Compatibilidad con los conjuntos de cifrado ECDSA
Los conjuntos de cifrado ECDSA utilizan criptografía de curva elíptica (ECC). Debido a su tamaño más pequeño, resulta útil en entornos donde la potencia de procesamiento, el espacio de almacenamiento, el ancho de banda y el consumo de energía están limitados.
Cuando se utiliza el grupo de cifrado ECDHE_ECDSA, el certificado del servidor debe contener una clave pública compatible con ECDS.
En la siguiente tabla se enumeran los cifrados ECDSA admitidos en los dispositivos Citrix ADC MPX y SDX con chips N3, dispositivos Citrix ADC VPX, MPX 5900/26000 y MPX/SDX 8900/15000.
| Nombre de cifrado | Prioridad | Descripción | Algoritmo de intercambio de claves | Algoritmo de autenticación | Algoritmo de cifrado (tamaño de clave) | Algoritmo de código de autenticación de mensajes (MAC) | Hexcode |
|---|---|---|---|---|---|---|---|
| TLS1-ECDHE-ECDSA-AES128-SHA | 1 | SSLv3 | ECC-DHE | ECDSA | AES(128) | SHA1 | 0xc009 |
| TLS1-ECDHE-ECDSA-AES256-SHA | 2 | SSLv3 | ECC-DHE | ECDSA | AES(256) | SHA1 | 0xc00a |
| TLS1.2-ECDHE-ECDSA-AES128-SHA256 | 3 | TLSv1.2 | ECC-DHE | ECDSA | AES(128) | SHA-256 | 0xc023 |
| TLS1.2-ECDHE-ECDSA-AES256-SHA384 | 4 | TLSv1.2 | ECC-DHE | ECDSA | AES(256) | SHA-384 | 0xc024 |
| TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 | 5 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM(128) | SHA-256 | 0xc02b |
| TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 | 6 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM(256) | SHA-384 | 0xc02c |
| TLS1-ECDHE-ECDSA-RC4-SHA | 7 | SSLv3 | ECC-DHE | ECDSA | RC4 (128) | SHA1 | 0xc007 |
| TLS1-ECDHE-ECDSA-DES-CBC3-SHA | 8 | SSLv3 | ECC-DHE | ECDSA | 3DES (168) | SHA1 | 0xc008 |
| TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 | 9 | TLSv1.2 | ECC-DHE | ECDSA | CHACHA20/POLY1305(256) | AEAD | 0xcca9 |
Selección de certificados y cifrado ECDSA/RSA
Puede enlazar certificados de servidor ECDSA y RSA al mismo tiempo a un servidor virtual SSL. Cuando los certificados ECDSA y RSA están enlazados al servidor virtual, selecciona automáticamente el certificado de servidor adecuado para presentarlo al cliente. Si la lista de cifrado del cliente incluye cifrados RSA, pero no incluye cifrados ECDSA, el servidor virtual presenta el certificado del servidor RSA. Si ambos cifrados están presentes en la lista del cliente, el certificado de servidor presentado depende de la prioridad de cifrado establecida en el servidor virtual. Es decir, si RSA tiene una prioridad más alta, se presenta el certificado RSA. Si ECDSA tiene una prioridad más alta, el certificado ECDSA se presenta al cliente.
Autenticación de cliente mediante un certificado ECDSA o RSA
Para la autenticación de cliente, el certificado de CA vinculado al servidor virtual puede estar firmado por ECDSA o RSA. El dispositivo admite una cadena de certificados mixta. Por ejemplo, se admite la siguiente cadena de certificados.
Certificado de cliente (ECDSA) <-> Certificado de CA (RSA) <-> Certificado intermedio (RSA) <-> Certificado raíz (RSA)
En la tabla siguiente se muestran las curvas elípticas admitidas en los distintos dispositivos Citrix ADC con grupos de cifrado ECDSA y certificados ECDSA:
| Curvas elípticas | Plataformas admitidas |
|---|---|
| prime256v1 | Todas las plataformas, incluido FIPS. |
| secp384r1 | Todas las plataformas, incluido FIPS. |
| secp521r1 | MPX 5900, MPX/SDX 8900, MPX/SDX 15000, MPX/SDX 26000, VPX |
| secp224r1 | MPX 5900, MPX/SDX 8900. MPX/SDX 15000, MPX/SDX 26000, VPX |
Crear un par de certificados ECDSA
Puede crear un par de claves de certificado ECDSA directamente en un dispositivo Citrix ADC mediante la CLI o la GUI. Anteriormente, podía instalar y enlazar un par de claves de certificado ECC en el dispositivo, pero tenía que usar OpenSSL para crear un par de claves de certificado.
Solo se admiten curvas P_256 y P_384.
Nota
Este soporte está disponible en todas las plataformas excepto MPX 9700/1050/12500/15500.
Para crear un par de certificados ECDSA mediante la CLI:
En el símbolo del sistema, escriba:
create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]
<!--NeedCopy-->
Ejemplo:
create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done
<!--NeedCopy-->
Para crear un par de certificados ECDSA mediante la interfaz gráfica de usuario:
- Vaya a Administración del tráfico > SSL > Archivos SSL > Claves y haga clic en Crear clave ECDSA.
- Para crear una clave en formato PKCS #8, seleccione PKCS8.