思杰ADC
Citrix ADCアプライアンスには,事前定義された一連の暗号グループが付属しています。德FAULT 暗号グループに含まれない暗号を使用するには、SSL 仮想サーバーに明示的にバインドする必要があります。また、ユーザー定義の暗号グループを作成して、SSL 仮想サーバーにバインドすることもできます。ユーザー定義の暗号グループの作成の詳細については、ADCアプライアンスでのユーザー定義の暗号グループの構成を参照してください。
注
13.0リリースビルド71. x以降では,TLS1.3ハードウェアアクセラレーションが次のプラットフォームでサポートされています。
- MPX 5900
- MPX /有关8900
- MPX /有关9100
- MPX /有关15000
- MPX /有关15000 - 50 g
- MPX /有关16000
- MPX /有关26000
- MPX / 26000 - 50年代有关
- MPX /有关26000 - 100 g
——TLSv1.3プロトコルのソフトウェアのみのサポートは,Citrix ADC FIPSアプライアンスを除く他のすべてのCitrix ADC MPXおよび有关アプライアンスで利用できます。
TLSv1.3,。【中文翻译】中文:中文:中文:中文。
TLS1.3を使用するには,RFC 8446仕様に準拠したクライアントを使用する必要があります。
RC4暗号は,Citrix ADCアプライアンスのデフォルトの暗号グループには含まれません。# # # # # # # # # # # # # # # # # # # # # # # # # #。
この暗号は安全ではないと見なされ,RFC 7465で非推奨になっているため,使用しないことをお勧めします。
アプライアンスにN3チップが搭載されているかどうかを確認するには,“硬件”コマンドを使用します。
. sh硬件平台:NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100制造日期:2013年8月19日CPU: 2900MHZ主机Id: 1006665862序列号:ENUK6298FT编码序列号:ENUK6298FT
- フロントエンド(仮想サーバー)でデフォルトでバインドされている暗号スイートに関する情報を表示するには,次のように入力します。
sh cipher DEFAULT
- バックエンドで(サービスに)デフォルトでバインドされている暗号スイートに関する情報を表示するには,以下のように入力します。
. sh cipher DEFAULT_BACKEND . sh
- アプライアンスに定義されているすべての暗号グループ(エイリアス)に関する情報を表示するには,次のように入力します。
sh密码
- 特定の暗号グループに含まれるすべての暗号スイートに関する情報を表示するには,
Sh cipher
> > > > > >★★★★★★★★★
以下のリンクは,さまざまなCitrix ADCプラットフォームおよび外部ハードウェアセキュリティモジュール(HSM)でサポートされている暗号スイートの一覧です。
- 思杰ADC MPX/SDX:Citrix ADC MPX /有关インテルルイスバーグSSLチップベースのアプライアンスでの暗号サポート
- Citrix ADC MPX/SDX(N3):思杰ADC MPX/SDX(N3)
- Citrix ADC MPX/SDX coeto:Citrix ADC MPX /有关インテルColeto SSLチップベースのアプライアンスでの暗号サポート
- Citrix ADC VPX:思杰ADC VPX
- 思杰ADC MPX/SDX 14000 FIPS:思杰ADC MPX/SDX 14000 FIPS
- HSM(泰利斯):Thales/Safenet(泰雷兹/萨芬)
- Citrix ADC MPX/SDX(N2):Citrix ADC MPX/SDX(N2)
- Citrix ADC MPX 9700 FIPS:思杰(Citrix) ADC MPX 9700 FIPS
- Citrix ADC VPX FIPS:Citrix ADC VPX FIPSおよびMPX FIPS認定アプライアンスでの暗号サポート
注:
★★★★★★★★★Citrix ADC VPX、MPXおよび有关アプライアンスでの迪泰暗号のサポートを参照してください。
1-;
|プロトコル/プラットフォーム| MPX /有关(N2) | MPX /有关(N3) | VPX | MPX /有关14000 * * FIPS | MPX MPX 5900/8900 15000 - 50 - 26000 g MPX - 100 g | |—|—|—|—|—|—| | TLS 1.3 | 13.1全ビルド| 13.1全ビルド| 13.1全ビルド|未サポート| 13.1全ビルド| | | 13.0すべてのビルド| 13.0すべてのビルド| 13.0すべてのビルド|未サポート| 13.0すべてのビルド| | 12.1 | -50人。x (tls1.3 - chachha20 - poly1305 - sha256)| 12.1-50。x (tls1.3 - chachha20 - poly1305 - sha256)| 12.1-50。X | http://| 12.1-50。