ADC

Konfigurieren benutzerdefinierter Verschlüsselungsgruppen auf der ADC-Appliance

Eine Verschlüsselungsgruppe ist eine Reihe von Verschlüsselungssuiten, die Sie an einen virtuellen SSL-Server, -Dienst oder eine Dienstgruppe auf der NetScaler-Appliance binden. Eine Verschlüsselungssuite umfasst ein Protokoll, einen Schlüsselaustauschalgorithmus (Kx), einen Authentifizierungsalgorithmus (Au), einen Verschlüsselungsalgorithmus (Enc) und einen Algorithmus für den Nachrichtenauthentifizierungscode (Mac). Ihre Appliance wird mit einem vordefinierten Satz von Verschlüsselungsgruppen geliefert. Wenn Sie einen SSL-Dienst oder eine SSL-Dienstgruppe erstellen, wird die ALL-Chiffriergruppe automatisch daran gebunden. Wenn Sie jedoch einen virtuellen SSL-Server oder einen transparenten SSL-Dienst erstellen, wird die DEFAULT-Verschlüsselungsgruppe automatisch daran gebunden. Darüber hinaus können Sie eine benutzerdefinierte Verschlüsselungsgruppe erstellen und sie an einen virtuellen SSL-Server, -Dienst oder eine Dienstgruppe binden.

Hinweis: Wenn Ihre MPX-Appliance über keine Lizenzen verfügt, ist nur die EXPORT-Chiffre an Ihren virtuellen SSL-Server, -Dienst oder Ihre Dienstgruppe gebunden.

Um eine benutzerdefinierte Verschlüsselungsgruppe zu erstellen, erstellen Sie zunächst eine Verschlüsselungsgruppe und binden dann Chiffren oder Verschlüsselungsgruppen an diese Gruppe. Wenn Sie einen Chiffrieralias oder eine Verschlüsselungsgruppe angeben, werden alle Chiffren in dem Chiffrieralias oder der Verschlüsselungsgruppe zur benutzerdefinierten Verschlüsselungsgruppe hinzugefügt. Sie können einer benutzerdefinierten Gruppe auch einzelne Chiffren (Cipher Suites) hinzufügen. Sie können jedoch eine vordefinierte Verschlüsselungsgruppe nicht ändern. Bevor Sie eine Verschlüsselungsgruppe entfernen, heben Sie die Bindung aller Cipher-Suites in der Gruppe auf.

Beim Binden einer Verschlüsselungsgruppe an einen virtuellen SSL-Server, -Dienst oder eine Dienstgruppe werden die Chiffren an die vorhandenen Verschlüsselungen angehängt, die an die Entität gebunden sind. Um eine bestimmte Verschlüsselungsgruppe an die Entität zu binden, müssen Sie zuerst die Chiffren oder Verschlüsselungsgruppe aufheben, die an die Entität gebunden ist. Binden Sie dann die spezifische Verschlüsselungsgruppe an die Entität. Um beispielsweise nur die AES-Verschlüsselungsgruppe an einen SSL-Dienst zu binden, führen Sie die folgenden Schritte aus:

  1. Entbindet die Standard-Verschlüsselungsgruppe ALL, die standardmäßig an den Dienst gebunden ist, wenn der Dienst erstellt wird.

    unbind ssl service <service name> -cipherName ALL
    <!--NeedCopy-->
    
  2. Binden Sie die AES-Verschlüsselungsgruppe an den Dienst

    bind ssl service <Service name> -cipherName AE
    <!--NeedCopy-->
    

    Wenn Sie die Verschlüsselungsgruppe DES zusätzlich zu AES binden möchten, geben Sie an der Befehlszeile Folgendes ein:

    bind ssl service <service name> -cipherName DES
    <!--NeedCopy-->
    

Hinweis: Die kostenlose virtuelle NetScaler-Appliance unterstützt nur die DH-Chiffriergruppe.

