支持DTLS协议
备注:
- Citrix ADC MPX/SDX(基于N2和N3), VPX和MPX 14000 FIPS设备支持dtlSv1.0协议。外部HSM不支持此功能。
- 包含英特尔Coleto SSL芯片的Citrix ADC设备支持迪泰1.0协议(从版本12.1版50本。X开始)。
- Citrix ADC VPX设备的前端支持dtlSv1.2协议(从版本13.0版本47岁。X开始)。
- 包含英特尔Coleto SSL芯片的Citrix ADC设备的前端支持迪泰1.2协议(从版本13.0版本52. x)。有关包含英特尔Coleo SSL芯片的平台的更多信息,请参阅支持基于英特尔Coleo SSL芯片的平台。
- 不支持DTLS类型的服务组。
- Citrix ADC MPX(基于N3)设备的前端支持DTLSv1.2协议(来自13.0版本版本58. x)。
- 有关Citrix Gateway的开明数据传输(EDT)支持的信息,请参阅HDX启发的数据传输支持。
- 从版本13.0版本79。x版本对DTL配置文件进行了更改。有关更多信息,请参阅DTLS配置文件。
- 从13.0版本版本82。x开始,DTLS配置文件中引入了一个新的参数
maxBadmacIgnorecount
,以忽略在DTLS会话中收到的错误MAC记录。有关更多信息,请参阅DTLS配置文件。- 有关支持的平台和版本的信息,请参阅Citrix ADC MPX硬件-软件兼容性矩阵
传统上,ssl和TLS协议用于保护流媒体流量。这两种协议都基于tcp,速度很慢。此外,tls无法处理丢失或重新排序的数据包。
UDP是音频和视频应用程序的首选协议,例如Lync, Skype, iTunes, YouTube,培训视频和闪光。但是,udp并不安全或不可靠。DTLS协议旨在通过udp保护数据,用于媒体流,voip和用于通信的在线游戏等应用程序。在DTLS中,每条握手消息都会在该握手内分配一个特定的序列号。当对等方收到握手消息时,它可以快速确定该消息是否是预期的下一条消息。如果是,则节点会处理该消息。如果没有,则在收到以前的所有消息后,消息将排队等待处理。
创建DTLS虚拟服务器和udp类型的服务。默认情况下,迪泰配置文件(nsdtls_default_profile)绑定到虚拟服务器。或者,您可以创建用户定义的DTLS配置文件并将其绑定到虚拟服务器。
注意:dtls虚拟服务器不支持rc4密码。
DTLS配置
您可以使用命令行(cli)或配置实用程序(gui)在adc设备上配置dtls。
注意:从13.0版本47。x开始,Citrix ADC VPX设备的前端支持DTLS 1.2协议。配置DTLSv1.2虚拟服务器时,请指定DTLS12。默认值为dtls1。
在命令提示符下,键入:
设置ssl vserver DTLS [-dtls1 (ENABLED | DISABLED)] [-dtls12 (ENABLED | DISABLED)]
使用cli创建DTLS配置
在命令提示符下,键入:
add lb vserver DTLS add service UDP 443 bind lb vserver
以下步骤是可选的:
add dtlsProfile dtls-profile -maxretryTime set ssl vserver -dtlsProfileName
使用GUI创建DTLS配置
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 创建DTLS类型的虚拟服务器,然后将udp服务绑定到虚拟服务器。
- 默认DTLS配置文件绑定到DTLS虚拟服务器。要绑定其他配置文件,请在SSL参数中选择不同的DTLS配置文件。要创建配置文件,请单击DTLS配置文件旁边的加号(+)。
支持DTLS虚拟服务器上的sni
有关sni的信息,请参阅配置sni虚拟服务器以安全托管多个站点。
使用cli在DTLS虚拟服务器上配置sni
在命令提示符下,键入:
set ssl vserver -SNIEnable ENABLED绑定ssl vserver -certkeyName -SNICert show ssl vserver
示例:
set ssl vserver v1 -sniEnable ENABLED bind ssl vserver v1 -certkeyName san2 -sniCert bind ssl vserver v1 -certkeyName san13 -sniCert bind ssl vserver v1 -certkeyName san17 -sniCert
sh dswaretool . sh ssl vserver v1 vserver v1的高级ssl配置:DH: DISABLED DH Private-Key index Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 1800秒Cipher Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: ENABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS IncludeSubDomains: NO HSTS Max-Age: 0 DTLSv1: ENABLED Send Close-Notify: YES Strict Sig-Digest Check: YESDISABLED Zero RTT早期数据:DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication背景信息:1 DTLS配置文件名称:nsdtls_default_profile ECC曲线:P_256, P_384, P_224, P_521 1) CertKey名称:ca ca证书OCSPCheck: OptionalCA_Name Sent 2) CertKey名称:san2 SNI服务器证书3)CertKey名称:san17 SNI服务器证书4)CertKey名称:san13 SNI服务器证书1)密码名称:DEFAULT描述:默认密码列表,加密强度>= 128bit Done
使用GUI在DTLS虚拟服务器上配置sni
