支持DTLS协议
请注意
在Citrix MPX/SDX(基于N2和N3)和VPX设备上支持DTLSv1.0协议。它在FIPS设备、基于Intel Coleto SSL芯片的设备和外部hms上不受支持。
SSL和TLS协议传统上用于保护流通信流。这两种协议都基于TCP, TCP非常慢。此外,TLS不能处理丢失或重新排序的数据包。
UDP是音频和视频应用程序的首选协议,如Lync, Skype, iTunes, YouTube,培训视频和flash。但是,UDP协议不安全、不可靠。DTLS协议旨在保护基于UDP协议的数据安全,主要用于流媒体、VOIP、在线游戏等通信应用。在DTLS中,每个握手消息在该握手中被分配一个特定的序列号。当对等体收到握手消息时,它可以快速确定该消息是否是预期的下一个消息。如果是,对等体处理该消息。如果没有,则在接收到所有前面的消息后将消息排队处理。
必须创建DTLS虚拟服务器和UDP类型的服务。缺省情况下,DTLS配置文件(nsdtls_default_profile)与虚拟服务器绑定。还可以创建用户定义的DTLS配置文件并将其绑定到虚拟服务器。
注意:
在DTLS虚拟服务器上不支持RC4密码。
迪泰配置
可以使用命令行(CLI)或配置实用程序(GUI)在ADC设备上配置DTLS。
通过CLI创建DTLS配置
在命令提示符处,输入:
add lb vserver DTLS add service UDP 443绑定lb vserver
以下步骤可选:
add dtlsProfile dtls1 -maxretryTime set ssl vserver -dtlsProfileName .使用实例
使用GUI创建DTLS配置
- 导航到交通管理>负载平衡>虚拟服务器.
- 创建DTLS类型的虚拟服务器,并绑定UDP服务。
- 默认DTLS配置文件与DTLS虚拟服务器绑定。若要绑定不同的配置文件,请在“SSL参数”中选择不同的DTLS配置文件。要创建一个新的概要文件,单击DTLS概要文件旁边的加号(+)。
DTLS虚拟服务器不支持的特性
DTLS虚拟服务器不能启用以下选项:
- SSLv2的站点时
- SSLv3
- TLSv1
- TLSv1.1
- TLSv1.2
- 把加密触发
- SSLv2Redirect
- SSLv2URL
- SNI
- 安全的重新谈判
DTLS虚拟服务器不使用的参数
以下SSL参数,即使设置了,也会被DTLS虚拟服务器忽略:
- 加密触发包数
- PUSH加密触发超时
- SSL量子尺寸
- 加密触发超时
- 主题/发行者名称插入格式
DTLS服务不支持的特性
DTLS服务不能启用以下选项:
- SSLv2的站点时
- SSLv3
- TLSv1
- TLSv1.1
- TLSv1.2
- 把加密触发
- SSLv2Redirect
- SSLv2URL
- SNI
- 安全的重新谈判
DTLS服务不使用的参数
以下SSL参数,即使设置了,也会被DTLS服务忽略:
- 加密触发包数
- PUSH加密触发超时
- SSL量子尺寸
- 加密触发超时
- 主题/发行者名称插入格式
注意:
由于DTLS服务目前不支持会话重用,因此在DTLS服务上SSL会话重用握手失败。
处理:在DTLS服务上手动禁用会话重用。在命令行中输入:
设置ssl service
-sessReuse DISABLED
迪泰概要
使用默认设置的DTLS配置文件将自动绑定到DTLS虚拟服务器。但是,您可以使用特定的设置创建新的DTLS配置文件,以满足您的需求。
必须使用带有DTLS虚拟服务器或VPN DTLS虚拟服务器的DTLS配置文件。不能将SSL配置文件与DTLS虚拟服务器一起使用。
通过CLI创建DTLS配置文件
add ssl dtlsProfile show ssl dtlsProfile .使用实例
例子:
add dtlsProfile dtls1 -helloVerifyRequest ENABLED -maxretryTime 4 Done show dtlsProfile dtls1 1)名称:dtls1 PMTU Discovery: DISABLED Max Record Size: 1460 bytes Max Retry Time: 4 sec Hello VerifyRequest: ENABLED Terminate Session: DISABLED Max Packet Count: 120 bytes Done
使用GUI创建DTLS配置文件
导航到系统>配置文件>迪泰概要文件并配置一个新的概要文件。
端到端DTLS配置示例
enable ns feature SSL LB add server s1 198.51.100.2 en ns mode usnip add service svc_dtls s1 DTLS 443 add LB vserver v1 DTLS 10.102.59.244 443 bind SSL vserver v1 -ciphername ALL add SSL certkey servercert -cert servercert_aia_valid. netpem关键serverkey_aia。pem bind ssl vserver v1 -certkeyname servercert bind lb vserver lb1 svc_dtls sh lb vserver v1 v1 (10.102.59.244:4433) - DTLS类型:ADDRESS State: UP最后一次状态变化是在Fri Apr 27 07:00:27 2018最后一次状态变化时间:0天,00:00:04.810生效状态:UP客户端空闲超时时间:120秒Down状态flush: ENABLED关闭主vserver On Down: DISABLED Appflow logging: ENABLED否of Bound Services: 1 (Total) 0 (Active) Configured Method: LEASTCONNECTION Current Method: Round Robin, Reason: A new service is Bound BackupMethod: ROUNDROBIN Mode: IP Persistence: NONE L2Conn: OFF Skip Persistence: NONE Listen Policy: NONE IcmpResponse: PASSIVE RHIstate: PASSIVE new service Startup Request Rate: 0 PER_SECOND,增量间隔:0 Mac Mode Retain Vlan: DISABLED DBS_LB: DISABLED Process Local: DISABLED Traffic Domain: 0 TROFS Persistence honored:ENABLED保持集群连接:NO 1) svc_dtls (10.102.59.190: 4433) - DTLS State: UP Weight: 1 Done sh ssl vserver v1 vserver v1高级ssl配置:DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: