配置SSL密码以安全访问管理服务
您可以从Citrix NetScaler SDX设备支持的SSL密码列表中选择SSL密码套件,并绑定SSL密码的任何组合,以便通过HTTPS安全地访问SDX管理服务。SDX设备提供37个预定义的密码组,它们是类似密码的组合,您可以从支持的SSL密码列表中创建自定义密码组。
限制
- 不支持使用密钥交换= " DH "或" ECC-DHE "绑定密码。
- 不支持将密码与Authentication = " DSS "绑定。
- 不支持绑定不属于受支持的SSL密码列表的密码,或者将这些密码包含在自定义密码组中。
支持的SSL密码
下表列出了支持的SSL密码。
| Citrix密码名称 | Openssl CipherName | 十六进制代码 | 协议 | KeyExchange | 身份验证 | MAC |
|---|---|---|---|---|---|---|
| tls1 - aes - 256 - cbc -沙 | AES256-SHA | 0 x0035 | SSLv3 | RSA | RSA | AES (256) |
| tls1 - aes - 128 - cbc -沙 | AES128-SHA | 0 x002f | SSLv3 | RSA | RSA | AES (128) |
| tls1.2 sha256——aes - 256 | AES256-SHA256 | 0 x003d | TLSv1.2 | RSA | RSA | AES (256) |
| tls1.2 sha256——aes - 128 | AES128-SHA256 | 0 x003c | TLSv1.2 | RSA | RSA | AES (128) |
| TLS1.2-AES256-GCM-SHA384 | AES256-GCM-SHA384 | 0 x009d | TLSv1.2 | RSA | RSA | AES-GCM (256) |
| TLS1.2-AES128-GCM-SHA256 | AES128-GCM-SHA256 | 0 x009c | TLSv1.2 | RSA | RSA | AES-GCM (128) |
| TLS1-ECDHE-RSA-AES256-SHA | ECDHE-RSA-AES256-SHA | 0 xc014 | SSLv3 | ECC-DHE | RSA | AES (256) |
| TLS1-ECDHE-RSA-AES128-SHA | ECDHE-RSA-AES128-SHA | 0 xc013 | SSLv3 | ECC-DHE | RSA | AES (128) |
| tls1.2 - ecdhe - rsa - aes - 256 sha384 | ECDHE-RSA-AES256-SHA384 | 0 xc028 | TLSv1.2 | ECC-DHE | RSA | AES (256) |
| tls1.2 - ecdhe - rsa - aes - 128 sha256 | ECDHE-RSA-AES128-SHA256 | 0 xc027 | TLSv1.2 | ECC-DHE | RSA | AES (128) |
| TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | 0 xc030 | TLSv1.2 | ECC-DHE | RSA | AES-GCM (256) |
| TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | 0 xc02f | TLSv1.2 | ECC-DHE | RSA | AES-GCM (128) |
| tls1.2 -她- rsa - aes - 256 sha256 | DHE-RSA-AES256-SHA256 | 0 x006b | TLSv1.2 | DH | RSA | AES (256) |
| tls1.2 -她- rsa - aes - 128 sha256 | DHE-RSA-AES128-SHA256 | 0 x0067 | TLSv1.2 | DH | RSA | AES (128) |
| TLS1.2-DHE-RSA-AES256-GCM-SHA384 | DHE-RSA-AES256-GCM-SHA384 | 0 x009f | TLSv1.2 | DH | RSA | AES-GCM (256) |
| TLS1.2-DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES128-GCM-SHA256 | 0 x009e | TLSv1.2 | DH | RSA | AES-GCM (128) |