x | | TLS 1.1/1.2 | 13.1全ビルド| 13.1全ビルド| 13.1全ビルド| 13.1全ビルド| 13.1全ビルド| | | 13.0すべてのビルド| 13.0すべてのビルド| 13.0すべてのビルド| 13.0すべてのビルド| 13.0すべてのビルド| | | 12.1全ビルド| 12.1全ビルド| 12.1全ビルド| 12.1全ビルド| 12.1 MPX 5900/8900のすべてのビルド,MPX 15000 - 50 gおよびMPX 26000 - 100 gの場合は12.1 ~ 50。12.0 x | | |全ビルド| 12.0全ビルド| 12.0全ビルド| 12.0全ビルド| MPX 5900/8900の場合はすべて12.0,15000年MPX - 50 gの場合は12.0 -57。x, MPX 26000-100G|||11.1 すべてのビルド | 11.1 すべてのビルド |11.1 すべてのビルド | 11.1—56.x MPX 5900/8900 と MPX 15000-50G、11.1-60.x MPX 26000-100G | || 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0—70.x (MPX 5900/8900 のみ) | || 10.5 すべてのビルド | 10.5 すべてのビルド | 10.5—57.x | 10.5—59.1359.e | 10.5—67.x、10.5-63.47 (MPX 5900/8900 のみ) | | ECDHE/DHE (例 TLS1-ECDHE-RSA-AES128-SHA) |13.1 すべてのビルド |13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド |13.0 すべてビルド| |12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | MPX 5900/8900 の 12.1 すべてのビルド、MPX 15000-50G および MPX 26000-100G の 12.1-50.x | || 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 MPX 5900/8900 のすべてのビルド | 12.0 MPX 5900/8900 のすべてのビルド | 12.0 すべてのビルド | 12.0 MPX 5900/8900 のすべてのビルド | 12.0 すべてのビルド | 12.0 MPX 5900/8900 0-57.xMPX 15000-50G、12.0-60.x MPX 26000-100G | || 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1 すべてのビルド | 11.1—51.x |11.1—56.x MPX 5900/8900 と MPX 15000-50G、11.1-60.x MPX 26000-100G | || 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0 すべてのビルド 0 全ビルド||11.0—70.114 (MPX 5900/8900 のみ) | || 10.5—53.x| 10.5—53.x| 10.5全ビルド|| 10.5—67.x、10.5-63.47 (MPX 5900/8900のみ) | |AES-GCM (例 TLS1.2-AES128-GCM-SHA256) | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.1 すべてのビルド | 13.|13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | 13.0 すべてのビルド | || 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 すべてのビルド | 12.1 MPX 5900/8900 のすべてのビルド | 12.1 MPX 15000-50G と MPX 26000-100G | || 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | | 12.0 すべてMPX 5900/8900用のビルド、MPX 15000-50G用の12.0-57.x、MPX 26000-100G用の12.0-60.x | 11.1すべてのビルド | 11.1すべてのビルド | 11.1すべてのビルド | 11.1—51.x(注を参照)| MPX 5900/8900およびMPX 15000-50Gの場合は11.1—56.x、MPX用11.1-60.x、MPX用11.1-60.x 26000-100G | |11.0 すべてのビルド|11.0 すべてのビルド|11.0—66.x||11.0—70.114 (MPX 5900/8900 のみ) | ||10.5—53.x|10.5—53.x|||10.5—67.x、10.5-63.47 (MPX 5900/8900 のみ) | |SHA-2 暗号 (例 TLS1.2-AES-128-SHA256) | 13.1 すべてのビルド|13.1 すべてのビルド|13.1 すべてのビルド|13.1 すべてのビルド | ||13.0 すべてのビルド|13.0 すべてのビルド|13.0すべてのビルド|13.0 すべてのビルド|13.0 すべてのビルド | ||12.1 すべてのビルド|12.1 すべてのビルド|12.1 すべてのビルド|12.1 