在Citrix ADC设备上可用的密码
您的Citrix ADC设备附带一组预定义的密码组。要使用不属于DEFAULT密码组的密码,必须显式地将它们绑定到SSL虚拟服务器。您还可以创建用户定义的密码组来绑定SSL虚拟服务器。有关创建用户定义密码组的详细信息,请参见在ADC设备上配置用户定义的密码组.
笔记
在Citrix ADC设备上的默认密码组中没有包含RC4密码。但是,基于n3的设备上的软件支持它。RC4加密,包括握手,是在软件中完成的。
Citrix建议您不要使用此密码,因为RFC 7465认为它不安全且不推荐使用。
使用“show hardware”命令确定您的设备是否有N3芯片。
sh硬件平台:NSMPX-22000 16*CPU+24*IX+12*E1K+2*E1K+4*CVM N3 2200100制造日期:2013年8月19日CPU:2900MHZ主机Id:1006665862序列号:ENUK6298FT编码序列号:ENUK6298FT<--需要复制-->- 要在前端(虚拟服务器)显示默认绑定的密码套件的相关信息,请键入:
sh密码默认值 - 要显示默认情况下在后端绑定到服务的密码套件的信息,输入:
sh密码默认_后端 - 要显示设备上定义的所有密码组(别名)的信息,输入:
sh密码 - 要显示属于特定密码组的所有密码套件的信息,输入:
sh密码<别名>.例如:sh cipher ECDHE。
以下链接列出了不同Citrix ADC平台和外部硬件安全模块(HSM)上支持的密码套件:
- Citrix ADC MPX/SDX(N3)设备:Citrix ADC MPX/SDX(N3)设备上的密码支持
- Citrix ADC MPX/SDX英特尔Coleto家电:基于Citrix ADC MPX/SDX的Intel Coleto SSL芯片设备上的密码支持
- Citrix ADC VPX设备:Citrix ADC VPX设备上的密码支持
- Citrix ADC MPX/SDX 14000 FIPS设备:Citrix ADC MPX/SDX 14000 FIPS设备上的密码支持
- 外部HSM(泰利斯/ Safenet):外部HSM(Thales/Safenet)上支持的密码
- Citrix ADC MPX/SDX(N2)设备:Citrix ADC MPX/SDX(N2)设备上的密码支持
- Citrix ADC MPX 9700 FIPS设备:密码支持Citrix ADC MPX 9700 FIPS与固件2.2
- Citrix ADC VPX FIPS和MPX FIPS电器:对Citrix ADC VPX FIPS和MPX FIPS认证设备的密码支持
注:
有关DTLS加密支持,请参见Citrix ADC VPX、MPX和SDX设备上的DTLS密码支持.
表1 -对虚拟服务器/前端服务/内部服务的支持:
| 协议/平台 | MPX /有关(N2) | MPX/SDX(N3) | VPX | MPX 9700*固件为2.2的FIPS | 14000 * * FIPS MPX /有关 | MPX 5900/8900 MPX 15000-50g MPX 26000-100g |
|---|---|---|---|---|---|---|
| TLS 1.3 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 不支持 | 不支持 | 13.0所有版本 |
| 12.1 - -50. x | 12.1 - -50. x | 12.1 - -50. x | 不支持 | 不支持 | 12.1 - -50. x | |
| TLS 1.1/1.2 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x | |
| 11.0所有版本 | 11.0所有版本 | 11.0所有版本 | 11.0所有版本 | 11.0所有版本 | 11.0–70.x(仅适用于MPX 5900/8900) | |
| 10.5所有构建 | 10.5所有构建 | 10.5 - -57. x | 10.5 58.1108.e | 10.5 59.1359.e | 10.5 -67年。(仅适用于MPX 5900/8900) | |
| ECDHE/DHE(示例TLS1-ECDHE-RSA-AES128-SHA) | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1-51.x | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x | |
| 11.0所有版本 | 11.0所有版本 | 11.0所有版本 | 11.0-70.114(仅适用于MPX 5900/8900) | |||
| 10.5-53.x | 10.5-53.x | 10.5所有构建 | 10.5–59.1306.e | 10.5 -67年。(仅适用于MPX 5900/8900) | ||
| AES-GCM TLS1.2-AES128-GCM-SHA256(例子) | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1-51.x(See note) | 11.1-51.x(See note) | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x | |
| 11.0所有版本 | 11.0所有版本 | 11.0–66.x | 11.0-70.114(仅适用于MPX 5900/8900) | |||
| 10.5-53.x | 10.5-53.x | 10.5 -67年。(仅适用于MPX 5900/8900) | ||||
| SHA-2密码(示例TLS1.2-AES-128-SHA256) | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1 - -52. x | 11.1 - -52. x | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x | |
| 11.0所有版本 | 11.0所有版本 | 11.0–66.x | 11.0–72.x,11.0-70.114(仅适用于MPX 5900/8900) | |||
| 10.5-53.x | 10.5-53.x | 10.5 -67年。(仅适用于MPX 5900/8900) | ||||