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 打开DTLS虚拟服务器,然后在证书中单击服务器证书。
- 添加证书或从列表中选择一个证书,然后选择Sni的服务器证书。
- 在高级设置中,单击SSL参数。
- 选择Sni启用。
DTLS虚拟服务器不支持的功能
无法在DTLS虚拟服务器上启用以下选项:
- SSLv2的站点时
- SSLv3
- TLSv1
- TLSv1.1
- TLSv1.2
- 推送加密触发器
- SSLv2Redirect
- SSLv2URL
DTLS虚拟服务器未使用的参数
即使设置了以下SSL参数,dtls虚拟服务器也会忽略以下SSL参数:
- 加密触发数据包计数
- 推送加密触发超时
- SSL量子大小
- 加密触发器超时
- 主题/发行人名称插入格式
在DTLS服务上配置重新协商
DTLS服务支持不安全的重新协商。您可以使用cli或GUI来配置此设置。
使用cli在DTLS服务上配置重新协商
在命令提示符下,键入:
设置ssl参数-denysslreneg NONSECURE
示例:
ssl参数设置-denysslreneg不安全的sh ssl参数先进ssl参数 ----------------------- SSL量子尺寸:8 KB马克斯CRL内存大小:256 MB严格CA检查:没有加密触发超时:100发送Close-Notify女士:是的加密触发包数:45否认SSL重新谈判:安全主题上/发行人名称插入格式:Unicode OCSP缓存大小:10 MB推动国旗:0 x0(汽车)严格的主机头检查SNI启用SSL会话:女士没有推动加密触发超时:1加密设备禁用限制:0全球undef行动控制策略:CLIENTAUTH全球undef行动数据政策:无操作默认概要文件:禁用SSL证书头插入空间:是的禁用TLS 1.1/1.2 SSL_BRIDGE安全监控:没有禁用TLS 1.1/1.2动态和VPN服务:没有软件加密加速CPU阈值:0混合FIPS模式:禁用签名和哈希算法由TLS1.2:所有SSL拦截错误学习和缓存:DISABLED SSL拦截最大错误缓存内存:0字节完成
使用GUI在DTLS服务上配置重新协商
- 导航到交通管理(流量管理)>负载平衡(负载平衡)>服务(服务)。
- 选择一个DTLS服务,然后单击编辑。
- 导航到SSL>高级设置。
- 选择拒绝SSL重新协商。
DTLS服务不支持的功能
无法在DTLS服务上启用以下选项:
- SSLv2的站点时
- SSLv3
- TLSv1
- TLSv1.1
- TLSv1.2
- 推送加密触发器
- SSLv2Redirect
- SSLv2URL
- SNI
- 安全的重新协商
DTLS服务未使用的参数
即使设置了以下SSL参数,dtls服务也会忽略以下SSL参数:
- 加密触发数据包计数
- 推送加密触发超时
- SSL量子大小
- 加密触发器超时
- 主题/发行人名称插入格式
注意:
SSL会话重复使用握手在DTLS服务上失败,因为DTLS服务当前不支持会话重用。
解决办法:在DTLS服务上手动禁用会话重用。在cli中,键入:
set ssl service
-sessReuse DISABLED
DTLS配置文件
具有默认设置的DTLS配置文件会自动绑定到DTLS虚拟服务器。但是,您可以使用特定设置创建DTLS配置文件以满足您的要求。
将DTLS配置文件用于DTLS虚拟服务器或VPN DTLS虚拟服务器。您不能将SSL配置文件与DTLS虚拟服务器一起使用。
注意:
根据mtu和数据包大小的变化,更改DTLS配置文件中的最大记录大小设置。例如,默认的最大记录大小1459字节是根据IPv4地址标头大小计算的。对于IPv6记录,标头大小会更大,因此必须减小最大记录大小才能满足以下标准。
最大记录大小+ UDP头(8字节)+ IP头大小< MTU
示例:
缺省DTLS配置文件1)名称:nsdtls_default_profile PMTU发现:DISABLED最大记录大小:1459字节最大重试时间:3秒Hello Verify Request: ENABLED终止会话:DISABLED最大报文计数:120字节自定义DTLS配置文件1)名称:ns_dtls_profile_ipv6_1 PMTU发现:DISABLED最大记录大小:1450字节最大重试时间:3秒Hello Verify Request: ENABLED终止会话:DISABLED最大报文计数:120字节
使用cli创建DTLS配置文件
注意:从13.0版本79。x开始,对DTL配置文件的更改如下:
- 默认情况下,该
helloverifyrequest
参数是启用的。启用此参数有助于降低攻击者或机器人超出网络吞吐量的风险,从而可能导致出站带宽耗尽。也就是说,它有助于缓解DTL DDoS扩增攻击。- 添加了
maxHoldQlen
参数。此参数定义了可以在DTLS层排队进行处理的数据报的数量。如果udp多路复用传输了高udp流量,则该maxHoldQlen
参数的值较高可能会导致DTLS层的内存积累。因此,建议配置较低的值。最小值为 32,最大值为 65535,默认值为 32。从13.0版本版本82。x开始,DTLS配置文件中引入了一个新的参数
maxBadmacIgnorecount
,以忽略在DTLS会话中收到的错误MAC记录。使用此参数,将忽略不超过参数中设置的值的坏记录。只有在达到限制后,设备才会终止会话并发送警报。此参数设置仅在启用terminateSession
参数时才有效。
ssl dtlsProfile -maxRetryTime -helloVerifyRequest (ENABLED | DISABLED) -terminateSession (ENABLED | DISABLED) -maxHoldQLen - maxbadmacignoreload helloVerifyRequest发送Hello Verify请求来验证客户端。取值范围:ENABLED、DISABLED缺省值:ENABLED terminateSession客户端与服务器端的MAC (message authentication code)不匹配时终止会话。可选值:ENABLED、DISABLED默认值:DISABLED maxHoldQLen DTLS层排队等待处理的最大数据报数默认值:32最小值:32最大值:65535 maxBadmacIgnorecount在断开连接之前忽略的最大MAC错误数。禁用参数terminateSession在连接中检测到坏MAC时立即终止会话。缺省值:100最小值:1最大值:65535
