Citrix网络SSL / TLS

摘要

文件技术fournit les étapes nécessaires pour valider la configuration SSL \ TLS existante d 'un serveur virtuel s 'exécutant sur un Citrix ADC和les moyen de s assure les meilleures pratiques sont appliquées。我们可以通过éléments的配置和chaîne的证书liée的服务，通过paramètres的服务和désactivation的古老协议vulnérables的攻击。

在这个位置的配置有效的情况下是存在的。être utilisés在这个位置的配置有效的情况下是存在的。protégé par Citrix ADC测试de serveurSSL par Qualys SSL Labs。在您的服务器上进行健壮的测试série有效，在您的服务器上进行健壮的测试，在您的服务器上进行简单的测试à您可以使用améliorations à votre配置。这是免费的，一分钟也不能去。

Qualys développe激活测试SSL等，它告诉，测试对改变者的敏感性à l’avenir à测量新协议créés和新协议vulnérabilités seront découvertes。有理由这样写vulnérabilité，它是recommandé de tester régulièrement为新产品提供保证的网站vulnérabilités而不是exposées。

标记:SSLLabs affiche l 'URL du serveur testé avec le score final sur leur tableau de bord public， à moin que l 'option我们不需要在这个舞台上看到résultats所以choisie。

Éléments de configuration qui doivent être validés

• 证书- chaîne complète est- fournie et able ?签名算法是sécurisé吗?
• 协议clés和chiffementSSL和TLS协议的版本是什么?您的行李在哪里?在哪里?在秘密转移前的第40套财产是什么?
• TLS握手模拟- Détermine quel protocol et chiffement sont négociés par plusieurs clients et navigateurs différents
• du protocole细节- renégociation sécurisée est-elle prise en charge ?严格地说，这里是收费的吗?
• 措施有名Le serveur est-il vulnérable aux attacks telles que POODLE, BEAST ou TLS ?

Une fois le test SSLLabs terminé， Une note de letter est présentée avec Une échelle de points pour chacune des quatre catégories:

1证书2协议支持3密钥交换4密码强度

Chacune des catégories ci-dessus reçoit un score numérique qui est suite calculé en moyenne danes总分。我存在également的参数和配置的限制，以点为限-例如，lorsqu 'un certificat不等于approuvé或si SSLv3 est activé。Une文档complète sur la façon don les tests SSL Labs sont classés peut可能找到这里。

应用Citrix Receiver \ Workspace Prise en charge du chiffedpour déploiements de passerelle

*重要:咨询与客户服务有关的条款，为客户提供更好的服务，为客户提供更好的应用和工作:CTX234227倒Citrix接收器等CTX250104倒l '应用程序工作区＊

Problèmes liés à la mise en œuvre

某些在étapes上的配置notées在这篇文章中可能导致在problèmes上的配置connectivité与以前的客户和航海者有关。例如，Windows XP SP2无需使用SHA256证书;航海者的网络和古人的不可以要求在TLS1.2或ECC上收费。当我们在où上提供支持时，我们的客户可以在incapacité à上提供错误信息。

标记:报道您à la栏目微程序的注释关于微程序ADC spécifique的版本要求和其他的评论。

Étapes de base - GUI

Voici les étapes générales qui sont prises en premier pour garantir un score élevé lors du test SSL Labs。

• 确保您知道adc exécute une版本récente du micrologiciel - 10.5 build 67 ou版本ultérieure est recommandé

  • Désactiver SSLv3 sur tous les servers virtuels(您可以使用défaut SSL配置文件来配置SSL)产品的SSL虚拟服务器的配置

• 向您保证:chaîne证书是complète等可提供的
  • 证书不能进入signés par une autorité认证检查点确定批准intrinsèquement。Souvent, ils sont signés par une autorité de certification intermédiaire
  • Le certificat intermédiaire est installé sur l’adc puis lié au certificat de serveur qui est lié au serveur virtuel
  • Les certificats intermédiaires sont fournis par le fournisseur qui a fourni le certificat du server, souvent dans un«paquet de certificat»。我们可以到我们的公共场所去
  • 我希望你能拿到证书intermédiaires qui doivent être installés et liés。如果要提供服务功能证书，那么客户将收到一个chaîne的证书作为终止证书'autorité的证书，客户将批准déjà
  • Le certificat d 'autorité de certification racine utilisé pour signer Le certificat intermédiaire sera probabile approuvé par tous les clients
  • Pour installer le certificate intermédiaire, accédez à:> SSL > Certificats > Certificats CAet choisissez安装程序（标记:les版本antérieures de Citrix ADC在界面图形中没有“Certificats CA”选项）
  • Une fois le certificat intermédiaire installé， il peut être lié au certificat du serveur en sélectionnant le certificat et en choisissant le留置权dans le menu动作。
  • 如果证书intermédiaire正确，则installé，如果证书是自动的，则renseigné在联络菜单上。