すべてのビルド|12.1 MPX 5900/8900 のすべてのビルド、12.1-50.x MPX 15000-50G と MPX 26000-100G | || 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルド | 12.0 すべてのビルドビルド | 12.0MPX 5900/8900用のすべてのビルド、MPX 15000-50G用の12.0-57.x、MPX 26000-100G用の12.0-60.x | || 11.1すべてのビルド | 11.1すべてのビルド | 11.1すべてのビルド | 11.1—52.x | MPX 5900/8900およびMPX 15000-50G用の11.1—56.x、MPX 26000-50G用の11.1-60.x、MPX 26000-50Gの場合は11.1-60.x、MPX 26000-100G用の11.1-60.x 100G | || 11.0 すべてのビルド | 11.0 すべてのビルド | 11.0—66.x ||11.0—72.x、11.0-70.114 (MPX 5900/8900 のみ) | || 10.5—53.x | 10.5—53.x || 10.5—67.x、10.5-63.47 (MPX 5900/8900 のみ) | | ECDSA (例 TLS1-ECDHE-ECDSA-AES256-SHA) | サポートされていない | 13.3 1 全ビルド | 13.1 全ビルド | 13.1 全ビルド | 13.1 全ビルド | ||サポートされていない | 13.0 全ビルド | 13.0 全ビルド | 13.0 全ビルド | || サポートされていない | 12.1 全ビルド | 12.1 全ビルド | 12.1 全ビルド | 12.1 全ビルド | 12.1 MPX 5900/8900 用全ビルド、12.1-50.x MPX 15000-50G および MPX 26000-100G | || サポートされていない | 12.0 全ビルド | 12.0-57.x | サポートされていません | 12.0 MPX 5900/8900用のすべてのビルド、MPX 15000-50G用の12.0-57.x、MPX 26000-100G用の12.0-60.x | || 11.1 すべてのビルド ||| 11.1—56.x、11.1-54.126 (ECC カーブ P_256 と P_384 のみがサポートされています)。| | CHACHA20 | サポートされていない | 13.1 全ビルド | 13.1 全ビルド | サポートされていない | 13.1 全ビルド | ||サポートされていない | 13.0 全ビルド | 13.0 全ビルド | サポートされていない | サポートされていない | 12.1 全ビルド | サポートされていない | 12.1 全ビルド | サポートされていない | 12.1—49.x (のみMPX 5900/8900) | || サポートされていない | 12.0—56.x | サポートされていない | サポートされていない |
2-
TLS 1.3はバックエンドではサポートされていません。
プロトコル/プラットフォーム | MPX /有关(N2) | MPX /有关(N3) | VPX | Mpx / sdx 14000**提示 | MPX 5900/8900 MPX 15000-50g MPX 26000-100g |
---|---|---|---|---|---|
TLS 1.1/1.2 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 |
13.0, | 13.0, | 13.0, | 13.0, | 13.0, | |
12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 MPX 5900/8900のすべてのビルド,MPX 15000 - 50 gおよびMPX 26000 - 100 gの場合は12.1 ~ 50. x | |
12.0中文 | 12.0中文 | 12.0中文 | 12.0中文 | MPX 5900/8900の場合はすべて12.0,15000年MPX - 50 gの場合は12.0 -57。x, MPX 26000-100G | |
11.1 .中文 | 11.1 .中文 | 11.1 .中文 | 11.1 .中文 | MPX 5900/8900 MPX 15000-50gx, MPX 26000-100G | |
11.0 - -50. x | 11.0 - -50. x | 11.0 - -66. x | 11.0-70.119 (mpx 5900/8900) | ||
10.5 - -59. x | 10.5 - -59. x | 10.5 59.1359.e | 10.5-67.x, 10.5-63.47 (MPX 5900/8900) | ||
【翻译】:ecdthe / the / the | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 |
13.0, | 13.0, | 13.0, | 13.0, | 13.0, | |
12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 MPX 5900/8900のすべてのビルド,MPX 15000 - 50 gおよびMPX 26000 - 100 gの場合は12.1 ~ 50. x | |