示例:
> add ssl dtlsprofile dtls_profile -maxRetryTime 4 -helloVerifyRequest ENABLED -terminateSession ENABLED -maxHoldQLen 40 - maxbadmacignoreload 150 Done > sh dtlsprofile dtls_profile 1) Name: dtls_profile PMTU Discovery: DISABLED Max Record Size: 1459 bytes Max RetryTime: 4 sec Hello VerifyRequest: ENABLED Terminate Session: ENABLED Max Packet Count: 120 bytes Max HoldQ Size: 40 datagrams Max bad-MAC Ignore Count: 150 Done
通过使用GUI创建DTLS配置文件
- 导航到系统>配置文件> DTL配置文件,然后单击添加。
在“创建DTLS配置文件页面中,键入不同参数的值。
- 单击”创建”。
端到端DTLS配置示例
enable ns feature SSL LB add server s1 198.51.100.2 en ns mode usnip add service svc_dtls s1 DTLS 443 add LB vserver v1 DTLS 10.102.59.244 443 bind SSL vserver v1 -ciphername ALL add SSL certkey servercert -cert servercert_aia_valid。Pem -key serverkey_aia. Pempem bind ssl vserver v1 -certkeyname servercert bind lb vserver lb1 svc_dtls sh lb vserver v1 v1 (10.102.59.244:4433) - DTLS Type: ADDRESS State: UP Last State change was at Fri Apr 27 07:00:27 2018 Time since Last State change: 0 days, 00:00:04.810 Effective State: UP Client Idle Timeout: 120 sec Down State flush: ENABLED Disable Primary vserver On Down: DISABLED Appflow logging: ENABLED否绑定服务:1 (Total) 0 (Active)配置方式:LEASTCONNECTION当前方式:轮询,原因:已绑定新服务BackupMethod: ROUNDROBIN模式:IP持久化:NONE L2Conn: OFF跳过持久化:无监听策略:NONE IcmpResponse:被动RHIstate:被动新建服务启动请求速率:0 PER_SECOND,增量间隔:0 Mac模式保留Vlan: DISABLED DBS_LB: DISABLED进程Local: DISABLED流量域:0 TROFS持久化:ENABLED Retain Connections on Cluster: NO 1) svc_dtls (10.102.59.190: 4433) - DTLS State: UP Weight: 1 Done sh ssl vserver v1 vserver v1的高级ssl配置:DH: DISABLED DH Private-Key index Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 1800秒Cipher Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS:DISABLED HSTS include - ubdomains: NO HSTS Max-Age: 0 DTLSv1: ENABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 DTLS配置文件名称:nsdtls_default_profile ECC Curve: P_256, P_384, P_224, P_521 1) CertKey名称:servercert服务器证书1)密码名称:DEFAULT描述:加密强度为>= 128bit的默认密码列表2)密码名称:ALL描述:NetScaler支持的所有密码,不包括空密码完成sh服务svc_dtls svc_dtls(10.102.59.190:4433) -迪泰状态:去年状态改变是在2018年4月27日07:00:26星期五以来最后的状态变化:0天,00:00:22.790服务器名称:s1服务器ID:没有监控阈值:0马克斯康涅狄格州:0马克斯点播:0最大带宽:0来使用源IP:没有客户Keepalive (CKA):没有访问服务:没有TCP缓冲(TCPB):没有HTTP压缩(CMP):没有闲置超时:客户:120秒服务器:120 sec Client IP: DISABLED Cacheable: NO SC: OFF SP: OFF Down state flush: ENABLED Monitor Connection Close: NONE Appflow logging: ENABLED Process Local: DISABLED Traffic Domain: 0 1) Monitor Name: ping-default state: UP Weight: 1 Passive: 0 Probes: 5 Failed [Total: 0 Current: 0] Last response: Success -收到ICMP echo reply。