| tls1——她——rsa - aes - 256 - cbc -沙 | DHE-RSA-AES256-SHA | 0 x0039 | SSLv3 | DH | RSA | AES (256) |
| tls1——她——rsa - aes - 128 - cbc -沙 | DHE-RSA-AES128-SHA | 0 x0033 | SSLv3 | DH | RSA | AES (128) |
| tls1 -她- dss - aes - 256 - cbc -沙 | DHE-DSS-AES256-SHA | 0 x0038 | SSLv3 | DH | DSS | AES (256) |
| tls1 -她- dss - aes - 128 - cbc -沙 | DHE-DSS-AES128-SHA | 0 x0032 | SSLv3 | DH | DSS | AES (128) |
| TLS1-ECDHE-RSA-DES-CBC3-SHA | ECDHE-RSA-DES-CBC3-SHA | 0 xc012 | SSLv3 | ECC-DHE | RSA | 3 des (168) |
| SSL3-EDH-RSA-DES-CBC3-SHA | EDH-RSA-DES-CBC3-SHA | 0 x0016 | SSLv3 | DH | RSA | 3 des (168) |
| SSL3-EDH-DSS-DES-CBC3-SHA | EDH-DSS-DES-CBC3-SHA | 0 x0013 | SSLv3 | DH | DSS | 3 des (168) |
| TLS1-ECDHE-RSA-RC4-SHA | ECDHE-RSA-RC4-SHA | 0 xc011 | SSLv3 | ECC-DHE | RSA | RC4 (128) |
| SSL3-DES-CBC3-SHA | DES-CBC3-SHA | 0 x000a | SSLv3 | RSA | RSA | 3 des (168) |
| SSL3-RC4-SHA | RC4-SHA | 0 x0005 | SSLv3 | RSA | RSA | RC4 (128) |
| SSL3-RC4-MD5 | RC4-MD5 | 0 x0004 | SSLv3 | RSA | RSA | RC4 (128) |
| SSL3-DES-CBC-SHA | DES-CBC-SHA | 0 x0009 | SSLv3 | RSA | RSA | (56) |
| SSL3-EXP-RC4-MD5 | EXP-RC4-MD5 | 0 x0003 | SSLv3 | RSA (512) | RSA | RC4 (40) |
| SSL3-EXP-DES-CBC-SHA | EXP-DES-CBC-SHA | 0 x0008 | SSLv3 | RSA (512) | RSA | DES (40) |
| SSL3-EXP-RC2-CBC-MD5 | EXP-RC2-CBC-MD5 | 0 x0006 | SSLv3 | RSA (512) | RSA | RC2 (40) |
| SSL2-DES-CBC-MD5 | DHE-DSS-AES128-SHA256 | 0 x0040 | SSLv2的站点时 | RSA | RSA | (56) |
| SSL3-EDH-DSS-DES-CBC-SHA | EDH-DSS-DES-CBC-SHA | 0 x0012 | SSLv3 | DH | DSS | (56) |
| SSL3-EXP-EDH-DSS-DES-CBC-SHA | EXP-EDH-DSS-DES-CBC-SHA | 0 x0011 | SSLv3 | DH (512) | DSS | DES (40) |
| SSL3-EDH-RSA-DES-CBC-SHA | EDH-RSA-DES-CBC-SHA | 0 x0015 | SSLv3 | DH | RSA | (56) |
| SSL3-EXP-EDH-RSA-DES-CBC-SHA | EXP-EDH-RSA-DES-CBC-SHA | 0 x0014 | SSLv3 | DH (512) | RSA | DES (40) |
| SSL3-ADH-RC4-MD5 | ADH-RC4-MD5 | 0 x0018 | SSLv3 | DH | 没有一个 | RC4 (128) |
| SSL3-ADH-DES-CBC3-SHA | ADH-DES-CBC3-SHA | 0 x001b | SSLv3 | DH | 没有一个 | 3 des (168) |
| SSL3-ADH-DES-CBC-SHA | ADH-DES-CBC-SHA | 0 x001a | SSLv3 | DH | 没有一个 | (56) |
| tls1 -抗利尿激素- aes - 128 - cbc -沙 | ADH-AES128-SHA | 0 x0034 | SSLv3 | DH | 没有一个 | AES (128) |