| ECDSA(示例TLS1-ECDHE-ECDSA-AES256-SHA) | 不支持 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 不支持 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 不支持 | 12.0所有构建 | 12.0–-57.x | 不适用 | 不支持 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1 -56年。(只支持ECC曲线P_256、P_384)。 | |||||
| CHACHA20 | 不支持 | 13.0所有版本 | 13.0所有版本 | 不支持 | 不支持 | 13.0所有版本 |
| 不支持 | 不支持 | 12.1所有版本 | 不支持 | 不支持 | 12.1–49.x(仅适用于MPX 5900/8900) | |
| 不支持 | 不支持 | 12.0 - -56. x | 不支持 | 不支持 | 不支持 |
表2-对后端服务的支持:
后端不支持TLS 1.3。
| 协议/平台 | MPX /有关(N2) | MPX/SDX(N3) | VPX | MPX 9700*固件为2.2的FIPS | 14000 * * FIPS MPX /有关 | MPX 5900/8900 MPX 15000-50g MPX 26000-100g |
|---|---|---|---|---|---|---|
| TLS 1.1/1.2 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0所有构建 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x | |
| 11.0 - -50. x | 11.0 - -50. x | 11.0–66.x | 11.0所有版本 | 11.0-70.119(仅适用于MPX 5900/8900) | ||
| 10.5-59.x | 10.5-59.x | 10.5 58.1108.e | 10.5 59.1359.e | 10.5 -67年。(仅适用于MPX 5900/8900) | ||
| ECDHE/DHE(示例TLS1-ECDHE-RSA-AES128-SHA) | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 12.0所有构建 | 12.0所有构建 | 12.0 - -56. x | 12.0所有构建 | 12.0所有构建 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1所有版本 | 11.1所有版本 | 11.1-51.x | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x | ||
| 11.0 - -50. x | 11.0 - -50. x | 11.0-70.119(仅适用于MPX 5900/8900) | ||||
| 10.5 - -58. x | 10.5 - -58. x | 10.5–59.1306.e | 10.5 -67年。(仅适用于MPX 5900/8900) | |||
| AES-GCM TLS1.2-AES128-GCM-SHA256(例子) | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 12.0所有构建 | 12.0所有构建 | 不支持 | 12.0所有构建 | 12.0所有构建 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1所有版本 | 11.1-51.x | 11.1-51.x | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x | ||
| SHA-2密码(示例TLS1.2-AES-128-SHA256) | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 12.0所有构建 | 12.0所有构建 | 不支持 | 12.0所有构建 | 12.0所有构建 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1所有版本 | 11.1所有版本 | 11.1 - -52. x | 11.1 - -52. x | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x | ||
| ECDSA(示例TLS1-ECDHE-ECDSA-AES256-SHA) | 不支持 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 | 13.0所有版本 |
| 不支持 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | 12.1所有版本 | MPX 5900/8900的所有构建,12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 不支持 | 12.0所有构建 | 12.0-57.x | 不适用 | 不支持 | 12.0适用于MPX 5900/8900的所有版本,12.0-57.x适用于MPX 15000-50G,12.0-60.x适用于MPX 26000-100G | |
| 11.1-51.x | 不适用 | 对于MPX 5900/8900和MPX 15000-50G,11.1-56.x;对于MPX 26000-100G,11.1-60.x(Only ECC curves P_256 and P_384 are supported.) | ||||
| CHACHA20 | 不支持 | 13.0所有版本 | 13.0所有版本 | 不支持 | 不支持 | 13.0所有版本 |
| 不支持 | 不支持 | 12.1所有版本 | 不支持 | 不支持 | 12.1 -49年。MPX 5900/8900, 12.1-50。MPX 15000-50G和MPX 26000-100G | |
| 不支持 | 不支持 | 12.0 - -56. x | 不支持 | 不支持 | 不支持 |
有关支持的ECDSA密码的详细列表,请参见ECDSA密码套件支持.
