Ecdsa密码套件支持
Ecdsa密码套件使用椭圆曲线加密(ecc)。由于其尺寸较小,因此在处理能力、存储空间、带宽和功耗受到限制的环境中非常有用。
使用ecdhe_ecdsa密码组时,服务器的证书必须包含支持ecdsa的公钥。
下表列出了配备N3芯片的Citrix ADC MPX和SDX设备,Citrix ADC VPX设备,MPX 5900/26000和MPX/SDX 8900/15000设备上支持的ECDSA密码。
| 密码名称 | 优先级 | 说明 | 密钥交换算法 | 身份验证算法 | 加密算法(密钥大小) | 消息身份验证代码(mac)算法 | HexCode |
|---|---|---|---|---|---|---|---|
| TLS1-ECDHE-ECDSA-AES128-SHA | 1 | SSLv3 | ECC-DHE | ECDSA | AES (128) | SHA1 | 0 xc009 |
| TLS1-ECDHE-ECDSA-AES256-SHA | 2 | SSLv3 | ECC-DHE | ECDSA | AES (256) | SHA1 | 0 xc00a |
| TLS1.2-ECDHE-ECDSA-AES128-SHA256 | 3. | TLSv1.2 | ECC-DHE | ECDSA | AES (128) | sha - 256 | 0 xc023 |
| TLS1.2-ECDHE-ECDSA-AES256-SHA384 | 4 | TLSv1.2 | ECC-DHE | ECDSA | AES (256) | sha - 384 | 0 xc024 |
| TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 | 5 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM (128) | sha - 256 | 0 xc02b |
| TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 | 6 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM (256) | sha - 384 | 0 xc02c |
| TLS1-ECDHE-ECDSA-RC4-SHA | 7 | SSLv3 | ECC-DHE | ECDSA | RC4 (128) | SHA1 | 0 xc007 |
| TLS1-ECDHE-ECDSA-DES-CBC3-SHA | 8 | SSLv3 | ECC-DHE | ECDSA | 3 des (168) | SHA1 | 0 xc008 |
| TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 | 9 | TLSv1.2 | ECC-DHE | ECDSA | CHACHA20 / POLY1305 (256) | AEAD | 0 xcca9 |
Ecdsa / rsa密码和证书选择
您可以同时将ecdsa和rsa服务器证书绑定到SSL虚拟服务器。当ecdsa和rsa证书绑定到虚拟服务器时,它会自动选择要呈现给客户端的相应服务器证书。如果客户端密码列表包含RSA密码,但不包含ECDSA密码,则虚拟服务器将显示RSA服务器证书。如果两个密码都存在于客户端的列表中,则显示的服务器证书取决于虚拟服务器上设置的密码优先级。也就是说,如果rsa具有更高的优先级,则会显示rsa证书。如果ecdsa具有更高的优先级,则ecdsa证书会呈现给客户端。
使用ecdsa或rsa证书进行客户端身份验证
对于客户端身份验证,绑定到虚拟服务器的ca证书可以是ecdsa或rsa签名的。设备支持混合证书链。例如,支持以下证书链。
客户端证书(ECDSA) < - > CA证书(RSA) < - >中间证书(RSA) < - >根证书(RSA)
下表显示了具有ECDSA密码组和ECDSA证书的不同Citrix ADC设备支持的椭圆曲线:
| 椭圆曲线 | 支持的平台 |
|---|---|
| prime256v1 | 所有平台,包括fips。 |
| secp384r1 | 所有平台,包括fips。 |
| secp521r1 | MPX 5900, MPX/ sdx 8900, MPX/ sdx 15000, MPX/ sdx 26000, vpx |
| secp224r1 | MPX 5900,MPX/ sdx 8900。Mpx / sdx 15000, Mpx / sdx 26000, vpx |
创建ecdsa证书密钥对
您可以使用CLI或GUI直接在Citrix ADC设备上创建ECDSA证书密钥对。之前,您能够在设备上安装和绑定ECC证书密钥对,但必须使用OpenSSL创建证书密钥对。
仅支持p_256和p_384曲线。
注意
此支持在所有平台上都可以使用,除了MPX 9700/1050/12500/15500以外。
要使用cli创建ecdsa证书密钥对,请执行以下操作:
在命令提示符下,键入:
create ssl ecdsaKey -curve (P_256 | P_384) [-keyform (DER | PEM)] [-des | -des3] {-password} [-pkcs8] 示例:
创建ecdsaKey ec_p256。创建ecdsaKey ec_p384。ky -curve P_384已完成要使用GUI创建ecdsa证书密钥对,请执行以下操作:
- 导航到流量管理> SSL > SSL文件>密钥,然后单击创建ecdsa密钥。
- 要以PKCS #8格式创建密钥,请选择PKCS8。