思杰ADC

Citrix ADCアプライアンスには,事前定義された一連の暗号グループが付属しています。德FAULT 暗号グループに含まれない暗号を使用するには、SSL 仮想サーバーに明示的にバインドする必要があります。また、ユーザー定義の暗号グループを作成して、SSL 仮想サーバーにバインドすることもできます。ユーザー定義の暗号グループの作成の詳細については、ADCアプライアンスでのユーザー定義の暗号グループの構成を参照してください。

注

• 13.0リリースビルド71. x以降では,TLS1.3ハードウェアアクセラレーションが次のプラットフォームでサポートされています。

  • MPX 5900
  • MPX /有关8900
  • MPX /有关9100
  • MPX /有关15000
  • MPX /有关15000 - 50 g
  • MPX /有关16000
  • MPX /有关26000
  • MPX / 26000 - 50年代有关
  • MPX /有关26000 - 100 g

  ——TLSv1.3プロトコルのソフトウェアのみのサポートは,Citrix ADC FIPSアプライアンスを除く他のすべてのCitrix ADC MPXおよび有关アプライアンスで利用できます。

• TLSv1.3，。【中文翻译】中文:中文:中文:中文。

• TLS1.3を使用するには,RFC 8446仕様に準拠したクライアントを使用する必要があります。

• RC4暗号は,Citrix ADCアプライアンスのデフォルトの暗号グループには含まれません。# # # # # # # # # # # # # # # # # # # # # # # # # #。

• この暗号は安全ではないと見なされ,RFC 7465で非推奨になっているため,使用しないことをお勧めします。

• アプライアンスにN3チップが搭載されているかどうかを確認するには,“硬件”コマンドを使用します。

. sh硬件平台:NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100制造日期:2013年8月19日CPU: 2900MHZ主机Id: 1006665862序列号:ENUK6298FT编码序列号:ENUK6298FT 

• フロントエンド(仮想サーバー)でデフォルトでバインドされている暗号スイートに関する情報を表示するには,次のように入力します。sh cipher DEFAULT
• バックエンドで(サービスに)デフォルトでバインドされている暗号スイートに関する情報を表示するには,以下のように入力します。. sh cipher DEFAULT_BACKEND . sh
• アプライアンスに定義されているすべての暗号グループ(エイリアス)に関する情報を表示するには,次のように入力します。sh密码
• 特定の暗号グループに含まれるすべての暗号スイートに関する情報を表示するには,Sh cipher > > > > > >★★★★★★★★★

以下のリンクは,さまざまなCitrix ADCプラットフォームおよび外部ハードウェアセキュリティモジュール(HSM)でサポートされている暗号スイートの一覧です。

• 思杰ADC MPX/SDX：Citrix ADC MPX /有关インテルルイスバーグSSLチップベースのアプライアンスでの暗号サポート
• Citrix ADC MPX/SDX(N3)：思杰ADC MPX/SDX(N3)
• Citrix ADC MPX/SDX coeto：Citrix ADC MPX /有关インテルColeto SSLチップベースのアプライアンスでの暗号サポート
• Citrix ADC VPX：思杰ADC VPX
• 思杰ADC MPX/SDX 14000 FIPS：思杰ADC MPX/SDX 14000 FIPS
• HSM(泰利斯)：Thales/Safenet(泰雷兹/萨芬)
• Citrix ADC MPX/SDX(N2)：Citrix ADC MPX/SDX(N2)
• Citrix ADC MPX 9700 FIPS：思杰(Citrix) ADC MPX 9700 FIPS
• Citrix ADC VPX FIPS：Citrix ADC VPX FIPSおよびMPX FIPS認定アプライアンスでの暗号サポート