12.0中文 | 12.0中文 | 12.0 - -56. x | 12.0中文 | MPX 5900/8900の場合はすべて12.0,15000年MPX - 50 gの場合は12.0 -57。x, MPX 26000-100G | |
11.1 .中文 | 11.1 .中文 | 11.1 - -51. x | MPX 5900/8900 MPX 15000-50gx, MPX 26000-100G | ||
11.0 - -50. x | 11.0 - -50. x | 11.0-70.119 (mpx 5900/8900) | |||
10.5 - -58. x | 10.5 - -58. x | 10.5-67.x, 10.5-63.47 (MPX 5900/8900) | |||
Aes-gcm(图1 - 2- aes128 - gcm - sha256) | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 |
13.0, | 13.0, | 13.0, | 13.0, | 13.0, | |
12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 MPX 5900/8900のすべてのビルド,MPX 15000 - 50 gおよびMPX 26000 - 100 gの場合は12.1 ~ 50. x | |
12.0中文 | 12.0中文 | 求求你,求求你 | 12.0中文 | MPX 5900/8900の場合はすべて12.0,15000年MPX - 50 gの場合は12.0 -57。x, MPX 26000-100G | |
11.1 .中文 | 11.1 .中文 | 11.1 - -51. x | MPX 5900/8900 MPX 15000-50gx, MPX 26000-100G | ||
Sha-2(译:tls1.2-aes-128-sha256) | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 |
13.0, | 13.0, | 13.0, | 13.0, | 13.0, | |
12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 MPX 5900/8900のすべてのビルド,MPX 15000 - 50 gおよびMPX 26000 - 100 gの場合は12.1 ~ 50. x | |
12.0中文 | 12.0中文 | 求求你,求求你 | 12.0中文 | MPX 5900/8900の場合はすべて12.0,15000年MPX - 50 gの場合は12.0 -57。x, MPX 26000-100G | |
11.1 .中文 | 11.1 .中文 | 11.1 - -52. x | MPX 5900/8900 MPX 15000-50gx, MPX 26000-100G | ||
Ecdsa (Ecdsa - Ecdsa - aes256 - sha) | 求求你,求求你 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 | 13.1 .中文 |
求求你,求求你 | 13.0, | 13.0, | 13.0, | 13.0, | |
求求你,求求你 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 .中文:中文 | 12.1 MPX 5900/8900のすべてのビルド,MPX 15000 - 50 gおよびMPX 26000 - 100 gの場合は12.1 ~ 50. x | |
求求你,求求你 | 12.0中文 | 12.0 - -57. x | 求求你,求求你 | MPX 5900/8900の場合はすべて12.0,15000年MPX - 50 gの場合は12.0 -57。x, MPX 26000-100G | |
11.1 - -51. x | MPX 5900/8900 MPX 15000-50gx、MPX 26000-100G;x (ECC P_256 384)。 | ||||
CHACHA20 | 求求你,求求你 | 13.1 .中文 | 13.1 .中文 | 求求你,求求你 | 13.1 .中文 |
求求你,求求你 | 13.0, | 13.0, | 求求你,求求你 | 13.0, | |
求求你,求求你 | 求求你,求求你 | 12.1 .中文:中文 | 求求你,求求你 | MPX 5900/8900。x、MPX 15000- 50g、MPX 26000-100G、MPX 26000-100G | |
求求你,求求你 | 求求你,求求你 | 12.0 - -56. x | 求求你,求求你 | 求求你,求求你 |
サポートされるECDSA暗号の詳細なリストについては,ECDSA暗号スイートのサポートを参照してください。
注
中文:中文:中文:中文:中文:中文:中文:中文:X .中文:。
。
すべてのSHA-2署名付き証明書(SHA256, SHA384, SHA512)はすべてのアプライアンスのフロントエンドでサポートされています。(1)“”。* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *。リリース11.0以前では,すべてのアプライアンスのバックエンドでSHA256署名付き証明書のみがサポートされています。