Konfigurieren Sie eine benutzerdefinierte Verschlüsselungsgruppe mithilfe der CLI

Geben Sie an der Befehlszeile die folgenden Befehle ein, um eine Verschlüsselungsgruppe hinzuzufügen oder um Verschlüsselungen zu einer zuvor erstellten Gruppe hinzuzufügen, und überprüfen Sie die Einstellungen:

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <cipherGroup/cipherName>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->

Beispiel:

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
<!--NeedCopy-->

Entbinden von Chiffren aus einer Verschlüsselungsgruppe mithilfe der CLI

Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Bindung von Chiffren an eine benutzerdefinierte Verschlüsselungsgruppe aufzuheben, und überprüfen Sie die Einstellungen:

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>
<!--NeedCopy-->

Entfernen Sie eine Verschlüsselungsgruppe mithilfe der CLI

Hinweis: Sie können eine integrierte Verschlüsselungsgruppe nicht entfernen. Bevor Sie eine benutzerdefinierte Verschlüsselungsgruppe entfernen, stellen Sie sicher, dass die Verschlüsselungsgruppe leer ist.

Geben Sie an der Befehlszeile die folgenden Befehle ein, um eine benutzerdefinierte Verschlüsselungsgruppe zu entfernen, und überprüfen Sie die Konfiguration:

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

<!--NeedCopy-->

Beispiel:

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
<!--NeedCopy-->

Konfigurieren Sie eine benutzerdefinierte Verschlüsselungsgruppe mithilfe der GUI

  1. Navigieren Sie zu Traffic Management > SSL > Cipher Groups.
  2. Klicken Sie auf Hinzufügen.
  3. Geben Sie einen Namen für die Verschlüsselungsgruppe an.
  4. Klicken Sie auf Hinzufügen, um die verfügbaren Chiffren und Verschlüsselungsgruppen anzuzeigen.
  5. Wählen Sie eine Chiffre oder Verschlüsselungsgruppe aus und klicken Sie auf die Pfeilschaltfläche, um sie hinzuzufügen.
  6. Klicken Sie auf Erstellen.
  7. Klicken Sie auf Schließen.

So binden Sie eine Verschlüsselungsgruppe mithilfe der CLI an einen virtuellen SSL-Server, -Dienst oder eine Dienstgruppe:

Geben Sie in der Befehlszeile einen der folgenden Befehle ein:

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

<!--NeedCopy-->

Beispiel:

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done
<!--NeedCopy-->

So binden Sie eine Verschlüsselungsgruppe mithilfe der GUI an einen virtuellen SSL-Server, Dienst oder Dienstgruppe:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.

    Ersetzen Sie virtuelle Server für den Service durch Dienste. Ersetzen Sie für Dienstgruppen virtuelle Server durch Dienstgruppen.

    Öffnen Sie den virtuellen Server, Dienst oder Dienstgruppe.

  2. Wählen Sie unter Erweiterte Einstellungendie Option SSL-Verschlüsselungenaus.

  3. Binden Sie eine Verschlüsselungsgruppe an den virtuellen Server, Dienst oder Dienstgruppe.

Bindung einzelner Chiffren an einen virtuellen SSL-Server oder -Dienst

Sie können anstelle einer Verschlüsselungsgruppe auch einzelne Chiffren an einen virtuellen Server oder Dienst binden.

Um eine Chiffre mithilfe der CLI zu binden: Geben Sie in der Befehlszeile Folgendes ein:

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
<!--NeedCopy-->

Beispiel:

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
<!--NeedCopy-->

Um eine Chiffre mithilfe der GUI an einen virtuellen SSL-Server zu binden:

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Wählen Sie einen virtuellen SSL-Server aus und klicken Sie auf Bearbeiten.
  3. Wählen Sie unter Erweiterte Einstellungendie Option SSL-Verschlüsselungenaus.
  4. Wählen Sie inCipher SuitesHinzufügen aus.
  5. Suchen Sie in der verfügbaren Liste nach der Chiffre und klicken Sie auf den Pfeil, um sie der konfigurierten Liste hinzuzufügen.
  6. Klicken Sie auf OK.
  7. Klicken Sie auf Fertig.

Um eine Verschlüsselung an einen SSL-Dienst zu binden, wiederholen Sie die vorherigen Schritte, nachdem Sie den virtuellen Server durch den Dienst ersetzt haben.