产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

支持DTLS协议

2022年2月23日
投稿者:
C

备注:

  • Citrix ADC MPX/SDX(基于N2和N3), VPX和MPX 14000 FIPS设备支持dtlSv1.0协议。外部HSM不支持此功能。
  • 包含英特尔Coleto SSL芯片的Citrix ADC设备支持迪泰1.0协议(从版本12.1版50本。X开始)。
  • Citrix ADC VPX设备的前端支持dtlSv1.2协议(从版本13.0版本47岁。X开始)。
  • 包含英特尔Coleto SSL芯片的Citrix ADC设备的前端支持迪泰1.2协议(从版本13.0版本52. x)。有关包含英特尔Coleo SSL芯片的平台的更多信息,请参阅支持基于英特尔Coleo SSL芯片的平台
  • 不支持DTLS类型的服务组。
  • Citrix ADC MPX(基于N3)设备的前端支持DTLSv1.2协议(来自13.0版本版本58. x)。
  • 有关Citrix Gateway的开明数据传输(EDT)支持的信息,请参阅HDX启发的数据传输支持
  • 从版本13.0版本79。x版本对DTL配置文件进行了更改。有关更多信息,请参阅DTLS配置文件
  • 从13.0版本版本82。x开始,DTLS配置文件中引入了一个新的参数maxBadmacIgnorecount,以忽略在DTLS会话中收到的错误MAC记录。有关更多信息,请参阅DTLS配置文件
  • 有关支持的平台和版本的信息,请参阅Citrix ADC MPX硬件-软件兼容性矩阵

传统上,ssl和TLS协议用于保护流媒体流量。这两种协议都基于tcp,速度很慢。此外,tls无法处理丢失或重新排序的数据包。

UDP是音频和视频应用程序的首选协议,例如Lync, Skype, iTunes, YouTube,培训视频和闪光。但是,udp并不安全或不可靠。DTLS协议旨在通过udp保护数据,用于媒体流,voip和用于通信的在线游戏等应用程序。在DTLS中,每条握手消息都会在该握手内分配一个特定的序列号。当对等方收到握手消息时,它可以快速确定该消息是否是预期的下一条消息。如果是,则节点会处理该消息。如果没有,则在收到以前的所有消息后,消息将排队等待处理。

创建DTLS虚拟服务器和udp类型的服务。默认情况下,迪泰配置文件(nsdtls_default_profile)绑定到虚拟服务器。或者,您可以创建用户定义的DTLS配置文件并将其绑定到虚拟服务器。

注意:dtls虚拟服务器不支持rc4密码。

DTLS配置

您可以使用命令行(cli)或配置实用程序(gui)在adc设备上配置dtls。

注意:从13.0版本47。x开始,Citrix ADC VPX设备的前端支持DTLS 1.2协议。配置DTLSv1.2虚拟服务器时,请指定DTLS12。默认值为dtls1。

在命令提示符下,键入:

设置ssl vserver DTLS [-dtls1 (ENABLED | DISABLED)] [-dtls12 (ENABLED | DISABLED)]

使用cli创建DTLS配置

在命令提示符下,键入:

add lb vserver  DTLS   add service   UDP 443 bind lb vserver

以下步骤是可选的:

add dtlsProfile dtls-profile -maxretryTime  set ssl vserver  -dtlsProfileName

使用GUI创建DTLS配置

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 创建DTLS类型的虚拟服务器,然后将udp服务绑定到虚拟服务器。
  3. 默认DTLS配置文件绑定到DTLS虚拟服务器。要绑定其他配置文件,请在SSL参数中选择不同的DTLS配置文件。要创建配置文件,请单击DTLS配置文件旁边的加号(+)。

支持DTLS虚拟服务器上的sni

有关sni的信息,请参阅配置sni虚拟服务器以安全托管多个站点

使用cli在DTLS虚拟服务器上配置sni

在命令提示符下,键入:

set ssl vserver  -SNIEnable ENABLED绑定ssl vserver  -certkeyName  -SNICert show ssl vserver