• 向您保证TLSv1.2 est activé sur tous les servers virtuels(如果您使用défaut SSL配置文件，则配置SSL)在这个部分产品的SSL虚拟服务器的配置

• 授权人la renégociation sécurisée
  • Accedez一流量> SSLet selectionnezModifier les paramètres SSL avancés
  • Definissez否认SSL再谈判苏尔不安全的pour permettre à seuls les clients prenant en charge RFC 5746 de renégocier

• Créer une clé DH à utiliser par les suites de chiffment DHE
  • 标记:la création和la liaison d’une clé DH是教员，加上客户和老人的独特的用途，他们的父母不收ECDHE。如果一个人clé DH不等于liée，那么这个人就应该是ignorées。
  • 将会在流量> SSLet selectionnezCréer une clé Diffie-Hellman (DH)
  • 在冠军化名DH， entz un nom de fichier pour le fichier clé(备注:le chemin par défaut de l 'appliance est /nsconfig/ssl/)
  • entz la taille de clé DH souhaitée dans la尾du paramètre DH- 1024 ou 2048(备注:les clés DH 4096 bits ne sont pas pas en charge actuement)
  • 标记:la taille de la clé DH devrait être la même taille que la clé RSA et généralement de 2048位
  • 选择générateur de nombres aléatoires 2 ou 5
  • 双击苏尔克里尔- la génération de clés peut prendre UN certain temps。

• Liez la clé DH au serveur virtuel
  • Sur le serveur virtuel sélectionné， ouvrez la section产品的SSLet cliquez sur le bouton修饰语(蜡笔在硬币supérieur所有权)
  • Cochez拉情况下活跃DH参数
  • Définissez le chemin d 'accès au fichier clé créé précédemment

• Créer un group de chiffement personnalisé qui fournit la confidentialité directe (FS)
  • Accedez一流量限制> SSL >流量分组et choisissezAjouter
  • 请给我们这个团队一个名字
  • 双击苏尔+ AjouterPuis développez la节+所有- sélectionnez les suites de chiffement suivantes:
    • TLS1.3-CHACHA20-POLY1305-SHA256
    • TLS1.3-AES128-GCM-SHA256
    • TLS1.3-AES256-GCM-SHA384
    • TLS1.2-ECDHE-ECDSA-AES256-SHA384
    • TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
    • TLS1.2-DHE-RSA-AES256-GCM-SHA384
    • TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
    • TLS1.2-ECDHE-RSA-CHACHA20-POLY1305
    • TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
  • Cliquez sur la flèche>请倒déplacer les chiffrequirements de la colonne能用的向着这个列Configure
  • 双击苏尔克里尔

• 这是我们的服务团队
  • Sur le serveur virtuel sélectionné， ouvrez la sectionSSL密码et cliquez sur le bouton修饰语(蜡笔在硬币supérieur所有权)
  • 最好是在您的身边的所有人Supprimer吹捧ou de l 'icone-德每元素
  • Sélectionnez le bouton电台的小组de chiffrement他们选择了我们的团队créé précédemment
  • 双击苏尔OK。

• 激活服务器虚拟上的sécurité传输严格(HSTS)
  • Sur le serveur virtuel sélectionné， ouvrez la section产品的SSLet cliquez sur le bouton修饰语(蜡笔在硬币supérieur所有权)
  • Cochez la case pour activehst
  • 可以157680000在冠军年龄最大的
  • 标记:Cet指标在版本12.0 35和ultérieures中是不可用的。Pour les versions antérieures，你的英语作文要收费。

Étapes de base - CLI

Voici les étapes générales qui sont prises en premier pour garantir un score élevé lors du test SSL Labs。例如CLI ci-dessous, le nom du du virtuel SSL est répertorié commeex-vServer- il peut être remplacé par le nom du virtual SSL dans vtre环境。

• 确保您可以使用SSL3 est désactivé和TLS1.2 est activé sur un server virtuel nomméEx-vServer