响应时间:2.77毫秒Done sh ssl service svc_dtls后端ssl服务ssl高级配置svc_dtls: DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: DISABLED Session重用:ENABLED Timeout: 1800秒Cipher重定向:DISABLED ClearText端口:0 Server Auth: DISABLED ssl重定向:DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED DTLSv1: ENABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: ??DHE密钥交换与PSK: ??背景信息:?? DTLS profile name: nsdtls_default_profile ECC Curve: P_256, P_384, P_224, P_521 1) Cipher Name: DEFAULT_BACKEND Description: Default cipher list for Backend SSL session Done > sh dtlsProfile nsdtls_default_profile 1) Name: nsdtls_default_profile PMTU Discovery: DISABLED Max Record Size: 1459 bytes Max Retry Time: 3 sec Hello Verify Request: DISABLED Terminate Session: ENABLED Max Packet Count: 120 bytes Max HoldQ Size: 32 datagrams Max bad-MAC Ignore Count: 10 Done
对IPv6地址的DTLS支持
IPv6地址也支持DTL。但是,要将DTLS与IPv6地址结合使用,必须在DTLS配置文件中调整最大记录大小。
如果默认值用于最大记录大小,则初始DTLS连接可能会失败。使用DTLS配置文件调整最大记录大小。
DTLS密码支持
默认情况下,创建DTLS虚拟服务器或服务时会绑定DTLS密码组。Default_dtls包含前端DTLS实体支持的密码。创建DTLS虚拟服务器时,默认情况下会绑定此组。德FAULT_DTLS_BACEND 包含后端 DTLS 实体支持的密码。默认情况下,此组绑定到 DTLS 后端服务。DTLS_FIPS 包含 Citrix ADC FIPS 平台上支持的密码。默认情况下,此组绑定到在 FIPS 平台上创建的 DTLS 虚拟服务器或服务。
Citrix ADC VPX, MPX/SDX(基于N2和N3)设备上的DTLS密码支持
如何阅读表格:
除非指定了内部版本号,否则发行版中的所有内部版本都支持密码套件。
示例:
- 10.5 11.0 11.1 12.0 12.1 13.0:10.5, 11.0, 11.1, 12.0, 12.1, 13.0版本的所有内部版本。
- na -:不适用。
Citrix ADC VPX, MPX/SDX(基于N2和N3)设备上的DTLS密码支持
密码套件名称 | 十六进制码 | Wireshark密码套件名称 | 支持的构建(前端) | 支持的构建版本(后端) |
---|---|---|---|---|
tls1 - aes - 256 - cbc -沙 | 0 x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | 12.0 12.1 13.0 |
tls1 - aes - 128 - cbc -沙 | 0 x002f | TLS_RSA_WITH_AES_128_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | 12.0 12.1 13.0 |
SSL3-DES-CBC-SHA | 0 x0009 | TLS_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | na - |
SSL3-DES-CBC3-SHA | 0 x000a | TLS_RSA_WITH_3DES_EDE_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | 12.0 12.1 13.0 |
SSL3-EDH-RSA-DES-CBC3-SHA | 0 x0016 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_S | 11.0, 11.1, 12.0, 12.1, 13.0 | na - |
SSL3-EDH-RSA-DES-CBC-SHA | 0 x0015 | TLS_DHE_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1, 13.0 | na - |
TLS1-ECDHE-RSA-AES256-SHA | 0 xc014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 12.1, 13.0 | 12.1, 13.0 |
TLS1-ECDHE-RSA-AES128-SHA | 0 xc013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 12.1, 13.0 | 12.1, 13.0 |
TLS1-ECDHE-RSA-DES-CBC3-SHA | 0 xc012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 12.1, 13.0 | na - |
tls1——她——rsa - aes - 128 - cbc -沙 | 0 x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | 12.1, 13.0 | 12.1, 13.0 |
