SSL
SSLオフロードを構成するには,Citrix ADCアプライアンスでSSL処理を有効にし,SSLベースの仮想サーバーを構成する必要があります。仮想サーバはSSLトラフィックをインターセプトし,トラフィックを復号化し,仮想サーバにバインドされたサービスに転送します。メディアストリーミングなどの時間的制約のあるトラフィックを保護するために,迪泰仮想サーバーを構成できます。SSLを有効にするには、有効な証明書とキーをインポートし、そのペアを仮想サーバーにバインドする必要があります。
注
13.“”。x、TLSv1.2、TLSv1.2、TLSv1.2、TLSv1.2、TLSv1.2、TLSv1.2、TLSv1.2、TLSv1.2、TLSv1.2、TLSv1.2
- 【中文翻译】
ns_default_ssl_profile_internal_frontend_service
はSSL内部サービスにバインドされ,このプロファイルではSSLv3, TLSv1.0,およびTLSv1.1プロトコルは無効になります。- デフォルトプロファイルが有効になっていない場合,SSLv3, TLSv1.0,およびTLSv1.1プロトコルはSSL内部サービスパラメータで無効になります。
(SSL
SSL。SSL処理を有効にしなくても,仮想サーバやサービスなどのSSLベースのエンティティを設定できます。★★★★★★★★★★★★★★★
SSL
。
启用ns feature SSL显示ns feature
例:
启用ns feature SSL完成显示ns feature feature首字母缩略词状态------- ------- ------ 1)Web日志WL OFF 2)浪涌保护SP ON 3)负载均衡LB ON…9) SSL卸载SSL ON…NetScaler Push Push OFF完成
SSL的翻译结果
[[font =宋体]>[翻译]モードと機能] [au:]【翻译[au:]SSL[au:]
【翻译
Citrix ADCアプライアンスでは,サービスは物理サーバーまたは物理サーバー上のアプリケーションを表します。設定が完了すると、アプライアンスがネットワーク上の物理サーバに到達してそのステータスを監視できるようになるまで、サービスは無効状態になります。
i / i / i / i / i / i / i / ii
コマンドプロンプトで次のコマンドを入力してサービスを追加し,構成を確認します。
添加服务 ( | ) 显示服务
例:
add service sslsvc 198.51.100.225 SSL 443 Done sh SSL service sslsvc后端SSL高级配置sslsvc: DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: DISABLED会话重用:ENABLED超时:300秒Cipher重定向:DISABLED SSLv2重定向:DISABLED ClearText Port: 0 Server Auth: DISABLED SSL重定向:DISABLED非FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1:ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED发送关闭通知:YES严格签名摘要检查:DISABLED零RTT早期数据:??DHE密钥交换与PSK: ??每个身份验证的票上下文:??ECC曲线:P_256, P_384, P_224, P_521 1)密码名称:DEFAULT_BACKEND描述:后端SSL会话的默认密码列表Done
i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i
设置服务。これは添加服务コマンドと同様ですが,既存のサービスの名前を入力する点が異なります。
。\
Rm service
例:
Rm服务SSLSVC
サービスを変更するには,设置服务コマンドを使用し,任意のパラメータを選択してその設定を変更します。
set service ( | )
例:
设置服务sslsvc 198.51.100.225 SSL 443
GUIを使用してサービスを構成する
[> [] > [][英文单词]http://http://englishcn.englishcn.englishcn.englishcn.englishcn.englishcn.englishcn.englishcn.com
SSL
セキュアセッションでは,Citrix ADCアプライアンス上のクライアントとSSLベースの仮想サーバー間の接続を確立する必要があります。SSL仮想サーバは,SSLトラフィックをインターセプトし,復号化して処理してから,仮想サーバにバインドされたサービスに送信します。
注:有効な証明書/キーのペアと少なくとも1つのサービスがバインドされるまで,Citrix ADCアプライアンスではSSL仮想サーバーがダウンしているとマークされます。SSLベースの仮想サーバーは,プロトコルタイプがSSLまたはSSL_TCPの負荷分散仮想サーバーです。思杰ADC。
CLIを使用してSSLベースの仮想サーバーを追加します
コマンドプロンプトで次のコマンドを入力し,SSLベースの仮想サーバーを追加して構成を確認します。
add lb vserver (serviceType) show ssl vserver
例:
add lb vserver sslvs SSL 192.0.2.240 443 Done sh SSL vserver sslvs vserver SSL高级配置sslvs: DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: ENABLED刷新计数:0会话重用:ENABLED超时:120秒Cipher重定向:DISABLED SSLv2重定向:DISABLED ClearText Port: 0客户端认证:DISABLED SSL重定向:DISABLED非FIPS密码:DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS inclesubdomains: NO HSTS Max-Age: 0 SSLv2:DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Push Encryption Trigger: Always Send Close-Notify: YES Strict sign - digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO ticket Per Authentication Context: 1 ECC Curve: P_256, P_384, P_224, P_521 1) Cipher Name: DEFAULT Description:默认密码列表,加密强度>= 128bit Done
CLIを使用してSSLベースの仮想サーバを変更または削除する
SSL仮想サーバの負荷分散プロパティを変更するには,设置lb vserver
。设置为“”添加lb vserver
。SSL SSLプロパティを変更するには,设置SSL vserver
。★★★★★★このページの「SSL 仮想サーバーパラメーター」を参照してください。
SSL,全英文,全英文,<名称>
引数のみを受け入れるRm lb vserver
。
GUIを使用してSSLベースの仮想サーバを構成する
[> [] > [][英文]:http://www.qqqq.com, http://www.qqqq.com, http://www.qqqq.com
サービスのSSL仮想サーバーへのバインド
。データを転送するには,これらの物理サーバを表すサービスを,SSLデータを受信する仮想サーバにバインドする必要があります。
