Citrix ADC设备上可用的密码
Citrix ADC设备随附一组预定义的密码组。要使用不属于 违约密码组的密码,您必须将密码显式绑定到 SSL虚拟服务器。您还可以创建用户定义的密码组以绑定到 SSL虚拟服务器。有关创建用户定义的密码组的更多信息,请参阅在模数转换器设备上配置用户定义的密码组。
备注
Citrix ADC设备上的默认密码组中不包括 RC4密码。但是,在基于 N3的设备的软件中支持它。RC4加密,包括握手,是在软件中完成的。
Citrix建议您不要使用此密码,因为它被RFC 7465视为不安全且不推荐使用。
使用“显示硬件“命令来识别您的设备是否具有N3芯片。
NSMPX-22000硬件平台:NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100制造日期:8/19/2013 CPU: 2900MHZ主机Id: 1006665862 Serial no: ENUK6298FT Encoded Serial no: ENUK6298FT - 要显示有关在前端(到虚拟服务器)默认绑定的密码套件的信息,请键入:
sh密码默认 - 要显示有关在后端(到服务)默认绑定的密码套件的信息,请键入:
sh密码DEFAULT_BACKEND - 要显示有关设备上定义的所有密码组(别名)的信息,请键入:
sh密码 - 要显示属于特定密码组的所有密码套件的信息,请键入:
Sh cipher。例如,嘘密码 埃克德
以下链接列出了不同Citrix ADC平台和外部硬件安全模块(HSM)支持的密码套件:
- Citrix ADC MPX /有关(N3)设备:Citrix ADC MPX /有关(N3)设备上的密码支持
- Citrix ADC MPX /有关英特尔Coleo设备:Citrix ADC MPX/SDX英特尔 Coleo SSL芯片设备上的密码支持
- Citrix ADC VPX设备:Citrix ADC VPX设备上的密码支持
- Citrix ADC MPX /有关14000 FIPS设备:Citrix ADC MPX /有关14000 FIPS设备上的密码支持
- 外部HSM(泰利斯/ Safenet):外部 HSM(泰雷兹/安全网)上支持的密码
- Citrix ADC MPX /有关(N2)设备:Citrix ADC MPX /有关(N2)设备上的密码支持
- Citrix ADC MPX 9700 FIPS设备:在 Citrix ADC MPX 9700 FIPS上支持密码器和固件 2.2
- Citrix ADC VPX FIPS和 MPX FIPS设备:对 Citrix ADC VPX FIPS和 MPX FIPS认证设备的密码支持
注意:有关迪泰密码支持,请参阅Citrix ADC VPX, MPX和有关设备上的迪泰密码支持。
表 1-支持虚拟服务器/前端服务/内部服务:
| 协议/平台 | MPX/SDX(N2) | MPX /有关(N3) | VPX | 带固件 2.2的 MPX 9700*FIPS | MPX/SDX 14000**FIPS | MPX 5900/8900 MPX 15000-50克MPX 26000-100克 |
|---|---|---|---|---|---|---|
| TLS 1.3 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 不支持 | 不支持 | 13.0所有内部版本 |
| 12.1-50.x | 12.1-50.x | 12.1-50.x | 不支持 | 不支持 | 12.1-50.x | |
| TLS 1.1/1.2 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | MPX 5900/8900的11.1 -56。x和MPX 15000 - 50 g, MPX 26000 - 100 g的11.1 - -60. x | |
| 11所有版本 | 11所有版本 | 11所有版本 | 11所有版本 | 11所有版本 | 11.0-70.x(仅在 MPX 5900/8900上) | |
| 10.5所有版本 | 10.5所有版本 | 10.5-57.x | 10.5 58.1108.e | 10.5–59.1359.e | 10.5 - -67. x 10.5 - -63.47(仅在MPX 5900/8900上) | |
| ECDHE /她(示例:TLS1-ECDHE-RSA-AES128-SHA) | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1 - -51. x | MPX 5900/8900的11.1 -56。x和MPX 15000 - 50 g, MPX 26000 - 100 g的11.1 - -60. x | |
| 11所有版本 | 11所有版本 | 11所有版本 | 11.0—70.114(仅在 MPX 5900/8900上) | |||
| 10.5 - -53. x | 10.5 - -53. x | 10.5所有版本 | 10.5 59.1306.e | 10.5 - -67. x 10.5 - -63.47(仅在MPX 5900/8900上) | ||