- 11.1リリースビルド52. x以前では,次の暗号はMPX9700のフロントエンドでのみサポートされています。Mpx / sdx 14000个提示:
- tls1.2 - ecdhe - rsa - aes - 256 sha384
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384在版本12.0中,后端也支持这些密码。
- すべてのChaCha20-Poly1035暗号は,sha - 256ハッシュ関数とTLS擬似ランダム関数(PSF)を使用します。
完全转发保密(PFS)
完美的向前保密は,ウェブサーバーのセッションキーが後の時点で侵害された場合でも,現在のSSL通信を確実に保護します。
完美前向保密(PFS)
SSL,。この接続は,クライアントのブラウザとアクセスしたWebサーバの間で行われるSSLハンドシェイクから始まります。。セッションキーは,通信の残りの部分を通してデータを暗号化する手段として機能します。
。ブラウザはサーバーの公開鍵を使用して暗号化し,プレマスターシークレットを介してサーバーに送信します。。RSA鍵交換アプローチの問題点は,攻撃者が将来の任意の時点でサーバーの秘密鍵をなんとか入手できた場合,攻撃者はセッション鍵を取得できるプレマスターシークレットを入手できることです。攻撃者がこのセッションキーを使用して,すべてのSSLカンバセーションを復号化できるようになりました。その結果,サーバーの盗まれた秘密キーを使用してセッションキーに到達し,保存された履歴カンバセーションも復号化される可能性があるため,以前にセキュリティで保護されていた履歴SSL通信はセキュリティで保護されなくなります。
。完全转发保密(PFS)を設定すると、この問題に対処できます。
pfs > > > > > > >
PFSは,クライアントとサーバがセッションごとに新しいキーについて合意し,このセッションキーの計算を秘密にしておくことで,過去のSSL通信を保護します。。セッションキーは両端で別々に派生し,ワイヤを介して転送されることはありません。。これらの事実により,誰かがサーバーの秘密鍵にアクセスできたとしても,セッション鍵に到達できないことが保証されます。。
这就是我的意思
PFS,。DHアルゴリズムは,ハッカーがサーバーの秘密キーを入手しても,ハッカーがセッションキーに到達できないようにします。その理由は,セッションキーと乱数(セッションキーに到達するために使用)は両端で秘密にされ,ネットワーク上で交換されることはないからです。PFSは,SSLセッションごとに新しい一時キーを作成するエフェメラルdiffie - hellmanキー交換を使用することで実現できます。
。。
Citrix ADCアプライアンスでPFSを構成する
PFS, DHE, ECDHE,。これらの暗号により,作成されたシークレットセッションキーがワイヤ上で共有されず(DHアルゴリズム),セッションキーが短時間だけ存続することが保証されます(エフェメラル)。★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
注:中文:。
这是一个非常好的例子
? ? ? ? ?
一个。[ssl] > []? ? ?
b。”迪菲·赫尔曼(DH“哇!哇!哇!”
注:2048。
SSL仮想サーバーのDH参数を有効にし,SSL仮想サーバーにDHキーを接続します。
一个。[][中文]
b. DH。
c。編集[au:]SSL[au:]DHパラメータを有効にする[au:]
。
一个。[][中文]
b。DHを有効にする仮想サーバーを選択し,鉛筆アイコンをクリックして編集します。
c。詳細設定}, [SSL密码[英文单词]中文单词[英文单词]好吧[中文:。
注:中文:。
【翻译
Ecc。
一个。[] > [] > []? ? ?
b. SSL, [ECC曲线> > > > > >バインドの追加[au:]
c.。
。
一个。[][中文]:我的意思是,我的意思是,我的意思是。
b。> [ssl[参考译文]バインド[au:]
注:。
注:それぞれのケースで,Citrix ADCアプライアンスが通信に使用する暗号をサポートしていることを確認します。
SSL
注:SSLプロファイルを使用してPFS(暗号またはECC)を設定するオプションは,11.0 64人。X。。
SSLプロファイルを使用してPFSを有効にするには,仮想サーバ上で直接設定するのではなく,SSLプロファイルで同様の設定(前の設定セクションで説明した)を実行する必要があります。
GUIを使用してSSLプロファイルを使用したPFSの設定
。
注:ECCカーブは,デフォルトですべてのSSLプロファイルに既にバインドされています。
一个。> [] > [ssl]> > > > > > > > > > > > > > > > > > > > > >
b. ECDHE。
SSL。
一个。[][中文]:中文,中文,中文,中文。
b.。
c。”OK”? ? ? ? ?完了“哇!哇!哇!”
SSL / / PFS / /
。
ECCカーブをSSLプロファイルにバインドします。
绑定sslprofile
-eccCurveName 。
bind sslprofile
cipherName 【中文】:。
set sslprofile
cipherName cipherPriority SSL。
set SSL vserver
sslProfile