Configurar cifrados SSL para acceder de forma segura a Management Service
Puede seleccionar conjuntos de cifrado SSL de una lista de cifrados SSL compatibles con los dispositivos NetScaler SDX y vincular cualquier combinación de cifrados SSL para acceder al Servicio de administración de SDX de forma segura a través de HTTPS. Un dispositivo SDX proporciona 37 grupos de cifrado predefinidos, que son combinaciones de cifrados similares, y puede crear grupos de cifrado personalizados a partir de la lista de cifrados SSL compatibles.
Limitaciones
- No se admiten cifrados de enlace con intercambio de claves = “DH” o “ECC-DHE”.
- No se admite la vinculación de los cifrados con Authentication = “DSS”.
- No se admiten los cifrados vinculantes que no forman parte de la lista de cifrados SSL admitidos o que incluyen estos cifrados en un grupo de cifrado personalizado.
Cifrados SSL compatibles
En la siguiente tabla se enumeran los cifrados SSL admitidos.
Nombre de cifrado de Citrix | Nombre de cifrado de OpenSSL | Código hexadecimal | Protocolo | KeyExchange | Auth | MAC |
---|---|---|---|---|---|---|
TLS1-AES-256-CBC-SHA | AES256-SHA | 0x0035 | SSLv3 | RSA | RSA | AES(256) |
TLS1-AES-128-CBC-SHA | AES128-SHA | 0x002F | SSLv3 | RSA | RSA | AES(128) |
TLS1.2-AES-256-SHA256 | AES256-SHA256 | 0x003D | TLSv1.2 | RSA | RSA | AES(256) |
TLS1.2-AES-128-SHA256 | AES128-SHA256 | 0x003C | TLSv1.2 | RSA | RSA | AES(128) |
TLS1.2-AES256-GCM-SHA384 | AES256-GCM-SHA384 | 0x009D | TLSv1.2 | RSA | RSA | AES-GCM(256) |
TLS1.2-AES128-GCM-SHA256 | AES128-GCM-SHA256 | 0x009C | TLSv1.2 | RSA | RSA | AES-GCM(128) |
TLS1-ECDHE-RSA-AES256-SHA | ECDHE-RSA-AES256-SHA | 0xC014 | SSLv3 | ECC-DHE | RSA | AES(256) |
TLS1-ECDHE-RSA-AES128-SHA | ECDHE-RSA-AES128-SHA | 0xC013 | SSLv3 | ECC-DHE | RSA | AES(128) |
TLS1.2-ECDHE-RSA-AES-256-SHA384 | ECDHE-RSA-AES256-SHA384 | 0xC028 | TLSv1.2 | ECC-DHE | RSA | AES(256) |
TLS1.2-ECDHE-RSA-AES-128-SHA256 | ECDHE-RSA-AES128-SHA256 | 0xC027 | TLSv1.2 | ECC-DHE | RSA | AES(128) |
TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | 0xC030 | TLSv1.2 | ECC-DHE | RSA | AES-GCM(256) |
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | 0xC02F | TLSv1.2 | ECC-DHE | RSA | AES-GCM(128) |
TLS1.2-DHE-RSA-AES-256-SHA256 | DHE-RSA-AES256-SHA256 | 0x006B | TLSv1.2 | DH | RSA | AES(256) |
TLS1.2-DHE-RSA-AES-128-SHA256 | DHE-RSA-AES128-SHA256 | 0x0067 | TLSv1.2 | DH | RSA | AES(128) |
TLS1.2-DHE-RSA-AES256-GCM-SHA384 | DHE-RSA-AES256-GCM-SHA384 | 0x009F | TLSv1.2 | DH | RSA | AES-GCM(256) |
TLS1.2-DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES128-GCM-SHA256 | 0x009E | TLSv1.2 | DH | RSA | AES-GCM(128) |
TLS1-DHE-RSA-AES-256-CBC-SHA | DHE-RSA-AES256-SHA | 0x0039 | SSLv3 | DH | RSA | AES(256) |
TLS1-DHE-RSA-AES-128-CBC-SHA | DHE-RSA-AES128-SHA | 0x0033 | SSLv3 | DH | RSA | AES(128) |
TLS1-DHE-DSS-AES-256-CBC-SHA | DHE-DSS-AES256-SHA | 0x0038 | SSLv3 | DH | DSS | AES(256) |
TLS1-DHE-DSS-AES-128-CBC-SHA | DHE-DSS-AES128-SHA | 0x0032 | SSLv3 | DH | DSS | AES(128) |
TLS1-ECDHE-RSA-DES-CBC3-SHA | ECDHE-RSA-DES-CBC3-SHA | 0xC012 | SSLv3 | ECC-DHE | RSA | 3DES(168) |
SSL3-EDH-RSA-DES-CBC3-SHA | EDH-RSA-DES-CBC3-SHA | 0x0016 | SSLv3 | DH | RSA | 3DES(168) |
SSL3-EDH-DSS-DES-CBC3-SHA | EDH-DSS-DES-CBC3-SHA | 0x0013 | SSLv3 | DH | DSS | 3DES(168) |
TLS1-ECDHE-RSA-RC4-SHA | ECDHE-RSA-RC4-SHA | 0xC011 | SSLv3 | ECC-DHE | RSA | RC4(128) |
SSL3-DES-CBC3-SHA | DES-CBC3-SHA | 0x000A | SSLv3 | RSA | RSA | 3DES(168) |
