高,则提供RSA证书。如果ECDSA具有更高的优先级,则将ECDSA证书呈现给客户端。
使用ECDSA或RSA证书进行客户端身份验证
对于客户端认证,绑定到虚拟服务器的CA证书可以采用ECDSA签名或RSA签名。该设备支持混合证书链。例如,支持以下证书链。
客户端证书(ECDSA) <-> CA证书(RSA) <->中间证书(RSA) <->根证书(RSA)
请注意
只支持以下曲线的ECDSA证书:
- prime256v1
- secp384r1
- secp521r1(仅VPX)
- secp224r1(仅VPX)
创建ECDSA证书密钥对
您可以使用CLI或GUI直接在Citrix ADC设备上创建ECDSA证书密钥对。在前面,您可以在设备上安装和绑定一个ECC证书密钥对,但是必须使用OpenSSL来创建证书密钥对。
只支持P_256和P_384曲线。
请注意
除了MPX 9700/1050/12500/15500,该支持在所有平台上都可用。
使用CLI命令创建ECDSA证书密钥对。
在命令提示符处,输入:
创建ssl ecdsaKey -curve (P_256 | P_384) [-keyform (DER | PEM)] [-des | -des3] {-password} [-pkcs8]
例子:
创建ecdsaKey ec_p256。创建ecdsaKey ec_p384。ky -curve P_384完成
使用GUI创建ECDSA证书密钥对:
- 导航到交通管理>SSL>SSL文件>键并点击创建ECDSA的关键.
- 要创建pkcs# 8格式的密钥,选择PKCS8.