tls1——她——rsa - aes - 256 - cbc -沙 | 0 x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | 12.1, 13.0 | 12.1, 13.0 |
要查看前端支持的默认密码列表,请在命令提示符处键入:
1)密码名:TLS1-AES-256-CBC-SHA优先级:1描述:SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035 2)密码名:TLS1-AES-128-CBC-SHA优先级:2描述:SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f 3)密码名:TLS1-ECDHE-RSA-AES256-SHA优先级:3描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 4)密码名:TLS1-ECDHE-RSA-AES128-SHA优先级:4描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013 5)密码名:TLS1-DHE-RSA-AES-256-CBC-SHA优先级:5描述:SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0039 6)密码名:tls1 - dhe -AES-128- cbc - sha优先级:6描述:SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x0033 7)密码名:TLS1-ECDHE-RSA-DES-CBC3-SHA优先级:7描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc0128说明:SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a
要查看后端支持的默认密码列表,请在命令提示符处键入:
show ssl cipher DEFAULT_DTLS_BACKEND 1)密码名:TLS1-AES-256-CBC-SHA优先级:1描述:SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035 2)密码名:TLS1-AES-128-CBC-SHA优先级:2描述:SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f 3)密码名:TLS1-ECDHE-RSA-AES256-SHA优先级:3描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 4)密码名:TLS1-ECDHE-RSA-AES128-SHA优先级:4描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013 5)密码名:TLS1-DHE-RSA-AES-256-CBC-SHA优先级:5描述:SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0039 6)密码名:tls1 - dhe -AES-128- cbc - sha优先级:6描述:SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x0033 7)密码名:TLS1-ECDHE-RSA-DES-CBC3-SHA优先级:7描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc0128说明:SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a
Citrix ADC MPX 14000 FIPS平台上的DTLS密码支持
注意:如果满足以下条件,fips平台支持开明数据支持(edt):
- 店面上设置的UDT MSS值为900。
- Windows客户端版本为4.12或更高版本。
- 启用了DTLS的vda版本为7.17或更高版本。
- 非DTL vda版本为7.15 LTSR cu3或更高版本。
如何阅读表格:
除非指定了内部版本号,否则发行版中的所有内部版本都支持密码套件。
示例:
- 10.5 11.0 11.1 12.0 12.1 13.0:10.5, 11.0, 11.1, 12.0, 12.1, 13.0版本的所有内部版本。
- na -:不适用。
密码套件名称 | 十六进制码 | Wireshark密码套件名称 | 支持的构建(前端) | 支持的构建版本(后端) |
---|---|---|---|---|
tls1 - aes - 256 - cbc -沙 | 0 x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 | 12.0 12.1-49.x, 13.0 |
tls1 - aes - 128 - cbc -沙 | 0 x002f | TLS_RSA_WITH_AES_128_CBC_SHA | 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 | 12.0 12.1-49.x, 13.0 |
SSL3-DES-CBC-SHA | 0 x0009 | TLS_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 | na - |
SSL3-DES-CBC3-SHA | 0 x000a | TLS_RSA_WITH_3DES_EDE_CBC_SHA | 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 | 12.0 12.1-49.x, 13.0 |
SSL3-EDH-RSA-DES-CBC3-SHA | 0 x0016 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_S | 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 | na - |
