ECDSA密码套件支持
ECDSA密码套件使用椭圆曲线密码(ECC)。由于它的尺寸较小,因此在处理能力、存储空间、带宽和功耗受到限制的环境中非常有用。
当使用ECDHE_ECDSA密码组时,服务器的证书必须包含支持ecdsa的公钥。
下表列出了使用N3芯片的Citrix ADC MPX和SDX设备、Citrix ADC VPX设备、MPX 5900/26000和MPX/SDX 8900/15000设备上支持的ECDSA密码。
| 密码的名字 | 优先级 | 描述 | 密钥交换算法 | 身份验证算法 | 加密算法(密钥大小) | MAC (Message Authentication Code)算法 | HexCode |
|---|---|---|---|---|---|---|---|
| TLS1-ECDHE-ECDSA-AES128-SHA | 1 | SSLv3 | ECC-DHE | ECDSA | AES (128) | SHA1 | 0 xc009 |
| TLS1-ECDHE-ECDSA-AES256-SHA | 2 | SSLv3 | ECC-DHE | ECDSA | AES (256) | SHA1 | 0 xc00a |
| TLS1.2-ECDHE-ECDSA-AES128-SHA256 | 3. | TLSv1.2 | ECC-DHE | ECDSA | AES (128) | sha - 256 | 0 xc023 |
| TLS1.2-ECDHE-ECDSA-AES256-SHA384 | 4 | TLSv1.2 | ECC-DHE | ECDSA | AES (256) | sha - 384 | 0 xc024 |
| TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 | 5 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM (128) | sha - 256 | 0 xc02b |
| TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 | 6 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM (256) | sha - 384 | 0 xc02c |
| TLS1-ECDHE-ECDSA-RC4-SHA | 7 | SSLv3 | ECC-DHE | ECDSA | RC4 (128) | SHA1 | 0 xc007 |
| TLS1-ECDHE-ECDSA-DES-CBC3-SHA | 8 | SSLv3 | ECC-DHE | ECDSA | 3 des (168) | SHA1 | 0 xc008 |
| TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 | 9 | TLSv1.2 | ECC-DHE | ECDSA | CHACHA20 / POLY1305 (256) | AEAD | 0 xcca9 |
ECDSA/RSA密码和证书选择
您可以同时将ECDSA和RSA服务器证书绑定到SSL虚拟服务器。当ECDSA和RSA证书都绑定到虚拟服务器时,它会自动选择适当的服务器证书来呈现给客户端。如果客户端密码列表包含RSA密码,但不包含ECDSA密码,则虚拟服务器提供RSA服务器证书。如果两个密码都出现在客户端列表中,则提供的服务器证书取决于虚拟服务器上设置的密码优先级。即如果RSA的优先级更高,则会给出RSA证书。如果ECDSA具有更高的优先级,则向客户端提供ECDSA证书。
使用ECDSA或RSA证书的客户端身份验证
对于客户端认证,绑定到虚拟服务器的CA证书可以是ECDSA或RSA签名的。该设备支持混合证书链。例如,支持如下证书链。
客户端证书(ECDSA) <-> CA证书(RSA) <->中间证书(RSA) <->根证书(RSA)
下表显示了在不同的Citrix ADC设备上支持的ECDSA密码组和ECDSA证书的椭圆曲线:
| 椭圆曲线 | 平台支持 |
|---|---|
| prime256v1 | 所有平台,包括FIPS。 |
| secp384r1 | 所有平台,包括FIPS。 |
| secp521r1 | MPX 5900, MPX/ sdx 8900, MPX/ sdx 15000, MPX/ sdx 26000, VPX |
| secp224r1 | MPX 5900, MPX/ sdx 8900。Mpx / sdx 15000, Mpx / sdx 26000, VPX |
创建ECDSA证书-密钥对
您可以使用CLI或GUI直接在Citrix ADC设备上创建ECDSA证书-密钥对。在前面,您可以在设备上安装和绑定ECC证书密钥对,但必须使用OpenSSL创建证书密钥对。
只支持P_256和P_384曲线。
请注意
除了MPX 9700/1050/12500/15500,所有平台都支持此支持。
使用CLI命令创建ECDSA证书-密钥对。
在命令提示符处,输入:
create ssl ecdsaKey -curve (P_256 | P_384) [-keyform (DER | PEM)] [-des | -des3] {-password} [-pkcs8] 例子:
创建ecdsaKey ec_p256。创建ecdsaKey ec_p384。ky -curve P_384已完成使用GUI创建ECDSA证书-密钥对:
- 导航到流量管理> SSL > SSL文件>密钥并点击创建ECDSA的关键.
- 要创建PKCS#8格式的密钥,请选择PKCS8.