示例

set ssl vserver v1 -sniEnable ENABLED bind ssl vserver v1 -certkeyName san2 -sniCert bind ssl vserver v1 -certkeyName san13 -sniCert bind ssl vserver v1 -certkeyName san17 -sniCert 
sh dswaretool . sh ssl vserver v1 vserver v1的高级ssl配置:DH: DISABLED DH Private-Key index Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 1800秒Cipher Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: ENABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS IncludeSubDomains: NO HSTS Max-Age: 0 DTLSv1: ENABLED Send Close-Notify: YES Strict Sig-Digest Check: YESDISABLED Zero RTT早期数据:DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication背景信息:1 DTLS配置文件名称:nsdtls_default_profile ECC曲线:P_256, P_384, P_224, P_521 1) CertKey名称:ca ca证书OCSPCheck: OptionalCA_Name Sent 2) CertKey名称:san2 SNI服务器证书3)CertKey名称:san17 SNI服务器证书4)CertKey名称:san13 SNI服务器证书1)密码名称:DEFAULT描述:默认密码列表,加密强度>= 128bit Done

使用GUI在DTLS虚拟服务器上配置sni

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 打开DTLS虚拟服务器,然后在证书中单击服务器证书。
  3. 添加证书或从列表中选择一个证书,然后选择Sni的服务器证书
  4. 高级设置中,单击SSL参数
  5. 选择Sni启用

DTLS虚拟服务器不支持的功能

无法在DTLS虚拟服务器上启用以下选项:

  • SSLv2的站点时
  • SSLv3
  • TLSv1
  • TLSv1.1
  • TLSv1.2
  • 推送加密触发器
  • SSLv2Redirect
  • SSLv2URL

DTLS虚拟服务器未使用的参数

即使设置了以下SSL参数,dtls虚拟服务器也会忽略以下SSL参数:

  • 加密触发数据包计数
  • 推送加密触发超时
  • SSL量子大小
  • 加密触发器超时
  • 主题/发行人名称插入格式

在DTLS服务上配置重新协商

DTLS服务支持不安全的重新协商。您可以使用cli或GUI来配置此设置。

使用cli在DTLS服务上配置重新协商

在命令提示符下,键入:

设置ssl参数-denysslreneg NONSECURE

示例:

ssl参数设置-denysslreneg不安全的sh ssl参数先进ssl参数  ----------------------- SSL量子尺寸:8 KB马克斯CRL内存大小:256 MB严格CA检查:没有加密触发超时:100发送Close-Notify女士:是的加密触发包数:45否认SSL重新谈判:安全主题上/发行人名称插入格式:Unicode OCSP缓存大小:10 MB推动国旗:0 x0(汽车)严格的主机头检查SNI启用SSL会话:女士没有推动加密触发超时:1加密设备禁用限制:0全球undef行动控制策略:CLIENTAUTH全球undef行动数据政策:无操作默认概要文件:禁用SSL证书头插入空间:是的禁用TLS 1.1/1.2 SSL_BRIDGE安全监控:没有禁用TLS 1.1/1.2动态和VPN服务:没有软件加密加速CPU阈值:0混合FIPS模式:禁用签名和哈希算法由TLS1.2:所有SSL拦截错误学习和缓存:DISABLED SSL拦截最大错误缓存内存:0字节完成

使用GUI在DTLS服务上配置重新协商

  1. 导航到交通管理(流量管理)>负载平衡(负载平衡)>服务(服务)
  2. 选择一个DTLS服务,然后单击编辑
  3. 导航到SSL>高级设置
  4. 选择拒绝SSL重新协商

DTLS服务不支持的功能

无法在DTLS服务上启用以下选项:

  • SSLv2的站点时
  • SSLv3
  • TLSv1
  • TLSv1.1
  • TLSv1.2
  • 推送加密触发器
  • SSLv2Redirect
  • SSLv2URL
  • SNI
  • 安全的重新协商

DTLS服务未使用的参数

即使设置了以下SSL参数,dtls服务也会忽略以下SSL参数:

  • 加密触发数据包计数
  • 推送加密触发超时
  • SSL量子大小
  • 加密触发器超时
  • 主题/发行人名称插入格式

注意:

SSL会话重复使用握手在DTLS服务上失败,因为DTLS服务当前不支持会话重用。

解决办法:在DTLS服务上手动禁用会话重用。在cli中,键入:

set ssl service -sessReuse DISABLED

DTLS配置文件

具有默认设置的DTLS配置文件会自动绑定到DTLS虚拟服务器。但是,您可以使用特定设置创建DTLS配置文件以满足您的要求。

将DTLS配置文件用于DTLS虚拟服务器或VPN DTLS虚拟服务器。您不能将SSL配置文件与DTLS虚拟服务器一起使用。

注意:

根据mtu和数据包大小的变化,更改DTLS配置文件中的最大记录大小设置。例如,默认的最大记录大小1459字节是根据IPv4地址标头大小计算的。对于IPv6记录,标头大小会更大,因此必须减小最大记录大小才能满足以下标准。

最大记录大小+ UDP头(8字节)+ IP头大小< MTU

示例:

缺省DTLS配置文件1)名称:nsdtls_default_profile PMTU发现:DISABLED最大记录大小:1459字节最大重试时间:3秒Hello Verify Request: ENABLED终止会话:DISABLED最大报文计数:120字节自定义DTLS配置文件1)名称:ns_dtls_profile_ipv6_1 PMTU发现:DISABLED最大记录大小:1450字节最大重试时间:3秒Hello Verify Request: ENABLED终止会话:DISABLED最大报文计数:120字节

使用cli创建DTLS配置文件

注意:从13.0版本79。x开始,对DTL配置文件的更改如下:

  • 默认情况下,该helloverifyrequest参数是启用的。启用此参数有助于降低攻击者或机器人超出网络吞吐量的风险,从而可能导致出站带宽耗尽。也就是说,它有助于缓解DTL DDoS扩增攻击。
  • 添加了maxHoldQlen参数。此参数定义了可以在DTLS层排队进行处理的数据报的数量。如果udp多路复用传输了高udp流量,则该maxHoldQlen参数的值较高可能会导致DTLS层的内存积累。因此,建议配置较低的值。最小值为 32,最大值为 65535,默认值为 32。

从13.0版本版本82。x开始,DTLS配置文件中引入了一个新的参数maxBadmacIgnorecount,以忽略在DTLS会话中收到的错误MAC记录。使用此参数,将忽略不超过参数中设置的值的坏记录。只有在达到限制后,设备才会终止会话并发送警报。此参数设置仅在启用terminateSession参数时才有效。

ssl dtlsProfile  -maxRetryTime  -helloVerifyRequest (ENABLED | DISABLED) -terminateSession (ENABLED | DISABLED) -maxHoldQLen  - maxbadmacignoreload  helloVerifyRequest发送Hello Verify请求来验证客户端。取值范围:ENABLED、DISABLED缺省值:ENABLED terminateSession客户端与服务器端的MAC (message authentication code)不匹配时终止会话。可选值:ENABLED、DISABLED默认值:DISABLED maxHoldQLen DTLS层排队等待处理的最大数据报数默认值:32最小值:32最大值:65535 maxBadmacIgnorecount在断开连接之前忽略的最大MAC错误数。禁用参数terminateSession在连接中检测到坏MAC时立即终止会话。缺省值:100最小值:1最大值:65535

示例:

> add ssl dtlsprofile dtls_profile -maxRetryTime 4 -helloVerifyRequest ENABLED -terminateSession ENABLED -maxHoldQLen 40 - maxbadmacignoreload 150 Done > sh dtlsprofile dtls_profile 1) Name: dtls_profile PMTU Discovery: DISABLED Max Record Size: 1459 bytes Max RetryTime: 4 sec Hello VerifyRequest: ENABLED Terminate Session: ENABLED Max Packet Count: 120 bytes Max HoldQ Size: 40 datagrams Max bad-MAC Ignore Count: 150 Done

