ADC

Cifrados ECDHE

Todos los dispositivos NetScaler admiten el grupo de cifrado ECDHE en la interfaz y en la parte posterior. En un dispositivo SDX, si se asigna un chip SSL a una instancia VPX, se aplica la compatibilidad de cifrado de un dispositivo MPX. De lo contrario, se aplica la función de cifrado normal de una instancia VPX.

Para obtener más información sobre las compilaciones y plataformas que admiten estos cifrados, consulte Cifrados disponibles en los dispositivos NetScaler.

Los conjuntos de cifrado ECDHE utilizan criptografía de curva elíptica (ECC). Debido a su menor tamaño de clave, el ECC es especialmente útil en un entorno móvil (inalámbrico) o en un entorno de respuesta de voz interactiva, donde cada milisegundo es importante. Los tamaños de clave más pequeños ahorran energía, memoria, ancho de banda y costes computacionales.

Un dispositivo NetScaler admite las siguientes curvas ECC:

  • P_256
  • P_384
  • P_224
  • P_521
  • X_25519 (compatible solo con TLS 1.3 en el front-end en la versión 14.1-12.x y posteriores). Compatible con TLS 1.2 y 1.3 en el back-end (en las versiones 14.1-25.x y posteriores).

Puede vincular las cinco curvas a las entidades frontales SSL. De forma predeterminada, las curvas se enlazan en el siguiente orden: X_25519, P_256, P_384, P_224, P_521. Al actualizar a la versión 14.1-12.x, los enlaces de curvas de los servidores virtuales SSL y perfiles SSL existentes no se modifican. Para usar el X25519, debe modificar la configuración y vincular el X25519 manualmente. Como alternativa, para agregar X25519 al principio de la lista, utilice la opción ‘ALL’ ec_curve en los comandos bind ssl vserver o bind ssl profile. Este comando separa y enlaza internamente todas las curvas en el orden predeterminado.

Puede vincular las cuatro primeras curvas ECC a las entidades de back-end de SSL. De forma predeterminada, las cuatro curvas se enlazan en el siguiente orden: P_256, P_384, P_224, P_521.

Para cambiar el orden, primero debe desvincular todas las curvas y, a continuación, enlazarlas en el orden deseado.

Enlazar curvas ECC a un servidor virtual SSL mediante la CLI

Curvas ECC compatibles: P_256, P_384, P_224, P_521 y X_25519.

En la línea de comandos, escriba:

bind ssl vserver <vServerName > -eccCurveName <eccCurveName >

Ejemplo:

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Enlazar curvas ECC a un servidor virtual SSL mediante la interfaz gráfica de usuario

Curvas ECC compatibles: P_256, P_384, P_224, P_521 y X_25519.

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Seleccione un servidor virtual SSL y haga clic en Modificar.
  3. En Configuración avanzada, haga clic en Curva ECC.

    Ajustes avanzados para la curva ECC

  4. Haga clic dentro de la sección de la curva del ECC.
  5. En la página de enlace de curvas ECC del servidor virtual SSL, haga clic en Agregar enlace.

    Agregue un enlace de curva ECC en el servidor virtual SSL

  6. En Enlace de curvas ECC, haga clic en Seleccionar curva ECC.

  7. Seleccione un valor y, a continuación, haga clic en Seleccionar.

    Seleccione el valor de la curva ECC

  8. Haga clic en Bind.
  9. Haga clic en Cerrar.
  10. Haga clic en Listo.

Enlazar curvas ECC a un servicio SSL mediante la CLI

Curvas ECC compatibles: P_256, P_384, P_224, P_521 y X_25519.

En la línea de comandos, escriba:

bind ssl service <ServiceName > -eccCurveName <eccCurveName >

Ejemplo:

> bind ssl service sslsvc -eccCurveName P_224

> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service sslsvc:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: DISABLED
    Session Reuse: ENABLED      Timeout: 300 seconds
    Cipher Redirect: DISABLED
    ClearText Port: 0
    Server Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: ???
    DHE Key Exchange With PSK: ???
    Tickets Per Authentication Context: ???

    ECC Curve: P_224


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done
<!--NeedCopy-->

Enlazar curvas ECC a un grupo de servicios SSL mediante la CLI

Curvas ECC compatibles: P_256, P_384, P_224, P_521 y X_25519.

En la línea de comandos, escriba:

bind ssl servicegroup <ServicegroupName > -eccCurveName <eccCurveName >

Ejemplo:

> bind ssl service sslsg -eccCurveName X_25519

> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service Group sslsg:
    Session Reuse: ENABLED        Timeout: 300 seconds
    Server Auth: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED

    ECC Curve: X_25519


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done
<!--NeedCopy-->

Enlazar curvas ECC a un servicio SSL mediante la interfaz gráfica de usuario

  1. Vaya a Traffic Management > Load Balancing > Services.
  2. Seleccione un servicio SSL y haga clic en Modificar.
  3. En Configuración avanzada, haga clic en Curva ECC.

    Ajustes avanzados para la curva ECC

  4. Haga clic dentro de la sección de la curva del ECC.
  5. En la página de enlace de curvas ECC del servicio SSL, haga clic en Agregar enlace.

    Agregar enlace de curva ECC

  6. En Enlace de curvas ECC, haga clic en Seleccionar curva ECC.
  7. Seleccione un valor y, a continuación, haga clic en Seleccionar.

    Seleccione el valor de la curva ECC

  8. Haga clic en Bind.
  9. Haga clic en Cerrar.
  10. Haga clic en Listo.

Enlazar curvas ECC a un grupo de servicios SSL mediante la GUI

  1. Vaya a Traffic Management > Load Balancing > Service Groups.
  2. Seleccione un grupo de servicios SSL y haga clic en Modificar.
  3. En Configuración avanzada, haga clic en Curva ECC.
  4. Haga clic dentro de la sección de la curva del ECC.
  5. En la página Enlace de curvas ECC del grupo de servicios SSL, haga clic en Agregar enlace.
  6. En Enlace de curvas ECC, haga clic en Seleccionar curva ECC.
  7. Seleccione un valor y, a continuación, haga clic en Seleccionar.
  8. Haga clic en Bind.
  9. Haga clic en Cerrar.
  10. Haga clic en Listo.