。。ただし,アプライアンスとサーバー間のデータ転送を暗号化することで,エンドツーエンド暗号化を提供できます。★★★★★★エンドツーエンド暗号化によるSSLオフロードの設定を参照してください。
注:SSLベースの仮想サーバーにサービスをバインドする前に,ADCアプライアンスで負荷分散機能を有効にしてください。
CLIを使用してサービスを仮想サーバーにバインドします
コマンドプロンプトで次のコマンドを入力して,サービスを仮想サーバーにバインドし,構成を確認します。
bind lb vserver show lb vserver
例:
bind lb vserver sslvs sslsvc Done sh lb vserver sslvs sslvs (192.0.2.240:443) - SSL Type: ADDRESS State: DOWN[Certkey not bound]最后一次状态更改时间:0天,00:13:21.150有效状态:DOWN客户端空闲超时:180秒DOWN状态刷新:ENABLED禁用主vserver On DOWN: DISABLED Appflow日志记录:ENABLED配置方法:LEASTCONNECTION BackupMethod: roundbin模式:IP持久化:无Vserver IP和端口插入:OFF Push: DISABLED Push Vserver: Push多客户端:NO Push标签规则:无L2Conn: OFF跳过持久化:无监听策略:无IcmpResponse:被动RHIstate:被动新业务启动请求速率:0 PER_SECOND,增量间隔:0 Mac模式保留Vlan: DISABLED DBS_LB: DISABLED Process Local: DISABLE流量域:1) sslsvc (198.51.100.225: 443) - SSL状态:DOWN权重:1完成
CLIを使用して仮想サーバからサービスをバインド解除する
。
unbind lb vserver
例:
解绑定lb vserver sslvs sslsvc——NeedCopy >
GUIを使用してサービスを仮想サーバーにバインドする
- [流量管理]>[负载均衡]>[虚拟服务器]这是一个很好的例子。
- , [[** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ****] ** ** *。
[負荷分散仮想サーバーサービスバインド[][**]の[クリックして選択* *]をクリックし,バインドするサービスの横にあるチェックボックスをオンにします。
- [選択]【翻译】バインド[au:
複数のサイトを安全にホストするためのサーバー名表示(SNI)仮想サーバーを構成する
仮想ホスティングは,同じIPアドレスを持つ複数のドメイン名をホストするためにWebサーバーによって使用されます。アプライアンスは,透過的なSSLサービスまたは仮想サーバベースのSSLオフロードを使用してWebサーバからSSL処理をオフロードすることにより,複数のセキュアドメインのホスティングをサポートします。ただし,複数のWebサイトが同じ仮想サーバーでホストされている場合は,想定されるホスト名が仮想サーバーに送信される前にSSLハンドシェイクが完了します。。ni - ni - ni - ni - ni - ni - ni - ni - ni - ni - ni - ni - ni - ni - ni - ni - niSNIは,クライアントがハンドシェイクの開始時にホスト名を提供するために使用するトランスポート層セキュリティ(TLS)拡張です。ADCアプライアンスはこのホスト名を共通名と比較し,一致しない場合はサブジェクト代替名(SAN)と比較します。。
ワイルドカードSSL証明書は,同じ組織がこれらのドメインを管理していて,第2レベルのドメイン名が同じ場合に,複数のサブドメインでSSL暗号化を有効にするのに役立ちます。たとえば,一般名“* .sports.net”を使用してスポーツネットワークに発行されたワイルドカード証明書は," login.sports.net "や“help.sports.net”などのドメインを保護するために使用できます。“。
注:Adc,圣。
-snicertオプションを使用すると,複数のサーバー証明書を1つのSSL仮想サーバーまたはトランスペアレントサービスにバインドできます。仮想サーバーまたはサービスでSNIが有効になっている場合,仮想サーバーまたはサービスはこれらの証明書を発行します。Sni, ni, ni, ni, ni, ni, ni。
1、SSL、
。
set ssl vserver @ [-SNIEnable (ENABLED | DISABLED)] bind ssl vserver @ -certkeyName -SNICert show ssl vserver
CLIを使用して複数のサーバ証明書を1つのトランスペアレントサービスにバインドするには,前述のコマンドをで服务vserver
服务名称vservername
> > > > >
注:-clearTextPort 80
。
GUIを使用して複数のサーバ証明書を1つのSSL仮想サーバにバインドする
- [流量管理]>[负载均衡]>[虚拟服务器]这是一个很好的例子。
- SSL, [証明書] [サーバー証明書[au:]
- 【中文】:[英文]Sni[au:]
- [詳細設定]で[SSL[au:]
- [Sni[au:]
バックエンドサービスでのSNIのサポート
注: sni, DTLS,。
Citrix ADCアプライアンスは,バックエンドでサーバー名表示(SNI)をサポートしています。;ハンドシェイクが正常に完了するために、共通名がクライアント hello のサーバ名としてバックエンドサーバに送信されます。このサポートは、連邦政府システムインテグレータのお客様のセキュリティ要件を満たすのに役立ちます。また、SNI には、ファイアウォールで数百もの異なる IP アドレスやポートを開くのではなく、1 つのポートしか使用できないという利点があります。
連邦システムインテグレーターのお客様のセキュリティ要件には,2012 r2およびWAPサーバーにおけるActive Directoryフェデレーションサービス(ADFS) 3.0のサポートが含まれます。この要件を満たすには,Citrix ADCアプライアンスのバックエンドでSNIをサポートする必要があります。
注:
SNIを機能させるには,クライアント你好のサーバ名が,SSL仮想サーバにバインドされたバックエンドサービスに設定されたホスト名と一致する必要があります。たとえば,バックエンドサーバーのホスト名がwww.mail.example.comの場合,SNI対応バックエンドサービスはサーバー名をhttps://www.mail.example.com。このホスト名は,クライアント你好のサーバ名と一致する必要があります。
バックエンドサービスでの動的SNIのサポート
Citrix ADCアプライアンスは,バックエンドTLS接続で動的SNIをサポートします。;アプライアンスはクライアント接続で SNI を学習し、サーバー側接続で SNI を使用します。SSL サービス、サービスグループ、またはプロファイルに共通名を指定する必要がなくなりました。Client Hello メッセージの SNI 拡張で受信した共通名は、バックエンド SSL 接続に転送されます。
以前は,SSLサービス,サービスグループ,およびSSLプロファイルに静的SNIを設定する必要がありました。【翻译】:。クライアントが同時に複数のドメインにアクセスする必要がある場合,ADCアプライアンスはクライアントから受け取ったSNIをバックエンドサービスに送信できませんでした。★★★★★★★★★★★★★★★バックエンドサーバが複数のドメインに対して設定されている場合、サーバは、アプライアンスからの Client Hello メッセージで受信した SNI に基づいて、正しい証明書で応答できます。