注：

★★★★★★★★★Citrix ADC VPX、MPXおよび有关アプライアンスでの迪泰暗号のサポートを参照してください。

1-;

|プロトコル/プラットフォーム| MPX /有关(N2) | MPX /有关(N3) | VPX | MPX /有关14000 * * FIPS | MPX MPX 5900/8900 15000 - 50 - 26000 g MPX - 100 g | |—|—|—|—|—|—| | TLS 1.3 | 13.1全ビルド| 13.1全ビルド| 13.1全ビルド|未サポート| 13.1全ビルド| | | 13.0すべてのビルド| 13.0すべてのビルド| 13.0すべてのビルド|未サポート| 13.0すべてのビルド| | 12.1 | -50人。x (tls1.3 - chachha20 - poly1305 - sha256)| 12.1-50。x (tls1.3 - chachha20 - poly1305 - sha256)| 12.1-50。X | http://| 12.1-50。x | | TLS 1.1/1.2 | 13.1全ビルド| 13.1全ビルド| 13.1全ビルド| 13.1全ビルド| 13.1全ビルド| | | 13.0すべてのビルド| 13.0すべてのビルド| 13.0すべてのビルド| 13.0すべてのビルド| 13.0すべてのビルド| | | 12.1全ビルド| 12.1全ビルド| 12.1全ビルド| 12.1全ビルド| 12.1 MPX 5900/8900のすべてのビルド,MPX 15000 - 50 gおよびMPX 26000 - 100 gの場合は12.1 ~ 50。12.0 x | | |全ビルド| 12.0全ビルド| 12.0全ビルド| 12.0全ビルド| MPX 5900/8900の場合はすべて12.0,15000年MPX - 50 gの場合は12.0 -57。x, MPX 26000-100G|||11.1 すべてのビルド | 11.1 すべてのビルド |11.1 すべてのビルド | 11.1—56.x MPX 5900/8900 と MPX 15000-50G、11.1-60.x MPX 26000-100G | || 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0—70.x (MPX 5900/8900 のみ) | || 10.5 すべてのビルド | 10.5 すべてのビルド | 10.5—57.x | 10.5—59.1359.e | 10.5—67.x、10.5-63.47 (MPX 5900/8900 のみ) | | ECDHE/DHE (例 TLS1-ECDHE-RSA-AES128-SHA) |13.1 すべてのビルド |13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |13.0 すべてビルド| |12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | MPX 5900/8900 の 12.1 すべてのビルド、MPX 15000-50G および MPX 26000-100G の 12.1-50.x | || 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 MPX 5900/8900 のすべてのビルド | 12.0 MPX 5900/8900 のすべてのビルド | 12.0 すべてのビルド | 12.0 MPX 5900/8900 のすべてのビルド | 12.0 すべてのビルド | 12.0 MPX 5900/8900 0-57.xMPX 15000-50G、12.0-60.x MPX 26000-100G | || 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1—51.x |11.1—56.x MPX 5900/8900 と MPX 15000-50G、11.1-60.x MPX 26000-100G | || 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド 0 全ビルド||11.0—70.114 (MPX 5900/8900 のみ) | || 10.5—53.x| 10.5—53.x| 10.5全ビルド|| 10.5—67.x、10.5-63.47 (MPX 5900/8900のみ) | |AES-GCM (例 TLS1.2-AES128-GCM-SHA256) | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.|13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | || 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 MPX 5900/8900 のすべてのビルド | 12.1 MPX 15000-50G と MPX 26000-100G | || 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | | 12.0 すべてMPX 5900/8900用のビルド、MPX 15000-50G用の12.0-57.x、MPX 26000-100G用の12.0-60.x | 11.1すべてのビルド | 11.1すべてのビルド | 11.1すべてのビルド | 11.1—51.x（注を参照）| MPX 5900/8900およびMPX 15000-50Gの場合は11.1—56.x、MPX用11.1-60.x、MPX用11.1-60.x 26000-100G | |11.0 すべてのビルド|11.0 すべてのビルド|11.0—66.x||11.0—70.114 (MPX 5900/8900 のみ) | ||10.5—53.x|10.5—53.x|||10.5—67.x、10.5-63.47 (MPX 5900/8900 のみ) | |SHA-2 暗号 (例 TLS1.2-AES-128-SHA256) | 13.1 すべてのビルド|13.1 すべてのビルド|13.1 すべてのビルド|13.1 すべてのビルド | ||13.0 すべてのビルド|13.0 すべてのビルド|13.0すべてのビルド|13.0 すべてのビルド|13.0 すべてのビルド | ||12.1 すべてのビルド|12.1 すべてのビルド|12.1 すべてのビルド|12.1 すべてのビルド|12.1 MPX 5900/8900 のすべてのビルド、12.1-50.x MPX 15000-50G と MPX 26000-100G | || 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルドビルド | 12.0MPX 5900/8900用のすべてのビルド、MPX 15000-50G用の12.0-57.x、MPX 26000-100G用の12.0-60.x | || 11.1すべてのビルド | 11.1すべてのビルド | 11.1すべてのビルド | 11.1—52.x | MPX 5900/8900およびMPX 15000-50G用の11.1—56.x、MPX 26000-50G用の11.1-60.x、MPX 26000-50Gの場合は11.1-60.x、MPX 26000-100G用の11.1-60.x 100G | || 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0—66.x ||11.0—72.x、11.0-70.114 (MPX 5900/8900 のみ) | || 10.5—53.x | 10.5—53.x || 10.5—67.x、10.5-63.47 (MPX 5900/8900 のみ) | | ECDSA (例 TLS1-ECDHE-ECDSA-AES256-SHA) | サポートされていない | 13.3 1 全ビルド | 13.1 全ビルド | 13.1 全ビルド | 13.1 全ビルド | ||サポートされていない | 13.0 全ビルド | 13.0 全ビルド | 13.0 全ビルド | || サポートされていない | 12.1 全ビルド | 12.1 全ビルド | 12.1 全ビルド | 12.1 全ビルド | 12.1 MPX 5900/8900 用全ビルド、12.1-50.x MPX 15000-50G および MPX 26000-100G | || サポートされていない | 12.0 全ビルド | 12.0-57.x | サポートされていません | 12.0 MPX 5900/8900用のすべてのビルド、MPX 15000-50G用の12.0-57.x、MPX 26000-100G用の12.0-60.x | || 11.1 すべてのビルド ||| 11.1—56.x、11.1-54.126 (ECC カーブ P_256 と P_384 のみがサポートされています)。| | CHACHA20 | サポートされていない | 13.1 全ビルド | 13.1 全ビルド | サポートされていない | 13.1 全ビルド | ||サポートされていない | 13.0 全ビルド | 13.0 全ビルド | サポートされていない | サポートされていない | 12.1 全ビルド | サポートされていない | 12.1 全ビルド | サポートされていない | 12.1—49.x (のみMPX 5900/8900) | || サポートされていない | 12.0—56.x | サポートされていない | サポートされていない |