| tls1 -抗利尿激素- aes - 256 - cbc -沙 | ADH-AES256-SHA | 0 x003a | SSLv3 | DH | 没有一个 | AES (256) |
| SSL3-EXP-ADH-RC4-MD5 | EXP-ADH-RC4-MD5 | 0 x0017 | SSLv3 | DH (512) | 没有一个 | RC4 (40) |
| SSL3-EXP-ADH-DES-CBC-SHA | EXP-ADH-DES-CBC-SHA | 0 x0019 | SSLv3 | DH (512) | 没有一个 | DES (40) |
| SSL3-NULL-MD5 | NULL-MD5 | 0 x0001 | SSLv3 | RSA | RSA | 没有一个 |
| SSL3-NULL-SHA | NULL-SHA | 0 x0002 | SSLv3 | RSA | RSA | 没有一个 |
预定义密码组
下表列出了SDX设备提供的预定义密码组。
| 密码组名称 | 描述 |
|---|---|
| 所有 | SDX设备支持的所有密码,不包括NULL密码 |
| 默认的 | 默认密码列表,加密强度>= 128bit |
| kRSA | 使用Key-ex算法的密码,如RSA |
| kEDH | Key-ex算法为Ephemeral-DH的密码 |
| DH | 以Key-ex算法为DH的密码 |
| 电火花强化 | 以Key-ex/Auth算法为DH的密码 |
| aRSA | 使用验证算法的密码,如RSA |
| 股美国存托凭证 | 使用Auth算法作为DSS的密码 |
| aNULL | 验证算法为NULL的密码 |
| DSS | 使用Auth算法作为DSS的密码 |
| DES | 使用Enc算法的密码为DES |
| 3 des | 使用Enc算法的密码为3DES |
| RC4 | 使用Enc算法的密码为RC4 |
| RC2 | 用Enc算法作为RC2的密码 |
| 零 | 带有Enc算法的密码为NULL |
| MD5 | 使用MAC算法的密码为MD5 |
| SHA1 | MAC算法为SHA-1的密码 |
| 沙 | 使用MAC算法的密码为SHA |
| 零 | 带有Enc算法的密码为NULL |
| RSA | 使用密钥验证算法的密码,如RSA |
| 抗利尿激素 | Key-ex算法为DH, Auth算法为NULL的密码 |
| SSLv2的站点时 | SSLv2协议密码 |
| SSLv3 | SSLv3协议密码 |
| TLSv1 | SSLv3/TLSv1协议密码 |
| TLSv1_ONLY | TLSv1协议密码 |
| 经验值 | 出口密码 |
| 出口 | 出口密码 |
| EXPORT40 | 导出40位加密的密码 |
| EXPORT56 | 导出56位加密的密码 |
| 低 | 低强度密码(56位加密) |
| 媒介 | 中等强度密码(128位加密) |
| 高 | 高强度密码(168位加密) |
| AES | AES密码 |
| FIPS | FIPS认可的密码 |
| ECDHE | 椭圆曲线短暂DH密码 |
| AES-GCM | 使用AES-GCM算法的密码 |
| SHA2 | MAC算法为SHA-2的密码 |
查看预定义密码组
若要查看预定义密码组,请在配置选项卡,在导航窗格中展开管理服务,然后点击密码组.
创建自定义密码组
您可以从支持的SSL密码列表中创建自定义密码组。
创建自定义密码组:
- 在配置选项卡,在导航窗格中展开管理服务,然后点击密码组.
- 在密码组窗格中,单击添加.
- 在创建密码组对话框中,执行以下操作:
- 在组名称字段时,输入自定义密码组的名称。
- 在密码组描述字段时,输入自定义密码组的简要说明。
- 在密码套件部分中,点击添加并选择要包含在支持的SSL密码列表中的密码。
- 点击创建.
查看现有SSL密码绑定
要查看现有密码绑定,请在配置选项卡,在导航窗格中展开系统,然后点击配置SSL设置下系统设置.
请注意
在升级到最新版本的Management Service之后,现有密码套件的列表将显示OpenSSL名称。绑定了来自升级后的Management Service的密码后,显示将使用Citrix命名约定。
将密码绑定到HTTPS服务
将密码绑定到HTTPS服务:
- 在配置选项卡,在导航窗格中单击系统.
- 在系统窗格中的“系统设置”下,单击配置SSL设置.
- 在编辑设置窗格中,单击密码套件.
- 在密码套件窗格,执行以下任意一项:
- 要从SDX设备提供的预定义密码组中选择密码组,请选择密码组复选框中选择密码组密码组下拉列表,然后单击好吧.
- 若要从支持的密码列表中进行选择,请选择密码套件复选框,点击添加要选择密码,然后单击好吧.
配置SSL密码以安全访问管理服务
复制!
失败了!