注意点:
フロントエンドでSNIを有効にし,正しいSNI証明書をSSL仮想サーバーにバインドする必要があります。。
サーバ認証を有効にすると,サーバ証明書がCA証明書によって検証され,サーバ証明書のコモンネーム/圣エントリがSNIと照合されます。。
ダイナミックSNIが有効な場合,バックエンド接続とSSLセッションの再利用はSNIに基づきます。
ssl。SNIベースのプロービングでは,静的SNIが設定されているバックエンドプロファイルをSSLモニターにアタッチします。。
CLIを使用してバックエンドサービスでSNIを設定する
。
add service add lb vserver bind lb vserver set ssl service -SNIEnable ENABLED -commonName set ssl profile -SNIEnable ENABLED
例:
添加服务service_ssl 198.51.100.100 SSL 443添加lb vserver SSL -vs 203.0.113.200 SSL 443绑定lb vserver SSL -vs service_ssl设置SSL服务service_ssl -SNIEnable ENABLED -commonName www.example.com设置SSL配置文件sslprof -SNIEnable ENABLED
GUIを使用してバックエンドサービスでSNIを設定する
- [流量管理]>[负载均衡]>[服务]这是一个很好的例子。
- [}}詳細設定] [SSL[au:]
[Sni[au:]
GUIを使用してSSLプロファイルでSNIを設定する
- < < SSL > > > > > > > > > > > > >。
- [追加]。
[基本設定]で[Sni[au:]
- (好的)。
セキュアモニタをSNI対応バックエンドサービスにバインドする
HTTP、HTTP-ECV TCP、またはTCP-ECVタイプのセキュアモニタを,SNIをサポートするバックエンドサービスおよびサービスグループにバインドできます。。SNIプローブを送信するには,バックエンドSSLプロファイルで静的SNIを有効にし,プロファイルをモニタにバインドします。モニタのカスタムヘッダーを,モニタプローブの客户你好でSNI拡張として送信されるサーバ名に設定します。
i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i
。
add lb monitor -secure YES添加ssl配置文件 -sslProfileType后端设置lb monitor -customHeaders -sslprofile < BackEnd sslprofile >设置ssl配置文件 -sniEnable ENABLED -commonName 绑定服务 -monitorName
例:
添加ssl配置文件sni_backend_profile -sslProfileType后端设置ssl配置文件sni_backend_profile -sniEnable ENABLED -commonName example.com添加lb monitor HTTP-ECV -mon HTTP-ECV -secure YES set monitor HTTP-ECV -mon HTTP-ECV -customHeaders "Host: example.com\r\n" -sslprofile sni_backend_profile绑定服务ssl_service -monitorName HTTP-ECV -mon
GUIを使用して,セキュアモニタを構成し,SNI対応バックエンドサービスにバインドする
- < < SSL > > > > > > > > > > > > >。
- [追加]。
【中文译文】SSL ! ! ! ! ! !] [バックエンド[au:]
(SNI启用[au:]
- (好的)。
- トラフィック管理>負荷分散>監視に移動します。
- [追加]。
- 。[加油![http], [http - ecv], [tcp], [tcp], [tcp - ecv]。
カスタムヘッダーを指定します。
- [安全[au:]
- [SSL[中文][中文][中文][中文]
(创建)。
- [流量管理]>[负载均衡]>[服务]这是一个很好的例子。
- [}}編集[au:]
[モニター}, [バインドの追加> > > > > > > > > > > > > > > > >バインド[au:]
GUIを使用してセキュアモニタを構成し,SNI対応バックエンドサービスにバインドする
- 【翻译>負荷分散>哇,哇。
- Http-ecvTCP-ECV**[中文]
- [作成]? ? ? ?
- 【翻译] > [負荷分散] > [乙:乙:乙[中文]
- [}}編集[au:]
- [モニター] [バインドの追加> > > > > > > > > > > > > > > > > > >バインド[au:]
証明書とキーのペアを追加または更新する
哎哟!
既存の証明書とキーがない場合は,”英文释义”(英文)。
【中文翻译】ECDSA証明書とキーのペアの作成[au:]
41。X, 63个英文单词:。
【翻译】xからは,パスワードで保護された証明書とキーのペアが常に正常に追加されます。以前は,Citrix ADCアプライアンスで強力なパスワードオプションを有効にすると,パスワードで保護された証明書とキーのペアが追加されないことがありました。。また,証明書とキーのペアの硝基APIレスポンスでは,
passplain
変数ではなくpasscrypt
【中文】:
SSLトランザクションの場合,サーバーには有効な証明書と,対応する秘密鍵と公開鍵のペアが必要です。。。。sslとキーのペアの追加時に使用される秘密キーのパスワードは、Citrix ADCアプライアンスごとに一意の暗号化キーを使用して保存されます。
Adc。したがって,サーバの証明書と秘密キーがアプライアンスに存在し,証明書が対応する秘密キーとペアになっている必要があります。この証明書とキーのペアは,SSLトランザクションを処理する仮想サーバーにバインドする必要があります。
注:Citrix ADC。512。11.0リリースにアップグレードした後,“ns - - - - - -”
で始まる古い証明書とキーのペアをすべて削除し,アプライアンスを再起動して2048ビットのデフォルト証明書を自動的に生成する必要があります。
証明書とキーの両方をアプライアンスに追加するには,Citrix ADCアプライアンスのローカルストレージに存在する必要があります。証明書またはキーファイルがアプライアンス上にない場合は、ペアを作成する前に証明書またはキーファイルをアプライアンスにアップロードします。
重要:。証明書またはキーが他の場所に保存されている場合は、Citrix ADCアプライアンス上のファイルへの絶対パスを指定する必要があります。Citrix ADC FIPSアプライアンスは外部キー(非FIPSキー)をサポートしていません。FIPS アプライアンスでは、ハードディスクやフラッシュメモリなどのローカルストレージデバイスからキーをロードすることはできません。FIPS キーは、アプライアンスのハードウェアセキュリティモジュール (HSM) に存在する必要があります。
Citrix ADCアプライアンスではRSAキーのみがサポートされています。
。
Citrix ADCアプライアンスは,証明書と秘密キーファイルの次の入力形式をサポートしています。
- pem -
- 中文:der -就是了
- pfx -
。。。。
注:。
- MD5
- sha - 1
- sha - 224
- sha - 256
- sha - 384