| AES-GCM(例如:TLS1.2-AES128-GCM-SHA256) | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1 - -51. x(请参阅注释) | 11.1 - -51. x(请参阅注释) | MPX 5900/8900的11.1 -56。x和MPX 15000 - 50 g, MPX 26000 - 100 g的11.1 - -60. x | |
| 11所有版本 | 11所有版本 | 11.0 - -66. x | 11.0—70.114(仅在 MPX 5900/8900上) | |||
| 10.5 - -53. x | 10.5 - -53. x | 10.5 - -67. x 10.5 - -63.47(仅在MPX 5900/8900上) | ||||
| SHA-2密码(示例tls1.2 - aes - 128 - sha256) | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1-52.x | 11.1-52.x | MPX 5900/8900的11.1 -56。x和MPX 15000 - 50 g, MPX 26000 - 100 g的11.1 - -60. x | |
| 11所有版本 | 11所有版本 | 11.0 - -66. x | 11.0 - -72. x 11.0 - -70.114(仅在MPX 5900/8900上) | |||
| 10.5 - -53. x | 10.5 - -53. x | 10.5 - -67. x 10.5 - -63.47(仅在MPX 5900/8900上) | ||||
| ECDSA(例如TLS1-ECDHE-ECDSA-AES256-SHA) | 不支持 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 不支持 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 不支持 | 12.0所有内部版本 | 12.0——57.倍 | 不适用 | 不支持 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1-56.x、11.1-54.126(仅支持 ECC曲线 P_256和 P_384.) | |||||
| CHACHA20 | 不支持 | 13.0所有内部版本 | 13.0所有内部版本 | 不支持 | 不支持 | 13.0所有内部版本 |
| 不支持 | 不支持 | 12.1所有内部版本 | 不支持 | 不支持 | 12.1-49.x(仅在 MPX 5900/8900上) | |
| 不支持 | 不支持 | 12.0-56.x | 不支持 | 不支持 | 不支持 |
表 2-对后端服务的支持:
后端不支持 TLS 1.3
| 协议/平台 | MPX/SDX(N2) | MPX /有关(N3) | VPX | 带固件 2.2的 MPX 9700*FIPS | MPX/SDX 14000**FIPS | MPX 5900/8900 MPX 15000-50克MPX 26000-100克 |
|---|---|---|---|---|---|---|
| TLS 1.1/1.2 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12.0所有内部版本 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | MPX 5900/8900的11.1 -56。x和MPX 15000 - 50 g, MPX 26000 - 100 g的11.1 - -60. x | |
| 11.0-50.x | 11.0-50.x | 11.0 - -66. x | 11所有版本 | 11.0—70.119(仅在 MPX 5900/8900上) | ||
| 10.5 - -59. x | 10.5 - -59. x | 10.5–58.1108.e | 10.5–59.1359.e | 10.5 - -67. x 10.5 - -63.47(仅在MPX 5900/8900上) | ||
| ECDHE /她(示例:TLS1-ECDHE-RSA-AES128-SHA) | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 12.0所有内部版本 | 12.0所有内部版本 | 12.0-56.x | 12.0所有内部版本 | 12.0所有内部版本 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1所有内部版本 | 11.1所有内部版本 | 11.1 - -51. x | MPX 5900/8900的11.1 -56。x和MPX 15000 - 50 g, MPX 26000 - 100 g的11.1 - -60. x | ||
