ECDSA密码套件支持
ECDSA密码套件采用椭圆曲线密码(ECC)。由于其较小的尺寸,它在处理能力、存储空间、带宽和功耗都受到限制的环境中很有帮助。
当使用ECDHE_ECDSA密码组时,服务器的证书必须包含一个支持ecdsa的公钥。
下表列出了使用N3芯片的Citrix ADC MPX和SDX设备、Citrix ADC VPX设备、MPX 5900/26000和MPX/SDX 8900/15000设备支持的ECDSA密码。
| 密码的名字 | 优先级 | 描述 | 密钥交换算法 | 身份验证算法 | 加密算法(密钥大小) | MAC (Message Authentication Code)算法 | HexCode |
|---|---|---|---|---|---|---|---|
| TLS1-ECDHE-ECDSA-AES128-SHA | 1 | SSLv3 | ECC-DHE | ECDSA | AES (128) | SHA1 | 0 xc009 |
| TLS1-ECDHE-ECDSA-AES256-SHA | 2 | SSLv3 | ECC-DHE | ECDSA | AES (256) | SHA1 | 0 xc00a |
| TLS1.2-ECDHE-ECDSA-AES128-SHA256 | 3. | TLSv1.2 | ECC-DHE | ECDSA | AES (128) | sha - 256 | 0 xc023 |
| TLS1.2-ECDHE-ECDSA-AES256-SHA384 | 4 | TLSv1.2 | ECC-DHE | ECDSA | AES (256) | sha - 384 | 0 xc024 |
| TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 | 5 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM (128) | sha - 256 | 0 xc02b |
| TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 | 6 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM (256) | sha - 384 | 0 xc02c |
| TLS1-ECDHE-ECDSA-RC4-SHA | 7 | SSLv3 | ECC-DHE | ECDSA | RC4 (128) | SHA1 | 0 xc007 |
| TLS1-ECDHE-ECDSA-DES-CBC3-SHA | 8 | SSLv3 | ECC-DHE | ECDSA | 3 des (168) | SHA1 | 0 xc008 |
| TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 | 9 | TLSv1.2 | ECC-DHE | ECDSA | CHACHA20 / POLY1305 (256) | AEAD | 0 xcca9 |
ECDSA/RSA密码和证书选择
您可以同时将ECDSA和RSA服务器证书绑定到SSL虚拟服务器。当ECDSA和RSA证书都绑定到虚拟服务器时,它会自动选择适当的服务器证书提供给客户端。如果客户端密码列表中包含RSA密码,但不包含ECDSA密码,则虚拟服务器提供RSA服务器证书。如果两个密码都出现在客户端列表中,则提供的服务器证书取决于虚拟服务器上设置的密码优先级。也就是说,如果RSA的优先级更高,则提供RSA证书。如果ECDSA具有更高的优先级,则将ECDSA证书呈现给客户端。
使用ECDSA或RSA证书进行客户端身份验证
对于客户端认证,绑定到虚拟服务器的CA证书可以采用ECDSA签名或RSA签名。该设备支持混合证书链。例如,支持以下证书链。
客户端证书(ECDSA) <-> CA证书(RSA) <->中间证书(RSA) <->根证书(RSA)
下表显示了具有ECDSA密码组和ECDSA证书的不同Citrix ADC设备所支持的椭圆曲线:
| 椭圆曲线 | 平台支持 |
|---|---|
| prime256v1 | 所有平台,包括FIPS。 |
| secp384r1 | 所有平台,包括FIPS。 |
| secp521r1 | MPX 5900、MPX/ sdx 8900、MPX/ sdx 15000、MPX/ sdx 26000、VPX |
| secp224r1 | MPX 5900, MPX/ sdx 8900。Mpx / sdx 15000, Mpx / sdx 26000, VPX |
创建ECDSA证书密钥对
您可以使用CLI或GUI直接在Citrix ADC设备上创建ECDSA证书密钥对。在前面,您可以在设备上安装和绑定一个ECC证书密钥对,但是必须使用OpenSSL来创建证书密钥对。
只支持P_256和P_384曲线。
请注意
除了MPX 9700/1050/12500/15500,该支持在所有平台上都可用。
使用CLI命令创建ECDSA证书密钥对。
在命令提示符处,输入:
创建ssl ecdsaKey -curve (P_256 | P_384) [-keyform (DER | PEM)] [-des | -des3] {-password} [-pkcs8] 例子:
创建ecdsaKey ec_p256。创建ecdsaKey ec_p384。ky -curve P_384完成使用GUI创建ECDSA证书密钥对:
- 导航到流量管理> SSL > SSL文件>密钥并点击创建ECDSA的关键.
- 要创建pkcs# 8格式的密钥,选择PKCS8.