通过使用GUI创建DTLS配置文件

  1. 导航到系统>配置文件> DTL配置文件,然后单击添加

  2. 在“创建DTLS配置文件页面中,键入不同参数的值。

    DTLS配置文件

  3. 单击”创建”。

端到端DTLS配置示例

enable ns feature SSL LB add server s1 198.51.100.2 en ns mode usnip add service svc_dtls s1 DTLS 443 add LB vserver v1 DTLS 10.102.59.244 443 bind SSL vserver v1 -ciphername ALL add SSL certkey servercert -cert servercert_aia_valid。Pem -key serverkey_aia. Pempem bind ssl vserver v1 -certkeyname servercert bind lb vserver lb1 svc_dtls sh lb vserver v1 v1 (10.102.59.244:4433) - DTLS Type: ADDRESS State: UP Last State change was at Fri Apr 27 07:00:27 2018 Time since Last State change: 0 days, 00:00:04.810 Effective State: UP Client Idle Timeout: 120 sec Down State flush: ENABLED Disable Primary vserver On Down: DISABLED Appflow logging: ENABLED否绑定服务:1 (Total) 0 (Active)配置方式:LEASTCONNECTION当前方式:轮询,原因:已绑定新服务BackupMethod: ROUNDROBIN模式:IP持久化:NONE L2Conn: OFF跳过持久化:无监听策略:NONE IcmpResponse:被动RHIstate:被动新建服务启动请求速率:0 PER_SECOND,增量间隔:0 Mac模式保留Vlan: DISABLED DBS_LB: DISABLED进程Local: DISABLED流量域:0 TROFS持久化:ENABLED Retain Connections on Cluster: NO 1) svc_dtls (10.102.59.190: 4433) - DTLS State: UP Weight: 1 Done sh ssl vserver v1 vserver v1的高级ssl配置:DH: DISABLED DH Private-Key index Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 1800秒Cipher Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED ssl Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS:DISABLED HSTS include - ubdomains: NO HSTS Max-Age: 0 DTLSv1: ENABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 DTLS配置文件名称:nsdtls_default_profile ECC Curve: P_256, P_384, P_224, P_521 1) CertKey名称:servercert服务器证书1)密码名称:DEFAULT描述:加密强度为>= 128bit的默认密码列表2)密码名称:ALL描述:NetScaler支持的所有密码,不包括空密码完成sh服务svc_dtls svc_dtls(10.102.59.190:4433) -迪泰状态:去年状态改变是在2018年4月27日07:00:26星期五以来最后的状态变化:0天,00:00:22.790服务器名称:s1服务器ID:没有监控阈值:0马克斯康涅狄格州:0马克斯点播:0最大带宽:0来使用源IP:没有客户Keepalive (CKA):没有访问服务:没有TCP缓冲(TCPB):没有HTTP压缩(CMP):没有闲置超时:客户:120秒服务器:120 sec Client IP: DISABLED Cacheable: NO SC: OFF SP: OFF Down state flush: ENABLED Monitor Connection Close: NONE Appflow logging: ENABLED Process Local: DISABLED Traffic Domain: 0 1) Monitor Name: ping-default state: UP Weight: 1 Passive: 0 Probes: 5 Failed [Total: 0 Current: 0] Last response: Success -收到ICMP echo reply。响应时间:2.77毫秒Done sh ssl service svc_dtls后端ssl服务ssl高级配置svc_dtls: DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: DISABLED Session重用:ENABLED Timeout: 1800秒Cipher重定向:DISABLED ClearText端口:0 Server Auth: DISABLED ssl重定向:DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED DTLSv1: ENABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: ??DHE密钥交换与PSK: ??背景信息:?? DTLS profile name: nsdtls_default_profile ECC Curve: P_256, P_384, P_224, P_521 1) Cipher Name: DEFAULT_BACKEND Description: Default cipher list for Backend SSL session Done > sh dtlsProfile nsdtls_default_profile 1) Name: nsdtls_default_profile PMTU Discovery: DISABLED Max Record Size: 1459 bytes Max Retry Time: 3 sec Hello Verify Request: DISABLED Terminate Session: ENABLED Max Packet Count: 120 bytes Max HoldQ Size: 32 datagrams Max bad-MAC Ignore Count: 10 Done

对IPv6地址的DTLS支持

IPv6地址也支持DTL。但是,要将DTLS与IPv6地址结合使用,必须在DTLS配置文件中调整最大记录大小。

如果默认值用于最大记录大小,则初始DTLS连接可能会失败。使用DTLS配置文件调整最大记录大小。

DTLS密码支持

默认情况下,创建DTLS虚拟服务器或服务时会绑定DTLS密码组。Default_dtls包含前端DTLS实体支持的密码。创建DTLS虚拟服务器时,默认情况下会绑定此组。德FAULT_DTLS_BACEND 包含后端 DTLS 实体支持的密码。默认情况下,此组绑定到 DTLS 后端服务。DTLS_FIPS 包含 Citrix ADC FIPS 平台上支持的密码。默认情况下,此组绑定到在 FIPS 平台上创建的 DTLS 虚拟服务器或服务。