- sha - 512
MPX。
- 仮想サーバー上の4096ビットサーバー証明書
- 4096年サービス上のビットのクライアント証明書
- 4096年ビットCA証明書(中間証明書とルート証明書を含む)
- バックエンドサーバー上の4096ビット証明書
- 4096年ビットのクライアント証明書(仮想サーバーでクライアント認証が有効になっている場合)
vpx。
- 仮想サーバー上の4096ビットサーバー証明書
- 4096年サービス上のビットのクライアント証明書
- 4096年ビットCA証明書(中間証明書とルート証明書を含む)
- バックエンドサーバー上の4096ビット証明書
- 4096年ビットのクライアント証明書(仮想サーバーでクライアント認証が有効になっている場合)
13.“”。x以降,すべてのCitrix ADCプラットフォームは,RSASSA-PSSアルゴリズムを使用して署名された証明書をサポートします。x.509。次の表は,Citrix ADCアプライアンスでサポートされるRSASSA-PSSパラメーターセットを示しています。
oid | (mgf) | mgf | シグネチャダイジェスト関数 | 塩の長さ |
---|---|---|---|---|
RSAEncryption | MGF1 | sha - 256 | sha - 256 | 32 |
RSAEncryption | MGF1 | sha - 384 | sha - 384 | 48 |
RSAEncryption | MGF1 | sha - 512 | sha - 512 | 64 |
注
Citrix ADC对有关アプライアンスは,512ビット以上の証明書をサポートします。アプライアンスでホストされている各Citrix ADC VPXインスタンスは,VPX仮想アプライアンスの前述の証明書サイズをサポートします。ただし,SSLチップがインスタンスに割り当てられている場合,そのインスタンスはMPXアプライアンスでサポートされる証明書サイズをサポートします。
CLIを使用した証明書とキーのペアの追加
コマンドプロンプトで次のコマンドを入力して,証明書とキーのペアを追加し,構成を確認します。
add ssl certKey -cert [(-key [-password]) | -fipsKey ] [-inform (DER | PEM)] [] [-expiryMonitor (ENABLED | DISABLED)] [-notificationPeriod ]] show ssl certKey []
例:
添加ssl certKey sslkey -cert server_cert。Pem -key server_key。pem -password ssl -expiryMonitor ENABLED -notificationPeriod 30 Done注:对于FIPS设备,将-key替换为-fipskey show ssl certKey sslkey Name: sslkey Status: Valid, Days to expiration:8418 Version: 3 Serial Number: 01签名算法:md5WithRSAEncryption Issuer: C=US,ST=SJ,L=SJ,O=NS,OU=NSSSL,CN=www.root.com有效期Not Before: Jul 15 02:25:01 2005 GMT Not After: Nov 30 02:25:01 2032 GMT主题:C=US,ST=SJ,L=SJ,O=NS,OU=NSSSL,CN=www.server.com公钥算法:rsa加密公钥大小:2048完成
CLIを使用して証明書とキーのペアを更新または削除する
証明書とキーのペアの有効期限モニタまたは通知期間を変更するには,设置SSL证书密钥
。証明書とキーのペアの証明書またはキーを置き換えるには、更新SSL证书密钥
。更新SSL证书密钥
。。SSL証明書とキーのペアを削除するには,Rm SSL证书
。我是说< certkeyName >
整整整整整整。
例:
set ssl certKey [-expiryMonitor (ENABLED | DISABLED) [-notificationPeriod ]] update ssl certKey [-cert [-password]] [-key | -fipsKey ] [-inform ] [-noDomainCheck]
GUIを使用して証明書とキーのペアを追加または更新する
トラフィック管理> SSL >証明書>サーバに移動します。
次のパラメータの値を入力し,(安装[au:]
。
“”“”“”“”“”“”
[关键文件名称]:証明書とキーのペアを形成するために使用される秘密キーファイルの名前と,オプションでパスです。
証明書とキーのペアをSSL仮想サーバーにバインドする
英文:。“我的意思是,我的意思是,”証明書のチェーンを作成する”(英文)。
SSLトランザクションの処理に使用される証明書は,SSLデータを受信する仮想サーバーにバインドする必要があります。SSLデータを受信する仮想サーバが複数ある場合は,有効な証明書とキーのペアをそれぞれにバインドする必要があります。
Citrix ADCアプライアンスにアップロードした有効な既存のSSL証明書を使用します。。アプライアンスでFIPSキーを使用して作成された中間証明書は,SSL仮想サーバーにバインドできません。
SSLハンドシェイク中,クライアント認証中の証明書要求メッセージに,サーバはサーバにバインドされているすべての認証局(CA)の識別名(DN)を一覧表示します。。特定のCA証明書のDN名をSSLクライアントに送信したくない場合は,skipCA
。この設定は,特定のCA証明書の識別名をSSLクライアントに送信してはならないことを示します。
“我的意思是,我的意思是我的意思。”英文释义”(英文)。
英文单词:。
CLIを使用してSSL証明書とキーのペアを仮想サーバにバインドする
コマンドプロンプトで次のコマンドを入力して,SSL証明書とキーのペアを仮想サーバーにバインドし,構成を確認します。
- bind ssl vserver - certkeyname < certificatekeypairname > - ca - skipcaname - show ssl vserver
例:
bind ssl vs vs1 -certkeyName cert2 -CA -skipCAName Done sh ssl vs vs1 vs1高级ssl配置:DH: DISABLED Ephemeral RSA: ENABLED刷新计数:0会话重用:ENABLED超时:120秒Cipher重定向:DISABLED SSLv2重定向:DISABLED ClearText Port: 0 Client Auth: DISABLED ssl重定向:DISABLED非FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS: DISABLED inclesubdomains: NO HSTS Max-Age: 0 SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1:DISABLED TLSv1.2: DISABLED Push Encryption Trigger: Always Send Close-Notify: YES Strict sign - digest Check: DISABLED ECC Curve: P_256, P_384, P_224, P_521 1) CertKey Name: cert1 CA Certificate OCSPCheck:可选CA_Name Sent 2) CertKey Name: cert2 CA Certificate OCSPCheck:可选CA_Name skip 1) Cipher Name: DEFAULT Description:默认加密强度>= 128bit Done
