Compatibilidad con los conjuntos de cifrado ECDSA
Los conjuntos de cifrado ECDSA utilizan criptografía de curva elíptica (ECC). Debido a su tamaño más pequeño, resulta útil en entornos donde la potencia de procesamiento, el espacio de almacenamiento, el ancho de banda y el consumo de energía están limitados.
Cuando se utiliza el grupo de cifrado ECDHE_ECDSA, el certificado del servidor debe contener una clave pública compatible con ECDS.
En la siguiente tabla se enumeran los cifrados ECDSA admitidos en los dispositivos NetScaler MPX y SDX con chips N3, dispositivos NetScaler VPX, MPX 5900/26000 y MPX/SDX 8900/15000.
| Nombre de cifrado | Prioridad | Descripción | Algoritmo de intercambio de claves | Algoritmo de autenticación | Algoritmo de cifrado (tamaño de clave) | Algoritmo de código de autentificación de mensajes | Código hexadecimal |
|---|---|---|---|---|---|---|---|
| TLS1-ECDHE-ECDSA-AES128-SHA | 1 | SSLv3 | ECC-DHE | ECDSA | AES(128) | SHA1 | 0xc009 |
| TLS1-ECDHE-ECDSA-AES256-SHA | 2 | SSLv3 | ECC-DHE | ECDSA | AES(256) | SHA1 | 0xc00a |
| TLS1.2-ECDHE-ECDSA-AES128-SHA256 | 3 | TLSv1.2 | ECC-DHE | ECDSA | AES(128) | SHA-256 | 0xc023 |
| TLS1.2-ECDHE-ECDSA-AES256-SHA384 | 4 | TLSv1.2 | ECC-DHE | ECDSA | AES(256) | SHA-384 | 0xc024 |
| TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 | 5 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM(128) | SHA-256 | 0xc02b |
| TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 | 6 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM(256) | SHA-384 | 0xc02c |
| TLS1-ECDHE-ECDSA-RC4-SHA | 7 | SSLv3 | ECC-DHE | ECDSA | RC4(128) | SHA1 | 0xc007 |
| TLS1-ECDHE-ECDSA-DES-CBC3-SHA | 8 | SSLv3 | ECC-DHE | ECDSA | 3DES(168) | SHA1 | 0xc008 |
| TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 | 9 | TLSv1.2 | ECC-DHE | ECDSA | CHACHA20/POLY1305(256) | POR DELANTE | 0xcca9 |
Selección de certificados y cifrado ECDSA/RSA
Puede vincular los certificados de servidor ECDSA y RSA al mismo tiempo a un servidor virtual SSL. Cuando los certificados ECDSA y RSA están enlazados al servidor virtual, éste selecciona automáticamente el certificado de servidor adecuado para presentarlo al cliente. Si la lista de cifrados del cliente incluye cifrados RSA, pero no incluye cifrados ECDSA, el servidor virtual presenta el certificado del servidor RSA. Si ambos cifrados están presentes en la lista del cliente, el certificado de servidor presentado depende de la prioridad de cifrado establecida en el servidor virtual. Es decir, si RSA tiene una prioridad más alta, se presenta el certificado RSA. Si el ECDSA tiene una prioridad más alta, el certificado ECDSA se presenta al cliente.
Autenticación de clientes mediante un certificado ECDSA o RSA
Para la autenticación del cliente, el certificado de CA enlazado al servidor virtual puede estar firmado por ECDSA o RSA. El dispositivo admite una cadena de certificados mixta. Por ejemplo, se admite la siguiente cadena de certificados.
Certificado de cliente (ECDSA) <-> Certificado de CA (RSA) <-> Certificado intermedio (RSA) <-> Certificado raíz (RSA)
En la tabla siguiente se muestran las curvas elípticas admitidas en los distintos dispositivos NetScaler con grupos de cifrado ECDSA y certificados ECDSA:
| Curvas elípticas | Plataformas admitidas |
|---|---|
| prime256v1 | Todas las plataformas, incluido FIPS. |
| secp384r1 | Todas las plataformas, incluido FIPS. |
| secp521r1 | MPX 5900, MPX/SDX 8900, MPX/SDX 15000, MPX/SDX 26000, VPX |
| secp224r1 | MPX 5900, MPX/SDX 8900. MPX/SDX 15000, MPX/SDX 26000, VPX |
Crear un par de certificados ECDSA
Puede crear un par de claves de certificado ECDSA directamente en un dispositivo NetScaler mediante la CLI o la GUI. Anteriormente, podía instalar y vincular un par de claves de certificado ECC en el dispositivo, pero tenía que usar OpenSSL para crear un par de claves de certificado.
Solo se admiten las curvas P_256 y P_384.
Nota
Este soporte está disponible en todas las plataformas excepto en MPX 9700/1050/12500/15500.
Para crear un par de claves de certificado ECDSA mediante la CLI:
En la línea de comandos, escriba:
create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]
<!--NeedCopy-->
Ejemplo:
create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done
<!--NeedCopy-->
Para crear un par de claves de certificado ECDSA mediante la interfaz gráfica de usuario:
- Vaya a Administración del tráfico > SSL > Archivos SSL > Claves y haga clic en Crear clave ECDSA.
- Para crear una clave en formato PKCS #8, seleccione PKCS8.