| 11.0-50.x | 11.0-50.x | 11.0—70.119(仅在 MPX 5900/8900上) | ||||
| 10.5-58.x | 10.5-58.x | 10.5 59.1306.e | 10.5 - -67. x 10.5 - -63.47(仅在MPX 5900/8900上) | |||
| AES-GCM(例如:TLS1.2-AES128-GCM-SHA256) | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 12.0所有内部版本 | 12.0所有内部版本 | 不支持 | 12.0所有内部版本 | 12.0所有内部版本 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1所有内部版本 | 11.1 - -51. x | 11.1 - -51. x | MPX 5900/8900的11.1 -56。x和MPX 15000 - 50 g, MPX 26000 - 100 g的11.1 - -60. x | ||
| SHA-2密码(示例tls1.2 - aes - 128 - sha256) | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 12.0所有内部版本 | 12.0所有内部版本 | 不支持 | 12.0所有内部版本 | 12.0所有内部版本 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1所有内部版本 | 11.1所有内部版本 | 11.1-52.x | 11.1-52.x | MPX 5900/8900的11.1 -56。x和MPX 15000 - 50 g, MPX 26000 - 100 g的11.1 - -60. x | ||
| ECDSA(例如TLS1-ECDHE-ECDSA-AES256-SHA) | 不支持 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 | 13.0所有内部版本 |
| 不支持 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本 | 12.1所有内部版本(适用于MPX 5900/8900), -50 - 12.1。15000年x(适用于MPX - 50 g和26000 MPX - 100 g) | |
| 不支持 | 12.0所有内部版本 | 12.0 - -57. x | 不适用 | 不支持 | 12所有内部版本(适用于 MPX 5900/8900)、12.0-57.x(适用于 MPX 15000-50G)、12.0-60.x(适用于 MPX 26000-100G) | |
| 11.1 - -51. x | 不适用 | MPX 5900/8900的 11.1-56.x和 MPX 15000-50克,MPX 26000-100克的 11.1-60.x(仅支持 ECC曲线 P_256和 P_384.) | ||||
| CHACHA20 | 不支持 | 13.0所有内部版本 | 13.0所有内部版本 | 不支持 | 不支持 | 13.0所有内部版本 |
| 不支持 | 不支持 | 12.1所有内部版本 | 不支持 | 不支持 | MPX 5900/8900的 12.1-49.x,MPX 15000-50G和 MPX 26000-100G的 12.1-50.x | |
| 不支持 | 不支持 | 12.0-56.x | 不支持 | 不支持 | 不支持 |
有关支持的ECDSA密码的详细列表,请参阅ECDSA密码套件支持。
注意
从版本10.5版本57。x的所有设备都支持TLS-Fallback_SCSV密码套件
HTTP严格传输安全性(hst)支持是基于策略的。
所有设备的前端都支持所有SHA-2签名证书(SHA256, SHA384 SHA512)。在版本11.1版本54。x及更高版本中,所有设备的后端也支持这些证书。在11.0及更早版本中,所有设备的后端仅支持SHA256签名证书。
- 在11.1版本52。x及更早版本中,只有MPX 9700和MPX /有关14000 FIPS设备的前端才支持以下密码:
- tls1.2 - ecdhe - rsa - aes - 256 sha384
- TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 From release 11.1 build 53。在12.0版本中,后端也支持这些密码。
- 所有ChaCha20-Poly1035密码都使用带sha - 256哈希函数的TLS伪随机函数(PSF)。
完美的向前保密 (PFS)
完全前向保密确保对当前 SSL通信的保护,即使 网状物服务器的会话密钥在稍后某个时间点被泄露也是如此。
为什么你需要完美的向前保密 (PFS)
SSL连接用于保护客户端和服务器之间传递的数据。此连接从客户端的浏览器和联系的 网状物服务器之间发生的 SSL握手开始。正是在这次握手期间,浏览器和服务器交换某些信息以获得会话密钥,该密钥用作在整个通信中其余部分加密数据的手段。