CLIを使用してSSL証明書とキーのペアを仮想サーバからバインド解除する
解除绑定ssl certKey
コマンドを使用して証明書とキーのペアを仮想サーバからバインド解除しようとすると,エラーメッセージが表示されます。中文:。。
解除绑定ssl vserver -certkeyName
例:
unbind ssl vserver vssl -certkeyName sslkey
GUIを使用してSSL証明書とキーのペアを仮想サーバにバインドする
[> [] > [][英语单词][英文单词][証明書[au:][中文]
。
。
。サーバー証明書を SNI 証明書として追加するには、SNI【翻译[au:]
SSL (SSL)
SSL,。SSLでは、これらのパラメータの多くを設定することもできます。SSL プロファイルで設定できるパラメータの詳細については、SSL。
CLIを使用したSSL仮想サーバーのパラメータの設定
。
set ssl vserver @ [-clearTextPort ] [-dh (ENABLED |DISABLED) -dhFile ] [-dhCount ][-dhKeyExpSizeLimit (ENABLED |DISABLED)] [-eRSA (ENABLED |DISABLED)] [-eRSACount ]] [-sessReuse (ENABLED |DISABLED)] [-sessTimeout ]] [-cipherRedirect (ENABLED |DISABLED)[-cipherURL ]] [-sslv2Redirect (ENABLED |DISABLED)[-sslv2URL ]] [-clientAuth (ENABLED |DISABLED)] [-clientCert(必选|可选)]][-sslRedirect(启用|禁用)][-redirectPortRewrite(启用|禁用)][-ssl2(启用|禁用)][-ssl3(启用|禁用)][-tls1(启用|禁用)][-tls11(启用|禁用)][-tls12(启用|禁用)][-tls13(启用|禁用)][-SNIEnable(启用|禁用)][-ocspStapling(启用|禁用)][-pushEncTrigger < pushEncTrigger >] [-sendCloseNotify(是的|不)][-dtlsProfileName <字符串>][-sslProfile <字符串>][-HSTS(启用|禁用[-maxage ] [- inclesubdomains (YES | NO)][-strictSigDigestCheck (ENABLED | DISABLED)][-zeroRttEarlyData (ENABLED | DISABLED)][-tls13SessionTicketsPerAuthContext ] [-dheKeyExchangeWithPsk (YES | NO)]
迪菲-海尔曼公司(DH)
SSLトランザクションを設定するためにDHキー交換を必要とする暗号をアプライアンスで使用するには,アプライアンスでDHキーエクスチェンジを有効にします。。
CLIを使用してDHパラメータを設定する必要がある暗号の一覧を表示するには,sh密码DHと入力します。
,[ssl] > [][翻译]DH[au:]。
★★★★★★★★★★★★★diffie - hellman (DH)キーの生成を参照してください。
h
コマンドプロンプトで次のコマンドを入力してDHパラメータを構成し,構成を確認します。
- ' set ssl vserver -dh
例:
set ssl vserver vs-server -dh ENABLED -dhFile /nsconfig/ssl/ns-server。cert -dhCount 1000 Done show ssl vserver vs-server ssl高级配置:DH: ENABLED Ephemeral RSA: ENABLED Refresh Count: 1000 Session Reuse: ENABLED Timeout: 120秒Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS inclesubdomains: NO HSTS Max-Age: 0 SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.2:启用TLSv1.2:启用1)密码名称:DEFAULT描述:预定义密码别名完成
GUIを使用してDHパラメータを設定する
- [> [] > [][中文]:通达通达,通达通达。
- [SSL[au:]DH参数[中文]:。
rsa
短暂的RSAを使用すると,サーバー証明書がエクスポートクライアント(1024ビット証明書)をサポートしていない場合でも,エクスポートクライアントはセキュアサーバーと通信できます。エクスポートクライアントがセキュアWebオブジェクトまたはリソースにアクセスできないようにするには,エフェメラルRSAキー交換を無効にする必要があります。
デフォルトでは,この機能はCitrix ADCアプライアンスで有効になっており,更新カウントはゼロ(無限使用)に設定されています。
注:
エクスポート暗号をSSLまたはTCPベースのSSL仮想サーバーまたはサービスにバインドすると,エフェメラルRSAキーが自動的に生成されます。。後で別のエクスポート暗号がSSLまたはTCPベースのSSL仮想サーバーまたはサービスにバインドされるときに再利用されます。。
i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i
。
set ssl vserver -eRSA (enabled | disabled) -eRSACount show ssl vserver
例:
set ssl vserver vs-server -eRSA ENABLED -eRSACount 1000 Done show ssl vserver vs-server ssl高级配置:DH: DISABLED Ephemeral RSA: ENABLED Refresh Count: 1000 Session Reuse: ENABLED Timeout: 120秒Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS inclesubdomains: NO HSTS Max-Age: 0 SSLv2: DISABLED SSLv3:启用TLSv1.0:启用TLSv1.2:启用TLSv1.2:启用TLSv1.2:启用1)密码名称:DEFAULT描述:预定义密码别名完成
GUIを使用してエフェメラルRSAを構成する
- [> [] > [][中文]:通达通达,通达通达。
- [SSL[au:]这是一个很好的例子[中文]:[中文]:
这是真的吗
SSLトランザクションの場合,初期SSLハンドシェイクを確立するには,CPUを集中的に使用する公開キー暗号化操作が必要です。ほとんどのハンドシェイク操作は,SSLセッションキー(クライアントキー交換メッセージ)の交換に関連付けられています。クライアントセッションがしばらくアイドル状態になってから再開されると,通常,SSLハンドシェイクが最初からやり直されます。セッション再利用を有効にすると,クライアントから受け取ったセッション再開要求に対するセッション鍵の交換が回避されます。
Citrix ADC。この機能を有効にすると,サーバーの負荷が軽減され,応答時間が短縮され,サーバーがサポートできる1秒あたりのSSLトランザクション(TPS)の数が増加します。