ENABLED刷新计数:0会话重用:ENABLED Timeout: 1800秒Cipher Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS:DISABLED HSTS included - ubdomains: NO HSTS Max-Age: 0 DTLSv1: ENABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 DTLS配置文件名称:nsdtls_default_profile ECC Curve: P_256, P_384, P_224, P_521 1) CertKey名称:servercert服务器证书1)Cipher name: DEFAULT Description:加密强度为>= 128bit的默认密文列表2)Cipher name: ALL描述:NetScaler支持的所有密码,不包括空密码完成sh服务svc_dtls svc_dtls(10.102.59.190:4433) -迪泰状态:去年状态改变是在2018年4月27日07:00:26星期五以来最后的状态变化:0天,00:00:22.790服务器名称:s1服务器ID:没有监控阈值:0马克斯康涅狄格州:0马克斯点播:0最大带宽:0来使用源IP:没有客户Keepalive (CKA):没有访问服务:没有TCP缓冲(TCPB):没有HTTP压缩(CMP):没有闲置超时:客户:120秒服务器:120 sec Client IP: DISABLED Cacheable: NO SC: OFF SP: OFF Down state flush: ENABLED Monitor Connection Close: NONE Appflow logging: ENABLED Process Local: DISABLED Traffic Domain: 0 1) Monitor Name: ping-default state: UP Weight: 1 Passive: 0 Probes: 5 Failed [Total: 0 Current: 0] Last response: Success - ICMP echo reply received。响应时间:2.77毫秒Done sh ssl service svc_dtls后端ssl服务高级ssl配置svc_dtls: DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 1800秒Cipher Redirect: DISABLED ClearText Port: 0 Server Auth: DISABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED DTLSv1: ENABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: ??DHE Key Exchange With PSK: ??根据身份验证的票上下文:?? DTLS profile name: nsdtls_default_profile ECC Curve: P_256, P_384, P_224, P_521 1) Cipher Name: DEFAULT_BACKEND Description: Default cipher list for Backend SSL session Done sh dtlsProfile nsdtls_default_profile 1) Name: nsdtls_default_profile PMTU Discovery: DISABLED Max Record Size: 1459 bytes Max Retry Time: 3 sec Hello Verify Request: DISABLED Terminate Session: DISABLED Max Packet Count: 120 bytes Done
迪泰密码支持
如何阅读表格:
除非指定了构建号,否则版本中的所有构建都支持加密套件。
例子:
- 10.5, 11.0, 11.1, 12.0, 12.1: 10.5、11.0、11.1、12.0、12.1版本的所有版本。
- NA:不适用。
在NetScaler VPX, MPX/SDX(基于N2和N3)设备上支持DTLS加密
密码套件名称 | 十六进制代码 | Wireshark加密套件名称 | 构建支持(前端) | 构建支持(后端) |
---|---|---|---|---|
tls1 - aes - 256 - cbc -沙 | 0 x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | 11.0, 11.1, 12.0, 12.1 | 12.0, 12.1 |
tls1 - aes - 128 - cbc -沙 | 0 x002f | TLS_RSA_WITH_AES_128_CBC_SHA | 11.0, 11.1, 12.0, 12.1 | 12.0, 12.1 |
SSL3-DES-CBC-SHA | 0 x0009 | TLS_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1 | NA |
SSL3-DES-CBC3-SHA | 0 x000a | TLS_RSA_WITH_3DES_EDE_CBC_SHA | 11.0, 11.1, 12.0, 12.1 | 12.0, 12.1 |
SSL3-EDH-RSA-DES-CBC3-SHA | 0 x0016 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_S | 11.0, 11.1, 12.0, 12.1 | NA |
SSL3-EDH-RSA-DES-CBC-SHA | 0 x0015 | TLS_DHE_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1 | NA |
TLS1-ECDHE-RSA-AES256-SHA | 0 xc014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 12.1 | 12.1 |
TLS1-ECDHE-RSA-AES128-SHA | 0 xc013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 12.1 | 12.1 |
TLS1-ECDHE-RSA-DES-CBC3-SHA | 0 xc012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 12.1 | NA |
tls1——她——rsa - aes - 128 - cbc -沙 | 0 x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | 12.1 | 12.1 |
tls1——她——rsa - aes - 256 - cbc -沙 | 0 x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | 12.1 | 12.1 |