在adc设备上配置用户定义的密码组
密码组是您绑定到Citrix ADC设备上的SSL虚拟服务器,服务或服务组的一组密码套件。密码套件包括协议、密钥交换 (Kx) 算法、身份验证 (非盟) 算法、加密 (内附)算法和消息身份验证代码(Mac)算法。您的设备随附一组预定义的密码组。当您创建SSL服务或SSL服务组时,所有密码组将自动绑定到它。但是,当您创建SSL虚拟服务器或透明SSL服务时,默认密码组会自动绑定到它。此外,您可以创建用户定义的密码组并将其绑定到SSL虚拟服务器,服务或服务组。
注意:如果您的MPX设备没有任何许可证,则仅导出密码绑定到SSL虚拟服务器,服务或服务组。
要创建用户定义的密码组,首先创建密码组,然后将密码或密码组绑定到此组。如果指定密码别名或密码组,则密码别名或组中的所有密码都会添加到用户定义的密码组中。您还可以将单个密码(密码套件)添加到用户定义的组。但是,您不能修改预定义的密码组。删除密码组之前,取消绑定组中的所有密码套件。
将密码组绑定到SSL虚拟服务器,服务或服务组时,将密码追加到绑定到实体的现有密码。若要将特定密码组绑定到实体,必须先解除绑定到实体的密码或密码组的绑定。然后将特定密码组绑定到实体。例如,若要仅将aes密码组绑定到SSL服务,请执行以下步骤:
解除在创建服务时默认绑定到服务的默认密码组全部绑定。
unbind ssl service-cipherName ALL 将aes密码组绑定到服务
绑定ssl服务<服务名称> -cipherName AE如果要绑定除aes之外的密码组des,请在命令提示符下键入:
绑定ssl服务<服务名> -cipherName DES
注意:免费的Citrix ADC虚拟设备仅支持DH密码组。
使用cli配置用户定义的密码组
在命令提示符下,键入以下命令以添加密码组,或向先前创建的组添加密码,并验证设置:
add ssl cipher bind ssl cipher -cipherName show ssl cipher 示例:
add ssl cipher test Done bind ssl cipher test -cipherName ECDHE Done sh ssl cipher test 1)加密名:TLS1-ECDHE-RSA-AES256-SHA优先级:1描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 2)加密名:TLS1-ECDHE-RSA-AES128-SHA优先级:2描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013 3)加密名:TLS1.2-ECDHE-RSA-AES-256-SHA384优先级:3描述:TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA-384 HexCode=0xc028 4)加密名:tls1.2 - ecdhe -RSA-AES-128 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA-256 HexCode=0xc027 5)加密名:TLS1.2-ECDHE-RSA-AES256-GCM-SHA384优先级:5描述:TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES- gcm (256) Mac=AEAD HexCode=0xc030 6)加密名:TLS1.2-ECDHE-RSA-AES128-GCM-SHA256优先级:6描述:7)密码名:TLS1-ECDHE-ECDSA-AES256-SHA优先级:7描述:SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA1 HexCode=0xc00a 8)密码名:TLS1-ECDHE-ECDSA-AES128-SHA优先级:8描述:SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA1 HexCode=0xc009 9)密码名:tls1.2 - ecdhe -ECDSA Enc=AES(256) Mac=SHA-384 HexCode=0xc024 10)密码名:tls1 - ecdhe - aes256 - sha38411)密码名:tls1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA-256 HexCode=0xc02c说明:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES- gcm (256) Mac=AEAD HexCode=0xc02c 12)密码名:TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256优先级:12说明:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES- gcm (128) Mac=AEAD HexCode=0xc02b 13)密码名:TLS1-ECDHE-RSA-DES-CBC3-SHA优先级:13说明:14)密码名:TLS1-ECDHE-ECDSA-DES-CBC3-SHA优先级:14描述:SSLv3 Kx=ECC-DHE Au=ECDSA Enc=3DES(168) Mac=SHA1 HexCode=0xc008 15)密码名:TLS1-ECDHE-RSA-RC4-SHA优先级:15描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=RC4(128) Mac=SHA1 HexCode=0xc011 16)密码名:TLS1-ECDHE-ECDSA-RC4-SHA优先级:16描述:SSLv3 Kx=ECC-DHE Au=ECDSA Enc=RC4(128) Mac=SHA1 HexCode=0xc007 17)密码名:加密名称:TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305优先级:17描述:TLSv1.2 Kx=ECC-DHE Au=RSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca8 18)加密名称:TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305优先级:18描述:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca9 Done bind ssl Cipher test -cipherName tls1 - ecdhe -RSA- des - cb3c - sha 使用cli解除密码组中的密码绑定
在命令提示符下,键入以下命令以从用户定义的密码组取消绑定密码,并验证设置:
show ssl cipher unbind ssl cipher -cipherName show ssl cipher 使用cli删除密码组
注意:您无法删除内置密码组。删除用户定义的密码组之前,请确保密码组为空。
在命令提示符下,键入以下命令以删除用户定义的密码组,并验证配置:
rm ssl cipher […]show ssl cipher 示例:
ERROR: No such resource [cipherGroupName, test] 使用GUI配置用户定义的密码组
- 导航到流量管理> SSL >密码组。
- 单击添加。
- 指定密码组的名称。
- 单击添加以查看可用的密码和密码组。
- 选择密码组或密码组,然后单击箭头按钮添加它们。
- 单击创建。
- 单击关闭。
使用cli将密码组绑定到SSL虚拟服务器,服务或服务组:
在命令提示符下,键入以下命令之一:
bind ssl vserver -cipherName bind ssl service -cipherName bind ssl serviceGroup -cipherName 示例:
bind ssl vserver ssl_vserver_test -cipherName test完成绑定ssl service nshttps -cipherName test完成绑定ssl servicegroup ssl_svc -cipherName test完成使用GUI将密码组绑定到SSL虚拟服务器,服务或服务组:
导航到流量管理 > 负载平衡 > 虚拟服务器。
对于服务,请将虚拟服务器替换为服务。对于服务组,请将虚拟服务器替换为服务组。
打开虚拟服务器、服务或服务组。
在“高级设置中,选择SSL密码。
将密码组绑定到虚拟服务器、服务或服务组。
将单个密码绑定到SSL虚拟服务器或服务
您还可以将单个密码(而不是密码组)绑定到虚拟服务器或服务。
要使用cli绑定密码:在命令提示符下,键入:
bind ssl vserver -cipherName bind ssl service -cipherName 示例:
bind ssl vserver v1 -cipherName tls1.2 - ecdhi - rsa - aes256 - gcm - sha384 Done 使用GUI将密码绑定到SSL虚拟服务器:
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 选择SSL虚拟服务器,然后单击编辑。
- 在“高级设置中,选择SSL密码。
- 在密码套件中,选择添加。
- 在可用列表中搜索密码,然后单击箭头将其添加到配置的列表中。
- 单击好吧(确定)。
- 单击完成。
要将密码绑定到SSL服务,请在用服务替换虚拟服务器后重复上述步骤。