i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i
コマンドプロンプトで次のコマンドを入力して,セッションの再利用を構成し,構成を確認します。
set ssl vserver -sessReuse (ENABLED | DISABLED) -sessTimeout show ssl vserver
例:
set ssl vserver vs-ssl -sessreuse enabled -sesstimeout 600 Done show ssl vserver vs-ssl高级ssl配置:DH: DISABLED Ephemeral RSA: enabled Refresh Count: 1000 Session Reuse: enabled Timeout: 600秒Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS inclesubdomains: NO HSTS Max-Age: 0 SSLv2: DISABLED SSLv3:ENABLED TLSv1.0: ENABLED TLSv1.2: ENABLED TLSv1.2: ENABLED 1) CertKey名称:Auth-Cert-1服务器证书1)Cipher名称:DEFAULT描述:预定义的密码别名Done
GUIを使用してセッションの再利用を構成する
- [> [] > [][中文]:通达通达,通达通达。
- [SSL[au:]セッション再利用を有効にする[中文]:。
SSL:刷卡机
Citrix ADCアプライアンスは,SSLv3, TLSv1, TLSv1.1,およびTLSv1.2プロトコルをサポートしています。これらの各プロトコルは,導入環境およびアプライアンスに接続するクライアントのタイプに応じて,アプライアンス上で設定できます。
TLSプロトコルバージョン1.0,1.1,および1.2は,古いバージョンのTLS / SSLプロトコルよりも安全性が高くなっています。ただし,レガシーシステムをサポートするために,多くのTLS実装ではSSLv3プロトコルとの下位互換性が維持されています。SSLハンドシェイクでは,Citrix ADCアプライアンスで構成されたクライアントとSSL仮想サーバーに共通する最新のプロトコルバージョンが使用されます。
最初のハンドシェイク試行では,TLSクライアントはサポートしている最も高いプロトコルバージョンを提供します。。たとえば,TLSバージョン1.1のハンドシェイクが成功しなかった場合,クライアントはTLSv1.0プロトコルを提供して再ネゴシエーションを試みます。★★★★★★★★★★★★★★★★★★★★★★★★★★★★“中间人”(MITM)攻撃者は,最初のハンドシェイクを破り,SSLv3プロトコルとの再ネゴシエーションをトリガーし,SSLv3の脆弱性を悪用する可能性があります。このような攻撃を軽減するには,SSLv3を無効にするか,ダウングレードされたプロトコルを使用した再ネゴシエーションを許可しないようにします。。別の方法として,クライアント要求内のシグナリング暗号スイート値(TLS_FALLBACK_SCSV)を認識する方法があります。
クライアントの你好メッセージのTLS_FALLBACK_SCSV値は,クライアントが以前に上位のプロトコルバージョンで接続しようとしたことがあり,現在の要求がフォールバックであることを仮想サーバーに示します。仮想サーバがこの値を検出し,クライアントが指定したバージョンよりも新しいバージョンをサポートしている場合,接続は拒否され,致命的な警告が表示されます。。
- ,。
- クライアント你好のプロトコルバージョンは,仮想サーバでサポートされる最も高いプロトコルバージョンです。
CLIを使用してSSLプロトコルサポートを設定する
コマンドプロンプトで次のコマンドを入力してSSLプロトコルサポートを構成し,構成を確認します。
set ssl vserver -ssl2 (ENABLED | DISABLED) -ssl3 (ENABLED | DISABLED) -tls1 (ENABLED | DISABLED) -tls11 (ENABLED | DISABLED) -tls12 (ENABLED | DISABLED) show ssl vserver
例:
set ssl vserver vs-ssl -tls11 ENABLED -tls12 ENABLED Done sh ssl vs vs-ssl vserver vs-ssl高级ssl配置:DH: DISABLED Ephemeral RSA: ENABLED刷新计数:0会话重用:ENABLED超时:120秒Cipher重定向:DISABLED SSLv2重定向:DISABLED ClearText Port: 0客户端认证:DISABLED ssl重定向:DISABLED非FIPS Cipher: DISABLED SNI: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED总是发送关闭通知:是1绑定证书:1)CertKey名称:mycert服务器证书1配置密码:1)密码名称:DEFAULT描述:预定义密码别名完成
GUIを使用してSSLプロトコルサポートを構成する
- [> [] > [][中文]:通达通达,通达通达。
- [SSL[中文][中文][中文]
我很喜欢你
。。。。
グローバル設定に加えて,close-notifyパラメータを仮想サーバ,サービス,またはサービスグループレベルで設定できます。したがって1つのエンティティに対してパラメータを設定し,別のエンティティに対してはパラメータを設定解除できる柔軟性があります。。。
中文:
コマンドプロンプトで,次のいずれかのコマンドを入力してclose-notify機能を構成し,構成を確認します。
- 。
set ssl vserver -sendCloseNotify (YES | NO) show ssl vserver
- 。
设置ssl服务 -sendCloseNotify (YES | NO)显示ssl服务
- 。
set ssl serviceGroup -sendCloseNotify (YES | NO) show ssl serviceGroup
例:
set ssl vserver sslvsvr -sendCloseNotify YES Done
GUIを使用してエンティティレベルでクローズ通知機能を設定する
- [> [] > [][中文]:通达通达,通达通达。
- [SSL[au:]【中文译文[au:]
グローバルSSLパラメータ
SSL,。设置SSL参数
。
- 。
- CRL。
- Ocsp。
- SSL:
- 復号化されたレコード,暗号化されたレコード,またはすべてのレコードに推动フラグを設定します。
- クライアントが1つのドメインに対してハンドシェイクを開始し,別のドメインに対してHTTP要求を送信した場合は,要求をドロップします。
- 。【翻译】
设置SSL vserver
。 - NDCPP準拠証明書チェック——アプライアンスがクライアント(バックエンド接続)として動作する場合に適用されます。SSL (secure sockets layer), SSL (secure sockets layer)。
- 14000年MPXなどのCaviumチップベースのアプライアンスの異種クラスタと,パケットエンジンの数が異なるMPX 15000アプライアンスなどの英特尔Coletoチップベースのアプライアンスを有効にします。【翻译】)。
- バックエンドで安全な再ネゴシエーションを有効にします(リリース1.0ビルド58. xからサポートが追加されました)。
- SSL 13.0 58。()。
CLIを使用してグローバルSSLパラメータを設定する
。