笔记
TLS-Fallback_SCSV密码套件在版本10.5 build 57.x的所有设备上都受支持
HTTP严格传输安全(HSTS)支持是基于策略的。
所有设备的前端都支持所有SHA-2签名证书(SHA256、SHA384、SHA512)。在release 11.1 build 54中。在所有设备的后端也支持这些证书。在版本11.0及更早的版本中,所有设备的后端只支持SHA256签名证书。
- 在版本11.1 build 52.x和更早版本中,以下密码仅在MPX 9700和MPX/SDX 14000 FIPS设备的前端受支持:
- TLS1.2-ECDHE-RSA-AES-256-SHA384
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384来自版本11.1 build 53.x,在版本12.0中,后端也支持这些密码。
- 所有的ChaCha20-Poly1035密码使用TLS伪随机函数(PSF)和SHA-256哈希函数。
完全前向保密(PFS)
完全前向保密确保了对当前SSL通信的保护,即使web服务器的会话密钥在稍后的时间点被泄露。
为什么您需要完美的前向保密(PFS)?
SSL连接用于保护客户端和服务器之间传递的数据。此连接从客户端浏览器和联系的web服务器之间发生的SSL握手开始。正是在握手过程中,浏览器和服务器交换某些信息,以获得会话密钥,该密钥作为在其余通信过程中加密数据的手段。
RSA是最常用的密钥交换算法。浏览器使用服务器的公钥加密预主密钥并将其发送到服务器。此预主密钥用于获取会话密钥。RSA密钥交换方法中的问题是,如果攻击者能够在将来的任何时间点获得服务器的私钥,那么攻击者就可以获得会话密钥所使用的预主密钥。攻击者现在可以使用此会话密钥解密所有SSL对话。这意味着您的历史SSL通信以前是安全的,但它们不再安全,因为服务器被盗的私钥可用于获取会话密钥,从而解密任何保存的历史会话。
需要能够保护过去的SSL通信,即使服务器的私钥已被泄露。这就是配置完美前向保密(PFS)的关键所在。
PFS有什么帮助?