集ssl vserver Ex-vServer-ssl3禁用-tls1启用-tls11启用-tls12使<！——NeedCopy>

• Pour active ONLY TLS1.2 et TLS1.3 surex-VServer，这里是à，这里是précède

集ssl vserver Ex-vServer-ssl3禁用-tls1禁用-tls11禁用-tls12启用-tls13使<！——NeedCopy>

• 授权人la renégociation sécurisée

集ssl参数-denySSLReneg不安全的<！——NeedCopy>

• Créer et lier une clé DH à un serveur virtuel nomméEx-vServer

创建ssl dhparam DH_Key_Name_Here。关键的2048创2集ssl vServer Ex-vServerdh启用-dhFileDH_Key_Name_Here。关键的<！——NeedCopy>

• Créer un groupe de chiffement personnalisé qui préfère les suites de chiffement ECDHE et ECDSA

add ssl cipher New_APlus_CipherGroup绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.3-CHACHA20-POLY1305-SHA256绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.3-AES128-GCM-SHA256绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.3-AES256-GCM-SHA384绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.2-ECDHE-ECDSA-AES256-SHA384绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.2-DHE-RSA-AES256-GCM-SHA384绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.2-ECDHE-RSA-CHACHA20-POLY1305绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305绑定ssl密码New_APlus_CipherGroup-cipherNameTLS1.2-ECDHE-RSA-AES256-GCM-SHA384 <！——NeedCopy>

• Délier le groupe de chiffreve par défaut du serveur virtuel et lier le groupe personnalisé

解除绑定ssl vServer Ex-vServer-cipherName默认的绑定ssl vServer Ex-vServer-cipherNameNew_APlus_CipherGroup绑定ssl vServer Ex-vServer-eccCurveName所有的<！——NeedCopy>

• activestrict Transport Security (HSTS) sur un server virtuel nomméex-vServer

集ssl vServer Ex-vServer-HSTS启用maxage157680000 <！——NeedCopy>

其他产品的

证书SHA1

Les certificats signés avec SHA1 sont considérés comme faibles et empêchent un grade élevé dans le test SSLLabs。Si des certificates sont signés SHA1, ils sont renouvelés avec un certificat SHA256 et installés sur l’adc。

DNS创新艺人经纪公司

DNS认证机构授权(CAA)可以通过autorités de Certification de valider si elles autorisées à délivrer为一个域名和fournir contact提供证书，通过cas de problème。

服务器DNS是configurée，应用ADC是plutôt。

指出du micrologiciel

Au fur et à mesure que de nouvelles vulnérabilités seront découvertes, elles seront testées par SSLLabs, de sorte que des tests fréquents sont recommandés。当然vulnérabilités sont corrigées par les améliorations du code Citrix ADC。

• 最小版本要求:10.5构建67

• La vulnérabilité ROBOT a été corrigée dans les版本12.0 build 53, 11.1 build 56, 11.0 build 71 et 10.5 build 67-加上détails就等于ici

• HSTS(严格的运输安全)在这里是不可用的12.0版35- les versions antérieures nécessitaient une politique de réécriture pour insérer l 'en-tête HSTS。你们不可以使用两个汽车cela entraînera l ' insert de 2 en-têtes，不是autorisé。

• 价格en TLS1.2 a été ajoutée aux家电VPX dans10.5构建57．Il était disponible dans les versions antérieures pour les appliances avec du matériel SSL dédié

• 价格为TLS1.3 a été ajoutée dans12.1建立49.23- il doit être activé dans le vserverslprofile, et les chiffrequirements TLS1.3 (répertoriés) doivent être liés

• 证书的价格是ECC a été ajoutée或电器VPX的价格12.0版本57．Il était disponible dans les versions antérieures pour les appliances avec du matériel SSL dédié

• La vulnérabilité僵尸狮子狗été corrigée dans les版本12.1 build 50.31, 12.0 build 60.9, 11.1 build 60.14, 11.0 build 72.17 et 10.5 build 69.5．Cette vulnérabilité affect unique les appliances MPX \ SDX avec du matériel SSL Nitrox, ce qui signfie que les appliances MPX \ SDX avec Coleto Creek ne sont pas vulnérables;la désactivation des suites de chiffement basées sur CBC atténuera également cette vulnérabilité。请给我们提供更多的信息

• 清单上的内容为été modifiée，内容为CBC的失效，主要内容为0xc028和0x39