Citrix ADC VPX, MPX/SDX(基于N2和N3)设备上的DTLS密码支持

如何阅读表格:

除非指定了内部版本号,否则发行版中的所有内部版本都支持密码套件。

示例:

  • 10.5 11.0 11.1 12.0 12.1 13.0:10.5, 11.0, 11.1, 12.0, 12.1, 13.0版本的所有内部版本。
  • na -:不适用。

Citrix ADC VPX, MPX/SDX(基于N2和N3)设备上的DTLS密码支持

密码套件名称 十六进制码 Wireshark密码套件名称 支持的构建(前端) 支持的构建版本(后端)
tls1 - aes - 256 - cbc -沙 0 x0035 TLS_RSA_WITH_AES_256_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0 12.1 13.0
tls1 - aes - 128 - cbc -沙 0 x002f TLS_RSA_WITH_AES_128_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0 12.1 13.0
SSL3-DES-CBC-SHA 0 x0009 TLS_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 na -
SSL3-DES-CBC3-SHA 0 x000a TLS_RSA_WITH_3DES_EDE_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 12.0 12.1 13.0
SSL3-EDH-RSA-DES-CBC3-SHA 0 x0016 TLS_DHE_RSA_WITH_3DES_EDE_CBC_S 11.0, 11.1, 12.0, 12.1, 13.0 na -
SSL3-EDH-RSA-DES-CBC-SHA 0 x0015 TLS_DHE_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1, 13.0 na -
TLS1-ECDHE-RSA-AES256-SHA 0 xc014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 12.1, 13.0 12.1, 13.0
TLS1-ECDHE-RSA-AES128-SHA 0 xc013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 12.1, 13.0 12.1, 13.0
TLS1-ECDHE-RSA-DES-CBC3-SHA 0 xc012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 12.1, 13.0 na -
tls1——她——rsa - aes - 128 - cbc -沙 0 x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 12.1, 13.0 12.1, 13.0
tls1——她——rsa - aes - 256 - cbc -沙 0 x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA 12.1, 13.0 12.1, 13.0

要查看前端支持的默认密码列表,请在命令提示符处键入:

1)密码名:TLS1-AES-256-CBC-SHA优先级:1描述:SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035 2)密码名:TLS1-AES-128-CBC-SHA优先级:2描述:SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f 3)密码名:TLS1-ECDHE-RSA-AES256-SHA优先级:3描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 4)密码名:TLS1-ECDHE-RSA-AES128-SHA优先级:4描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013 5)密码名:TLS1-DHE-RSA-AES-256-CBC-SHA优先级:5描述:SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0039 6)密码名:tls1 - dhe -AES-128- cbc - sha优先级:6描述:SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x0033 7)密码名:TLS1-ECDHE-RSA-DES-CBC3-SHA优先级:7描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc0128说明:SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a

要查看后端支持的默认密码列表,请在命令提示符处键入:

show ssl cipher DEFAULT_DTLS_BACKEND 1)密码名:TLS1-AES-256-CBC-SHA优先级:1描述:SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035 2)密码名:TLS1-AES-128-CBC-SHA优先级:2描述:SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f 3)密码名:TLS1-ECDHE-RSA-AES256-SHA优先级:3描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 4)密码名:TLS1-ECDHE-RSA-AES128-SHA优先级:4描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013 5)密码名:TLS1-DHE-RSA-AES-256-CBC-SHA优先级:5描述:SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0039 6)密码名:tls1 - dhe -AES-128- cbc - sha优先级:6描述:SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x0033 7)密码名:TLS1-ECDHE-RSA-DES-CBC3-SHA优先级:7描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc0128说明:SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a

Citrix ADC MPX 14000 FIPS平台上的DTLS密码支持

注意:如果满足以下条件,fips平台支持开明数据支持(edt):

  • 店面上设置的UDT MSS值为900。
  • Windows客户端版本为4.12或更高版本。
  • 启用了DTLS的vda版本为7.17或更高版本。
  • 非DTL vda版本为7.15 LTSR cu3或更高版本。

如何阅读表格:

除非指定了内部版本号,否则发行版中的所有内部版本都支持密码套件。

示例:

  • 10.5 11.0 11.1 12.0 12.1 13.0:10.5, 11.0, 11.1, 12.0, 12.1, 13.0版本的所有内部版本。
  • na -:不适用。
密码套件名称 十六进制码 Wireshark密码套件名称 支持的构建(前端) 支持的构建版本(后端)
tls1 - aes - 256 - cbc -沙 0 x0035 TLS_RSA_WITH_AES_256_CBC_SHA 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 12.0 12.1-49.x, 13.0
tls1 - aes - 128 - cbc -沙 0 x002f TLS_RSA_WITH_AES_128_CBC_SHA 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 12.0 12.1-49.x, 13.0
SSL3-DES-CBC-SHA 0 x0009 TLS_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 na -
SSL3-DES-CBC3-SHA 0 x000a TLS_RSA_WITH_3DES_EDE_CBC_SHA 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 12.0 12.1-49.x, 13.0
SSL3-EDH-RSA-DES-CBC3-SHA 0 x0016 TLS_DHE_RSA_WITH_3DES_EDE_CBC_S 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 na -
SSL3-EDH-RSA-DES-CBC-SHA 0 x0015 TLS_DHE_RSA_WITH_DES_CBC_SHA 11.0, 11.1, 12.0, 12.1 - 49 x, 13.0 na -
TLS1-ECDHE-RSA-AES256-SHA 0 xc014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 12.1-49.x, 13.0 12.1-49.x, 13.0
TLS1-ECDHE-RSA-AES128-SHA 0 xc013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 12.1-49.x, 13.0 12.1-49.x, 13.0
TLS1-ECDHE-RSA-DES-CBC3-SHA 0 xc012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 12.1-49.x, 13.0 na -
tls1——她——rsa - aes - 128 - cbc -沙 0 x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 12.1-49.x, 13.0 12.1-49.x, 13.0
tls1——她——rsa - aes - 256 - cbc -沙 0 x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA 12.1-49.x, 13.0 12.1-49.x, 13.0

要查看Citrix ADC FIPS设备支持的默认密码列表,请在命令提示符下键入:

show ssl cipher DTLS_FIPS 1)密码名:TLS1-AES-256-CBC-SHA优先级:1描述:SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0x0035 2)密码名:TLS1-AES-128-CBC-SHA优先级:2描述:SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0x002f 3)密码名:TLS1-ECDHE-RSA-AES256-SHA优先级:3描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014 4)密码名:TLS1-ECDHE-RSA-AES128-SHA优先级:4描述:5)密码名:TLS1-ECDHE-RSA-DES-CBC3-SHA优先级:5描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012 6)密码名:SSL3-DES-CBC3-SHA优先级:6描述:SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0x000a

DTLSV1.2前端VPX设备,MPX/SDX(基于Coleto和N3)设备的密码支持

下表列出了DTLSv1.2协议支持的其他密码。

密码套件名称 十六进制码 Wireshark密码套件名称 支持的构建(vpx前端) 支持的构建(基于Coleo) 支持的构建(基于n3)
TLS1.2-AES256-GCM-SHA384 0 x009d TLS_RSA_WITH_AES_256_GCM_SHA384 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
TLS1.2-AES128-GCM-SHA256 0 x009c TLS_RSA_WITH_AES_128_GCM_SHA256 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 0 xc030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 0 xc02f TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
TLS1.2-DHE-RSA-AES256-GCM-SHA384 0 x009f TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
TLS1.2-DHE-RSA-AES128-GCM-SHA256 0 x009e TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
tls1.2 sha256——aes - 256 0 x003d TLS_RSA_WITH_AES_256_CBC_SHA256 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
tls1.2 sha256——aes - 128 0 x003c TLS_RSA_WITH_AES_128_CBC_SHA256 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
tls1.2 - ecdhe - rsa - aes - 256 sha384 0 xc028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
tls1.2 - ecdhe - rsa - aes - 128 sha256 0 xc027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
tls1.2 -她- rsa - aes - 256 sha256 0 x006b TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
tls1.2 -她- rsa - aes - 128 sha256 0 x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 13.0 - -47. x 13.0 - -52. x 13.0 - -58. x
支持DTLS协议
2022年2月23日
投稿者:
C
2022年2月23日
投稿者:
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie首选项 | 同意设置
©1999 -思杰系统公司版权所有。