完美前向保密(PFS)通过让客户端和服务器为每个会话商定一个新密钥并对该会话密钥的计算保密,从而保护过去的SSL通信。它的工作原理是,服务器密钥泄露不得导致会话密钥泄露。会话密钥在两端分别派生,并且从不通过线路传输。一旦通信完成,会话密钥也会被销毁。这些事实确保,即使有人能够访问服务器的私钥,他们也无法获得会话密钥,因此无法解密过去的数据。
举例说明
假设我们使用DHE来获得PFS。DH算法确保即使黑客抓住服务器的私钥,黑客将无法到达的会话密钥,因为会话密钥和随机数(到达使用会话密钥)是保密的两端,从不交换线。PFS可以通过使用Ephemeral Diffie-Hellman密钥交换来实现,该密钥交换为每个SSL会话创建新的临时密钥。
为每个会话创建密钥的另一面是需要额外的计算,但这可以通过使用密钥大小较小的椭圆曲线来克服。
在Citrix ADC设备上配置PFS
可以通过配置DHE或ECDHE密码在Citrix ADC上配置PFS。这些密码确保创建的秘密会话密钥不会在网络上共享(DH算法),并且会话密钥只在短时间内保持活跃(Ephemeral)。下面几节将解释这两种配置。
注:使用ECDHE而不是DHE使通信更安全,密钥尺寸更小。
使用GUI配置DHE
生成一个DH密钥。
A.引导到流量管理>SSL>工具.
B点击创建Diffie Helman(DH)键.
注:2048位的DH密钥生成时间最长为30分钟。
![SSL PFS-3]()
![SSL PFS-4]()
为SSL虚拟服务器启用DH Param,并将DH密钥附加到SSL虚拟服务器。
A.引导到配置>流量管理>虚拟服务器.
B选择要在其上启用DH的虚拟服务器。
C点击编辑,点击SSL参数,然后单击使DH参数.
![SSL PFS-5]()
绑定DHE加密到虚拟服务器。
A.引导到配置>流量管理>虚拟服务器.
b.选择需要启用DH功能的虚拟服务器,单击铅笔图标进行编辑。
C在下面高级设置,单击旁边的加号图标SSL密码,选择DHE密码组,单击好吧绑定。
注:确保DHE密码位于绑定到虚拟服务器的密码列表的顶部。
![SSL PFS-6]()
![SSL PFS-7]()
![SSL PFS-8]()
使用GUI配置ECDHE
将ECC曲线绑定到SSL虚拟服务器。
A.引导到配置>流量管理>负载平衡>虚拟服务器.
b.选择需要编辑的SSL虚拟服务器,单击ECC曲线并点击添加绑定.
C将所需的ECC曲线绑定到虚拟服务器。
![SSL PFS-9]()
![SSL PFS-10]()
将ECDHE密码绑定到虚拟服务器。
A.引导到配置>流量管理>虚拟服务器并选择要在其上启用DH的虚拟服务器。
B点击编辑>SSL密码并选择ECDHE密码组并单击绑定.
注:确保ECDHE密码位于绑定到虚拟服务器的密码列表的顶部。
![SSL PFS-11]()
![SSL PFS-12]()
![SSL PFS-13]()
注:对于每种情况,请验证Citrix ADC设备是否支持希望用于通信的密码。
使用SSL配置文件配置PFS
注:使用SSL配置文件配置PFS(密码或ECC)的选项从11.0 64.x版本开始引入。如果在旧版本上,请忽略以下部分。
要使用SSL配置文件启用PFS,需要在SSL配置文件上进行类似的配置(如前面配置部分所述),而不是直接在虚拟服务器上配置。
通过使用GUI使用SSL配置文件配置PFS
在SSL配置文件上绑定ECC曲线和ECDHE密码。
注:默认情况下,ECC曲线已绑定到所有SSL配置文件。
A.引导到系统>配置文件> SSL配置文件并选择要启用PFS的配置文件。
b.绑定ECDHE密码。
![SSL PFS-14]()
绑定SSL配置文件到虚拟服务器。
A.去配置>流量管理>虚拟服务器然后选择虚拟服务器。
B单击铅笔图标以编辑SSL配置文件。
C点击好吧并点击完成.
![SSL PFS-15]()
使用CLI使用SSL配置PFS
在命令提示下,键入:
将ECC曲线绑定到SSL配置文件。
绑定sslprofile-eccCurveName 绑定ECDHE密码组。
绑定sslprofilecipherName 设置ECDHE密码的优先级为1。
set sslprofilecipherName cipherPriority 绑定SSL配置文件到虚拟服务器。
set SSL vserversslProfile