RSA是密钥交换中最常用的算法。浏览器使用服务器的公钥对服务器进行加密,然后通过预置主机密发送给服务器。此预主密钥用于到达会话密钥。RSA密钥交换方法的问题在于,如果攻击者设法在未来的任何时间点获得服务器的私钥的持有,那么攻击者就会获得会话密钥的预主机密钥。攻击者现在可以使用此会话密钥解密所有SSL对话。这意味着您的历史SSL通信早已安全,但它们已不再安全,因为服务器被盗的私钥可用于到达会话密钥,从而也可以解密任何保存的历史对话。
需要的是能够保护过去的SSL通信,即使服务器的私钥已被泄露。这就是配置完美向前保密(PFS)来救援的地方。
PFS有什么帮助
完美前向保密(PFS)通过让客户端和服务器商定每个会话的新密钥,并将此会话密钥的计算保密保密,从而保护过去的 SSL通信。它的工作基础是,服务器密钥的破坏不得导致会话密钥受损。会话密钥在两端分别派生,永远不会通过电汇传输。通信完成后,会话密钥也会被销毁。这些事实确保,即使有人获得服务器的私钥的访问权限,他们也无法到达会话密钥,因此无法解密过去的数据。
用例子解释
假设我们正在使用她来获得PFS。DH算法确保,即使黑客持有服务器的私钥,黑客也无法到达会话密钥,因为会话密钥和随机数(用于到达会话密钥)两端都保密,从来没有通过电汇交换。PFS可以通过使用临时diffie - hellman密钥交换来实现,该交换为每个SSL会话创建新的临时密钥。
为每个会话创建密钥的另一面是它需要额外的计算,但是可以通过使用具有较小键大小的 椭圆曲线来克服这一点。
在 Citrix ADC设备上配置 PFS
可以通过配置 DHE或 埃克德赫密码在 Citrix ADC上配置 PFS这些密码确保创建的秘密会话密钥不会在线上共享(DH)算法),并且会话密钥只能在短时间内保持活动状态(临时)。以下各节将对这两种配置进行说明。
注意:使用ECDHE密码而不是她使用更小的密钥大小,通信更安全。
使用 桂配置 DHE
生成DH密钥。
一。导航到流量管理> SSL >工具。
B点击创建 迪菲·赫尔曼(卫生署)密钥。
注意:生成2048位DH密钥可能需要30分钟。
![SSL PFS-3]()
![SSL PFS-4]()
为 SSL虚拟服务器启用 DH参数,然后将 DH密钥附加到 SSL虚拟服务器。
一。导航到配置 > 流量管理 > 虚拟服务器。
B选择要在其上启用 DH的虚拟服务器。
c。单击编辑,单击SSL参数,然后单击启用DH参数。
![SSL PFS-5]()
将她密码绑定到虚拟服务器。
一。导航到配置 > 流量管理 > 虚拟服务器。
b。选择要在其上启用DH的虚拟服务器,然后单击铅笔图标进行编辑。
C在 “高级设置”下,单击SSL密码旁边的加号图标,然后选择她密码组,然后单击确定进行绑定。
注意:确保她密码位于绑定到虚拟服务器的密码列表的顶部。
![SSL PFS-6]()
![SSL PFS-7]()
![SSL PFS-8]()
使用GUI配置ECDHE
将ECC曲线绑定到SSL虚拟服务器。
一。导航到配置(配置)>交通管理(流量管理)>负载平衡(负载平衡)>虚拟服务器(虚拟服务器)。
b。选择要编辑的SSL虚拟服务器,单击ECC曲线,然后单击添加绑定。
c。将所需的ECC曲线绑定到虚拟服务器。
![SSL PFS-9]()
![sslpfs-10]()
将ECDHE密码绑定到虚拟服务器。
一个导航。配置>流量管理>虚拟服务器并选择需要启用DH功能的虚拟服务器。
b。点击编辑> SSL密码然后选择ECDHE密码组并单击绑定.
注意:确保ECDHE密码位于绑定到虚拟服务器的密码列表的顶部。
![sslpfs-11]()
![sslpfs-12]()
![sslpfs-13]()
注意:对于每种情况,请验证Citrix ADC设备是否支持要用于通信的密码。
使用SSL配置文件配置PFS
注意:使用SSL配置文件配置PFS(密码或ECC)的选项从11.0 64。x版本开始引入。如果使用旧版本,请忽略以下部分。
要使用SSL配置文件启用PFS,需要在SSL配置文件上完成类似的配置(如前面的配置部分所述),而不是直接在虚拟服务器上进行配置。
使用 桂使用 SSL配置文件配置 PFS
绑定 SSL配置文件上的 ECC曲线和 埃克德赫密码。
注意:默认情况下,ECC曲线已绑定到所有SSL配置文件。
A.导航到 “系统”>“配置文件”>“SSL配置文件”,然后选择要启用PFS的配置文件。
B绑定 埃克德赫密码。
![sslpfs-14]()
将SSL配置文件绑定到虚拟服务器。
一。转到配置 > 流量管理 > 虚拟服务器,然后选择虚拟服务器。
b。单击铅笔图标以编辑SSL配置文件。
c。单击确定,然后单击完成。
![sslpfs-15]()
使用CLI使用SSL配置PFS
在命令提示符下,键入:
将ECC曲线绑定到SSL配置文件。
绑定sslprofile-eccCurveName 绑定ECDHE密码组。
绑定sslprofilecipherName <!--NeedCopy--> 将ECDHE密码的优先级设置为1。
设置sslprofilecipherName cipherPriority 将SSL配置文件绑定到虚拟服务器。
设置SSL vserversslProfile <!--NeedCopy-->