ssl参数设置(-quantumSize < quantumSize >] [-crlMemorySizeMB < positive_integer >] [-strictCAChecks(是的|不)][-sslTriggerTimeout < positive_integer >] [-sendCloseNotify(是的|不)][-encryptTriggerPktCount < positive_integer >] [-denySSLReneg < denySSLReneg >] [-insertionEncoding (Unicode | utf - 8)] [-ocspCacheSize < positive_integer >] [- pushFlag < positive_integer >] [- dropReqWithNoHostHeader(是的|不)][-pushEncTriggerTimeout < positive_integer >] [-ndcppComplianceCertCheck(是的|不)][-heterogeneousSSLHW (ENABLED | DISABLED)]显示ssl参数
例:
ssl参数设置-quantumSize 256 -crlMemorySizeMB -strictCAChecks没有-ssltriggerTimeout 100 -sendClosenotify -encryptTriggerPktCount 45 -denySSLReneg不-insertionEncoding unicode -ocspCacheSize 10 -pushFlag 3 -dropReqWithNoHostHeader是的-pushEncTriggerTimeout 100 ms -ndcppComplianceCertCheck完成ssl参数展示先进的ssl参数 ----------------------- SSL量子尺寸:8 KB马克斯CRL内存大小:256 MB严格CA检查:没有加密触发超时:100发送Close-Notify女士:没有加密触发包数:45否认SSL重新谈判:安全主题上/发行人名称插入格式:Unicode OCSP缓存大小:10 MB推动国旗:0 x3(每个解密和加密记录)严格的主机头检查SNI启用SSL会话:是的推动加密触发超时:100 ms加密设备禁用限制:0全球undef行动控制策略:CLIENTAUTH全球undef行动数据政策:无操作默认的配置:禁用SSL证书头插入空间:YES禁用SSL_BRIDGE安全监视器的TLS 1.1/1.2: NO禁用动态和VPN业务的TLS 1.1/1.2: NO软件加密加速CPU阈值:0混合FIPS模式:禁用TLS1.2支持的签名和哈希算法:所有SSL拦截错误学习和缓存:禁用SSL拦截最大错误缓存内存:0字节NDCPP合规证书检查:YES异构SSL HW (Cavium和Intel基于):启用完成
GUIを使用してndCPP準拠証明書チェックを構成する
[[font =宋体][英文]設定][SSL (SSL[au:]
[NDCPP準拠証明書チェック]? ? ? ?(好的)。
Citrix ADCアプライアンスのバックエンドでの安全な再ネゴシエーションのサポート
注:★★★★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆* * * * * * * * *。以前のリリースおよびビルドでは,非セキュアな再ネゴシエーションのみがバックエンドでサポートされていました。
中文:。•VPX•N2またはN3チップを含むMPXプラットフォーム•インテルColeto SSLチップベースのプラットフォーム
。
。;denySSLReneg
。
バックエンドでセキュアな再ネゴシエーションを許可するには,次のいずれかのdenySSLReneg
。
- いいえ
- FRONTEND_CLIENT
- FRONTEND_CLIENTSERVER
- 不安全的
CLIを使用してセキュアな再ネゴシエーションを有効にする
。
设置ssl参数-denySSLReneg
例:
ssl参数设置-denySSLReneg不做sh ssl参数先进ssl参数 ----------------------- SSL量子尺寸:8 KB马克斯CRL内存大小:256 MB严格CA检查:没有加密触发超时:100发送Close-Notify女士:是的加密触发包数:45否认SSL重新谈判:安全主题上/发行人名称插入格式:Unicode OCSP缓存大小:10 MB推动国旗:0 x0(汽车)严格的主机头检查SNI启用SSL会话:NO匹配HTTP主机头SNI: CERT推送加密触发超时:1毫秒加密设备禁用限制:0控制策略全局不定义:CLIENTAUTH数据策略全局不定义:NOOP默认配置文件:ENABLED SSL在证书头插入空间:YES SSL_BRIDGE安全监控禁用TLS 1.1/1.2: NO禁用动态和VPN业务TLS 1.1/1.2: NO软件加密加速CPU阈值:0混合FIPS模式:禁用TLS1.2支持的签名和哈希算法:所有SSL拦截错误学习和缓存:禁用SSL拦截最大错误缓存内存:0字节NDCPP合规证书检查:无异构SSL硬件(基于Cavium和Intel):禁用加密操作队列限制:150%完成
GUIを使用してセキュアな再ネゴシエーションを有効にする
- [[ssl] > [ssl] > [ssl] > [ssl[中文]
[SSL:[中文]所有的,所有的
アダプティブSSLトラフィック制御
注:★★★★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆* * * * * * * * *。
アプライアンスで大量のトラフィックが受信され,暗号アクセラレーションキャパシティがいっぱいになると,アプライアンスは後で処理するために接続のキューイングを開始します。現在,このキューのサイズは64 Kに固定されており,この値を超えるとアプライアンスは接続のドロップを開始します。
【翻译】X,。この機能強化により,キュー内の要素の数が,適応的かつ動的に計算された制限を超えると,アプライアンスは新しい接続をドロップします。このアプローチは,着信SSL接続を制御し,アプライアンスでの過剰なリソース消費やその他の障害(負荷分散モニタリングの障害やセキュアなアプリケーションへの応答の遅延など)を防止します。
。キューが空でない場合,暗号システムは容量に達しており,アプライアンスは接続のキューイングを開始します。
。
- 。
- 。。
たとえば,アプライアンスの実際のキャパシティが1秒あたり1000オペレーションで,デフォルトのパーセンテージが設定されている場合,アプライアンスが接続を切断するまでの制限は1500(1000の150%)です。
CLIを使用してオペレーションキュー制限を設定するには
。
设置ssl参数-operationQueueLimit
运行队列限制:。★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★:150。最小値:0。1万!
GUIを使用して操作キュー制限を設定するには
- [[font =宋体][中文]
- [設定}, [SSL (SSL[au:]
- [操作キューの制限[中文]。
(好的)。
★★★★★★
【翻译】xから,SSLパラメータ”異機種間SSL HW”を“启用”に設定することで,異なる数のパケットエンジンでCitrix ADC MPXアプライアンスの異機種混在クラスタ展開を形成できます。たとえば,Caviumチップベースのアプライアンス(14000年MPXまたは同様のもの)と英特尔Coletoチップベースのアプライアンス(15000年MPXまたは同様のもの)のクラスタを形成するには,SSLパラメータ”異種SSL HW”を有効にします。同じチップを使用してプラットフォームのクラスタを形成するには,このパラメータのデフォルト値(残疾人)を維持します。
哎哟!