SSL3-EDH-RSA-DES-CBC-SHA | 0 x0015 | TLS_DHE_RSA_WITH_DES_CBC_SHA | 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 | na - |
TLS1-ECDHE-RSA-AES256-SHA | 0 xc014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 12.1-49.x, 13.0 | 12.1-49.x, 13.0 |
TLS1-ECDHE-RSA-AES128-SHA | 0 xc013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 12.1-49.x, 13.0 | 12.1-49.x, 13.0 |
TLS1-ECDHE-RSA-DES-CBC3-SHA | 0 xc012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 12.1-49.x, 13.0 | na - |
tls1——她——rsa - aes - 128 - cbc -沙 | 0 x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | 12.1-49.x, 13.0 | 12.1-49.x, 13.0 |
tls1——她——rsa - aes - 256 - cbc -沙 | 0 x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | 12.1-49.x, 13.0 | 12.1-49.x, 13.0 |
要查看Citrix ADC FIPS设备支持的默认密码列表,请在命令提示符下键入:
show ssl cipher DTLS_FIPS 1)密码名:TLS1-AES-256-CBC-SHA优先级:1描述:SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035 2)密码名:TLS1-AES-128-CBC-SHA优先级:2描述:SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f 3)密码名:TLS1-ECDHE-RSA-AES256-SHA优先级:3描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 4)密码名:TLS1-ECDHE-RSA-AES128-SHA优先级:4描述:5)密码名:TLS1-ECDHE-RSA-DES-CBC3-SHA优先级:5描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012 6)密码名:SSL3-DES-CBC3-SHA优先级:6描述:SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a
DTLSV1.2前端VPX设备,MPX/SDX(基于Coleto和N3)设备的密码支持
下表列出了DTLSv1.2协议支持的其他密码。
密码套件名称 | 十六进制码 | Wireshark密码套件名称 | 支持的构建(vpx前端) | 支持的构建(基于Coleo) | 支持的构建(基于n3) |
---|---|---|---|---|---|
TLS1.2-AES256-GCM-SHA384 | 0 x009d | TLS_RSA_WITH_AES_256_GCM_SHA384 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
TLS1.2-AES128-GCM-SHA256 | 0 x009c | TLS_RSA_WITH_AES_128_GCM_SHA256 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 | 0 xc030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 | 0 xc02f | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
TLS1.2-DHE-RSA-AES256-GCM-SHA384 | 0 x009f | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
TLS1.2-DHE-RSA-AES128-GCM-SHA256 | 0 x009e | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
tls1.2 sha256——aes - 256 | 0 x003d | TLS_RSA_WITH_AES_256_CBC_SHA256 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
tls1.2 sha256——aes - 128 | 0 x003c | TLS_RSA_WITH_AES_128_CBC_SHA256 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
tls1.2 - ecdhe - rsa - aes - 256 sha384 | 0 xc028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
tls1.2 - ecdhe - rsa - aes - 128 sha256 | 0 xc027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
tls1.2 -她- rsa - aes - 256 sha256 | 0 x006b | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |
tls1.2 -她- rsa - aes - 128 sha256 | 0 x0067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | 13.0 - -47. x | 13.0 - -52. x | 13.0 - -58. x |