在ADC设备上配置用户定义的密码组
密码组是一组密码套件,可以将其绑定到Citrix ADC设备上的SSL虚拟服务器、服务或服务组。密码套件包括协议、密钥交换(Kx
)算法,验证(非盟
)算法,加密(内附
)算法和消息验证码(Mac)算法。您的设备附带一组预定义的密码组。创建SSL服务或SSL服务组时,会自动绑定ALL密码组。但是,在创建SSL虚拟服务器或透明SSL服务时,会自动将DEFAULT密码组绑定到它。另外,还可以创建自定义密码组,并将其与SSL虚拟服务器、服务或服务组绑定。
注意:如果MPX设备没有任何许可证,那么只有EXPORT密码被绑定到SSL虚拟服务器、服务或服务组。
要创建用户定义的密码组,首先要创建一个密码组,然后将密码或密码组绑定到这个组。如果指定密码别名或密码组,则该密码别名或密码组中的所有密码将被添加到用户定义的密码组中。还可以将单个密码(密码套件)添加到用户定义的组中。预定义密码组不能修改。在删除密码组之前,先解绑定组中的所有密码套件。
将密码组绑定到SSL虚拟服务器、服务或服务组,可以将密码附加到绑定到实体的现有密码中。要将特定密码组绑定到实体,必须首先解除绑定到实体的密码或密码组的绑定。然后将特定的密码组绑定到实体。例如,只绑定AES加密组到SSL服务,请执行以下步骤:
在创建服务时,解除默认绑定到服务的密码组ALL的绑定。
unbind ssl service
-cipherName ALL 将AES密码组绑定到服务
绑定ssl服务<服务名> -cipherName AE
如果您想在AES之外绑定密码组DES,在命令提示符中输入:
绑定ssl服务<服务名> -cipherName DES
注意:免费Citrix ADC虚拟设备仅支持DH密码组。
使用CLI命令配置用户自定义密码组
在命令提示符处,输入以下命令以添加密码组,或将密码添加到先前创建的组中,并验证设置:
add ssl cipher bind ssl cipher -cipherName show ssl cipher
例子:
add ssl cipher test Done bind ssl cipher test -cipherName ECDHE Done sh ssl cipher test 1) cipherName: TLS1-ECDHE-RSA-AES256-SHA优先级:1 Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 2) cipherName: TLS1-ECDHE-RSA-AES128-SHA优先级:2SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013 3) Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384 Priority: 3 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA-384 HexCode=0xc028 4) Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256 Priority: 4TLSv1.2 Kx=ECC-DHE Au= ecc Enc=AES(128) Mac=SHA-256 HexCode=0xc027 5) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority: 5 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES- gcm (256) Mac=AEAD HexCode=0xc030 6) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority: 6 Description:TLSv1.2 Kx=ECC-DHE Au= ecc - gcm (128) Mac=AEAD HexCode=0xc02f 7) Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA Priority: 7 Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA1 HexCode=0xc00a 8) Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA Priority: 8 Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA1 HexCode=0xc009 9) Cipher Name:TLS1.2-ECDHE-ECDSA-AES256-SHA384优先级:9 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA-384 HexCode=0xc024 10) Cipher Name: tls1.2 - ecdhe - ecdhe Au=ECDSA Enc=AES(128) Mac=SHA-256 HexCode=0xc023 11) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384优先级:11 Description: TLSv1.2 Kx= ec - dhe Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c 12) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority: 12 Description: TLSv1.2 Kx= ec - dhe Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b 13) Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA优先级:13SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012 14) Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA Priority: 14 Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=3DES(168) Mac=SHA1 HexCode=0xc008 15) Cipher Name: TLS1-ECDHE-RSA-RC4-SHA Priority: 15 Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=RC4(128) Mac=SHA1 HexCode=0xc011 16) Cipher Name:TLS1-ECDHE-ECDSA-RC4-SHA优先级:16 Description: SSLv3 Kx= ec - dhe Au=ECDSA Enc=RC4(128) Mac=SHA1 HexCode=0xc007 17) Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority: 17 Description: TLSv1.2 Kx= ec - dhe Au=RSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca8 18) Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305优先级:18描述:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca9 Done bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
该任务指导管理员通过命令行解除密码组与cipher的绑定
在命令提示符下,输入以下命令从用户定义的密码组中解绑定密码,并验证设置:
show ssl cipher unbind ssl cipher -cipherName show ssl cipher
该任务指导管理员通过CLI移除密码组
注意:不能删除内置密码组。删除用户定义的密码组前,请确保密码组为空。
在命令提示符处,输入以下命令来删除用户定义的密码组,并验证配置:
rm ssl cipher […]show ssl cipher
例子:
rm ssl cipher test Done sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
通过图形界面配置用户自定义密码组
- 导航到流量管理> SSL >密码组.
- 点击添加.
- 为密码组指定一个名称。
- 点击添加查看可用的密码和密码组。
- 选择一个密码或密码组,然后单击箭头按钮添加它们。
- 点击创建.
- 点击关闭.
通过CLI为SSL虚拟服务器、服务或服务组绑定密码组:
在命令提示符处,输入以下命令之一:
bind ssl vserver -cipherName bind ssl service -cipherName bind ssl serviceGroup -cipherName
例子:
bind ssl vserver ssl_vserver_test -cipherName test Done bind ssl service nshttps -cipherName test Done bind ssl servicegroup ssl_svc -cipherName test Done
使用GUI将密码组绑定到SSL虚拟服务器、服务或服务组:
导航到流量管理>负载均衡>虚拟服务器.
对于业务,将虚拟服务器替换为业务。对于服务组,将虚拟服务器替换为服务组。
打开虚拟服务器、服务或服务组。
在高级设置中,选择SSL密码.
为虚拟服务器、服务或服务组绑定密码组。
将单个密码绑定到SSL虚拟服务器或服务
您还可以将单个密码(而不是密码组)绑定到虚拟服务器或服务。
使用CLI绑定密码:在命令提示符处,输入:
bind ssl vserver -cipherName bind ssl service -cipherName
例子:
bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Done绑定ssl服务sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Done
使用GUI将密码绑定到SSL虚拟服务器:
- 导航到流量管理>负载均衡>虚拟服务器.
- 选择SSL虚拟服务器,单击编辑.
- 在高级设置中,选择SSL密码.
- 在密码套件中,选择添加.
- 在可用列表中搜索密码,并单击箭头将其添加到配置列表中。
- 点击好吧.
- 点击完成.
如果需要为SSL服务绑定密码,请在“虚拟服务器”替换为“服务”后重复上述步骤。