。
- Citrix ADC SDX。
- 仮想サーバー,サービス,サービスグループ,内部サービスなどのSSLエンティティに対するSSLv3プロトコル。
- ソフトウェア暗号加速CPUしきい値(ハードウェアとソフトウェアを使用してECDSAおよびECDHE暗号のパフォーマンスを向上させます)。
中文:
。
设置ssl参数-异构sslhw ENABLED
GUIを使用した異機種混在クラスタの有効化
- [[font =宋体][英文]設定][SSL (SSL[au:]
[★★★★★★★[au:](好的)。
按下
。
- PSHフラグが設定された連続したパケットを1つのSSLレコードにマージするか,PSHフラグを無視します。
设置ssl参数-pushEncTriggerTimeout
。
CLIを使用して推动フラグベースの暗号化を設定する
コマンドプロンプトで次のコマンドを入力して推动フラグベースの暗号化を構成し,構成を確認します。
set ssl vserver [-pushEncTrigger ] show ssl vserver
例:
set ssl vserver vserver1 -pushEncTrigger always Done sh ssl vserver vserver1的ssl高级配置:DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: ENABLED刷新计数:0会话重用:ENABLED超时:120秒Cipher重定向:DISABLED SSLv2重定向:DISABLED ClearText Port: 0客户端认证:DISABLED ssl重定向:DISABLED非FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS包括:NO HSTS Max-Age: 0 SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Push Encryption Trigger: Always Send Close-Notify: YES Strict sign - digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO ticket Per Authentication Context: 1 ECC Curve: P_256, P_384, P_224, P_521 1) Cipher Name: DEFAULT Description:默认密码列表,加密强度>= 128bit Done
GUIを使用して推动フラグベースの暗号化を構成する
- [> [] > [][英语单词][英文单词]
- [SSL] [au:]按一下[中文]
TLS1.2署名ハッシュアルゴリズムのサポート
Citrix ADC。
SSLハンドシェイクでは,クライアントは,サポートされている署名ハッシュアルゴリズムのリストを送信します。クライアントは,“signature_algorithm拡張を使用して,SSLハンドシェイクメッセージ(犁式と闭路)でどのシグニチャハッシュアルゴリズムペアを使用できるかをサーバに指示します。この拡張モジュールの”拡張データ”フィールドには,クライアントの你好メッセージに”サポートされた署名のアルゴリズム”値が含まれています。SSLハンドシェイクは,サーバがこれらのシグニチャハッシュアルゴリズムのいずれかをサポートしている場合に処理されます。。
同様に,サーバーがクライアント認証のためにクライアント証明書を要求した場合,証明書要求メッセージには“supported_signature_algorithmsの値が含まれます。。
注:
Citrix ADCアプライアンスは,クライアントに対してはサーバーとして,バックエンドサーバーに対してはクライアントとして機能します。
このアプライアンスは,フロントエンドではRSA-SHA1とRSA-SHA256のみをサポートし,バックエンドではRSA-MD5, RSA-SHA1, RSA-SHA256のみをサポートします。
MPX /有关VPXアプライアンスは,次の署名ハッシュの組み合わせをサポートしています。对有关アプライアンスでは,SSLチップがVPXインスタンスに割り当てられている場合,MPXアプライアンスの暗号サポートが適用されます。。
- vpx。
- RSA-MD5
- RSA-SHA1
- RSA-SHA224
- RSA-SHA256
- RSA-SHA384
- RSA-SHA512
- N3。
- RSA-MD5
- RSA-SHA1
- RSA-SHA224
- RSA-SHA256
- RSA-SHA384
- RSA-SHA512
- ECDSA-SHA1
- ECDSA-SHA224
- ECDSA-SHA256
- ECDSA-SHA384
- ECDSA-SHA512
。。
set ssl parameter -sigDigestType Parameters sigDigestType设备支持的签名摘要算法。平台决定默认支持的算法列表。VPX平台:RSA- md5 RSA- sha1 RSA- sha224 RSA- sha224 RSA-SHA256 RSA- sha384 RSA-SHA512 N3卡的MPX平台:RSA- md5 RSA- sha1 RSA- sha224 RSA-SHA256 RSA- sha384 RSA-SHA512其他MPX平台:RSA- md5 RSA- sha1 RSA- sha224 RSA-SHA256 RSA- sha384 RSA-SHA512。set ssl parameter -sigDigestType RSA-SHA224 RSA-SHA256 RSA-SHA384 RSA-SHA512
【中文译文
RFC 5246によると,ピア証明書は客户你好拡張に含まれる署名ハッシュアルゴリズムのいずれかを使用して署名される必要があります。strictSigDigestCheck
。★★★★★★★★★★★★★★★★★★★★★strictSigDigestCheck
を有効にすると,アプライアンスは客户你好拡張機能に記載されているシグニチャハッシュアルゴリズムのいずれかによって署名された証明書を返します。。。
SSL仮想サーバおよびサービスでは,厳密なシグニチャダイジェストチェックを設定できます。SSL仮想サーバーでこのパラメーターを有効にする場合,サーバーから送信されるサーバー証明書は,客户你好拡張機能にリストされている署名ハッシュアルゴリズムのいずれかによって署名されている必要があります。クライアント認証が有効な場合,サーバーが受信したクライアント証明書は,サーバーから送信された証明書要求にリストされている署名ハッシュアルゴリズムのいずれかを使用して署名されている必要があります。
SSLサービスでこのパラメーターを有効にする場合,クライアントが受信するサーバー証明書は,客户你好拡張機能にリストされている署名ハッシュアルゴリズムのいずれかによって署名されている必要があります。クライアント証明書は,証明書要求メッセージに記載されている署名ハッシュアルゴリズムのいずれかを使用して署名されている必要があります。
デフォルトプロファイルが有効な場合は,このプロファイルを使用して,SSL仮想サーバ,SSLサービス,およびSSLプロファイルに対して厳密なシグニチャダイジェストチェックを設定できます。
CLIを使用してSSL仮想サーバ,サービス,またはプロファイルに厳密なシグニチャダイジェストチェックを設定する
。
set ssl vserver -strictSigDigestCheck (ENABLED | DISABLED) set ssl service -strictSigDigestCheck (ENABLED | DISABLED) set ssl profile -strictSigDigestCheck (ENABLED | DISABLED) Parameters strictSigDigestCheck检查对端实体证书是否使用Citrix ADC设备支持的签名哈希算法之一进行签名。取值范围:ENABLED, DISABLED默认值:DISABLED
例:
set ssl vserver v1 -strictSigDigestCheck Enabled设置ssl服务s1 -strictSigDigestCheck Enabled设置ssl配置文件p1 -strictSigDigestCheck Enabled
重要:
DH、ECDHEまたはECDSA暗号がアプライアンスに設定されている場合,犁式メッセージは,クライアントリストとアプライアンスに設定されたリストに共通するシグニチャハッシュの1つを使用して署名する必要があります。。
SSL
構成ユーティリティへのHTTPSアクセスおよびセキュアなリモートプロシージャコールには,証明書とキーのペアが必要です。Citrix ADCMPXアプライアンスまたはVPX仮想アプライアンスでは、証明書とキーのペアが自動的に内部サービスにバインドされます。ただし、この証明書はブラウザによって信頼されていない可能性があります。エラーなしで認証を完了するには、ブラウザに有効な CA 証明書をアップロードする必要があります。
CLIを使用してセキュアなHTTPSの構成
Cli。
。
添加certkey server -cert servercert -key serverkey
。
绑定SSL服务nshttps-127.0.0.1-443 -certkeyname server
GUIを使用して安全なHTTPSを構成する
GUIを使用して安全なHTTPSを構成するには,次の手順に従います。
- [流量管理]> [SSL] >[证书]? ? ?
- , [インストール[au:]
- [証明書のインストール[中文译文]【中文译文】【中文译文】
- [インストール[au:]哎哟![au:]
- [流量管理]>[负载均衡]>[服务]这是一个很好的例子。
- [中文]:操作] [qh]【翻译[au:]
- リストから
nshttps - 127.0.0.1 - 443
[qh]開く[au:] - [SSL SSL[翻译]使用可能[英文单词][英文单词]バインド> > > > > >好吧[au:]
- リストから
nshttps -:: 11 - 443
[qh]開く[au:] - [SSL SSL[翻译]使用可能[英文单词][英文单词]バインド> > > > > >好吧[au:]
- (好的)。