2-

TLS 1.3はバックエンドではサポートされていません。

サポートされるECDSA暗号の詳細なリストについては,ECDSA暗号スイートのサポートを参照してください。

注

• 中文:中文:中文:中文:中文:中文:中文:中文:X .中文:。

• 。

• すべてのSHA-2署名付き証明書(SHA256, SHA384, SHA512)はすべてのアプライアンスのフロントエンドでサポートされています。(1)“”。* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *。リリース11.0以前では,すべてのアプライアンスのバックエンドでSHA256署名付き証明書のみがサポートされています。

• 11.1リリースビルド52. x以前では,次の暗号はMPX9700のフロントエンドでのみサポートされています。Mpx / sdx 14000个提示:
  • tls1.2 - ecdhe - rsa - aes - 256 sha384
  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384在版本12.0中，后端也支持这些密码。
• すべてのChaCha20-Poly1035暗号は,sha - 256ハッシュ関数とTLS擬似ランダム関数(PSF)を使用します。

完全转发保密(PFS)

完美的向前保密は,ウェブサーバーのセッションキーが後の時点で侵害された場合でも,現在のSSL通信を確実に保護します。

完美前向保密(PFS)

SSL，。この接続は,クライアントのブラウザとアクセスしたWebサーバの間で行われるSSLハンドシェイクから始まります。。セッションキーは,通信の残りの部分を通してデータを暗号化する手段として機能します。

。ブラウザはサーバーの公開鍵を使用して暗号化し,プレマスターシークレットを介してサーバーに送信します。。RSA鍵交換アプローチの問題点は,攻撃者が将来の任意の時点でサーバーの秘密鍵をなんとか入手できた場合,攻撃者はセッション鍵を取得できるプレマスターシークレットを入手できることです。攻撃者がこのセッションキーを使用して,すべてのSSLカンバセーションを復号化できるようになりました。その結果,サーバーの盗まれた秘密キーを使用してセッションキーに到達し,保存された履歴カンバセーションも復号化される可能性があるため,以前にセキュリティで保護されていた履歴SSL通信はセキュリティで保護されなくなります。

。完全转发保密(PFS)を設定すると、この問題に対処できます。

pfs > > > > > > >

PFSは,クライアントとサーバがセッションごとに新しいキーについて合意し,このセッションキーの計算を秘密にしておくことで,過去のSSL通信を保護します。。セッションキーは両端で別々に派生し,ワイヤを介して転送されることはありません。。これらの事実により,誰かがサーバーの秘密鍵にアクセスできたとしても,セッション鍵に到達できないことが保証されます。。

这就是我的意思

PFS，。DHアルゴリズムは,ハッカーがサーバーの秘密キーを入手しても,ハッカーがセッションキーに到達できないようにします。その理由は,セッションキーと乱数(セッションキーに到達するために使用)は両端で秘密にされ,ネットワーク上で交換されることはないからです。PFSは,SSLセッションごとに新しい一時キーを作成するエフェメラルdiffie - hellmanキー交換を使用することで実現できます。

。。

Citrix ADCアプライアンスでPFSを構成する

PFS, DHE, ECDHE，。これらの暗号により,作成されたシークレットセッションキーがワイヤ上で共有されず(DHアルゴリズム),セッションキーが短時間だけ存続することが保証されます(エフェメラル)。★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

注:中文:。

这是一个非常好的例子

1. ? ? ? ? ?

   一个。[ssl] > []? ? ?

   b。”迪菲·赫尔曼(DH“哇!哇!哇!”

   注:2048。

   

   

2. SSL仮想サーバーのDH参数を有効にし,SSL仮想サーバーにDHキーを接続します。

   一个。[][中文]

   b. DH。

   c。編集[au:]SSL[au:]DHパラメータを有効にする[au:]

   

3. 。

   一个。[][中文]

   b。DHを有効にする仮想サーバーを選択し,鉛筆アイコンをクリックして編集します。

   c。詳細設定}， [SSL密码[英文单词]中文单词[英文单词]好吧[中文:。

   注:中文:。

   

   

   

【翻译

1. Ecc。

   一个。[] > [] > []? ? ?

   b. SSL， [ECC曲线> > > > > >バインドの追加[au:]

   c.。

   

   

2. 。

   一个。[][中文]:我的意思是，我的意思是，我的意思是。

   b。> [ssl[参考译文]バインド[au:]

   注:。

   

   

   

注：それぞれのケースで,Citrix ADCアプライアンスが通信に使用する暗号をサポートしていることを確認します。

SSL

注:SSLプロファイルを使用してPFS(暗号またはECC)を設定するオプションは,11.0 64人。X。。

SSLプロファイルを使用してPFSを有効にするには,仮想サーバ上で直接設定するのではなく,SSLプロファイルで同様の設定(前の設定セクションで説明した)を実行する必要があります。

GUIを使用してSSLプロファイルを使用したPFSの設定

1. 。

   注:ECCカーブは,デフォルトですべてのSSLプロファイルに既にバインドされています。

   一个。> [] > [ssl]> > > > > > > > > > > > > > > > > > > > > >

   b. ECDHE。

   

2. SSL。

   一个。[][中文]:中文，中文，中文，中文。

   b.。

   c。”OK”? ? ? ? ?完了“哇!哇!哇!”

   

SSL / / PFS / /

。

1. ECCカーブをSSLプロファイルにバインドします。

   绑定sslprofile  -eccCurveName  

2. 。

   bind sslprofile  cipherName  

3. 【中文】:。

   set sslprofile  cipherName  cipherPriority  

4. SSL。

   set SSL vserver  sslProfile