SSL3-RC4-SHA | RC4-SHA | 0x0005 | SSLv3 | RSA | RSA | RC4(128) |
SSL3-RC4-MD5 | RC4-MD5 | 0x0004 | SSLv3 | RSA | RSA | RC4(128) |
SSL3-DES-CBC-SHA | DES-CBC-SHA | 0x0009 | SSLv3 | RSA | RSA | DES(56) |
SSL3-EXP-RC4-MD5 | EXP-RC4-MD5 | 0x0003 | SSLv3 | RSA(512) | RSA | RC4(40) |
SSL3-EXP-DES-CBC-SHA | EXP-DES-CBC-SHA | 0x0008 | SSLv3 | RSA(512) | RSA | DES(40) |
SSL3-EXP-RC2-CBC-MD5 | EXP-RC2-CBC-MD5 | 0x0006 | SSLv3 | RSA(512) | RSA | RC2(40) |
SSL2-DES-CBC-MD5 | DHE-DSS-AES128-SHA256 | 0x0040 | SSLv2 | RSA | RSA | DES(56) |
SSL3-EDH-DSS-DES-CBC-SHA | EDH-DSS-DES-CBC-SHA | 0x0012 | SSLv3 | DH | DSS | DES(56) |
SSL3-EXP-EDH-DSS-DES-CBC-SHA | EXP-EDH-DSS-DES-CBC-SHA | 0x0011 | SSLv3 | DH(512) | DSS | DES(40) |
SSL3-EDH-RSA-DES-CBC-SHA | EDH-RSA-DES-CBC-SHA | 0x0015 | SSLv3 | DH | RSA | DES(56) |
SSL3-EXP-EDH-RSA-DES-CBC-SHA | EXP-EDH-RSA-DES-CBC-SHA | 0x0014 | SSLv3 | DH(512) | RSA | DES(40) |
SSL3-ADH-RC4-MD5 | ADH-RC4-MD5 | 0x0018 | SSLv3 | DH | Nada | RC4(128) |
SSL3-ADH-DES-CBC3-SHA | ADH-DES-CBC3-SHA | 0x001B | SSLv3 | DH | Nada | 3DES(168) |
SSL3-ADH-DES-CBC-SHA | ADH-DES-CBC-SHA | 0x001A | SSLv3 | DH | Nada | DES(56) |
TLS1-ADH-AES-128-CBC-SHA | ADH-AES128-SHA | 0x0034 | SSLv3 | DH | Nada | AES(128) |
TLS1-ADH-AES-256-CBC-SHA | ADH-AES256-SHA | 0x003A | SSLv3 | DH | Nada | AES(256) |
SSL3-EXP-ADH-RC4-MD5 | EXP-ADH-RC4-MD5 | 0x0017 | SSLv3 | DH(512) | Nada | RC4(40) |
SSL3-EXP-ADH-DES-CBC-SHA | EXP-ADH-DES-CBC-SHA | 0x0019 | SSLv3 | DH(512) | Nada | DES(40) |
SSL3-NULL-MD5 | NULL-MD5 | 0x0001 | SSLv3 | RSA | RSA | Nada |
SSL3-NULL-SHA | NULL-SHA | 0x0002 | SSLv3 | RSA | RSA | Nada |
Grupos de cifrado predefinidos
En la siguiente tabla se enumeran los grupos de cifrado predefinidos que proporciona el dispositivo SDX.
Nombre del grupo de cifrado | Descripción |
---|---|
ALL | Todos los cifrados compatibles con el dispositivo SDX, excepto los cifrados NULL |
PREDETERMINADO | Lista de cifrado predeterminada con fuerza de cifrado >= 128 bits |
kRSA | Cifrados con el algoritmo Key-ex como RSA |
kEDH | Cifrados con el algoritmo Key-Ex como Ephemeral-DH |
DH | Cifrados con el algoritmo Key-ex como DH |
EDH | Cifrados con el algoritmo Key-EX/Auth como DH |
aRSA | Cifrados con el algoritmo de autenticación como RSA |
aDSS | Cifrados con el algoritmo de autenticación como DSS |
aNULL | Cifrados con el algoritmo de autenticación como NULL |
DSS | Cifrados con el algoritmo de autenticación como DSS |
DES | Cifrados con Enc algo como DES |
3DES | Cifrados con Enc algo como 3DES |
RC4 | Cifrados con Enc algo como RC4 |
RC2 | Cifrados con Enc algo como RC2 |
NULO | Cifrados con Enc algo como NULL |
MD5 | Cifrados con el algoritmo MAC como MD5 |
SHA1 | Cifrados con el algoritmo MAC como SHA-1 |
SHA | Cifrados con el algoritmo MAC como SHA |
NULO | Cifrados con Enc algo como NULL |
RSA | Cifrados con el algoritmo Key-ex/Auth como RSA |
ADH | Cifra con el algoritmo Key-ex como DH y el algoritmo de autenticación como NULL |
SSLv2 | Cifrados de protocolo SSLv2 |
SSLv3 | Cifrados de protocolo SSLv3 |
TLSv1 | Cifradores de protocolo SSLv3/TLSv1 |
TLSv1_ONLY | Cifrados de protocolo TLSv1 |
EXP | Cifrados de exportación |
EXPORTAR | Cifrados de exportación |
EXPORT40 | Exportación de cifrados con cifrado de 40 bits |
EXPORT56 | Exportación de cifrados con cifrado de 56 bits |
BAJO | Cifrados de baja potencia (cifrado de 56 bits) |
MEDIANO | Cifrados de potencia media (cifrado de 128 bits) |
ALTO | Cifrados de alta potencia (cifrado de 168 bits) |
AES | Cifrados AES |
FIPS | Cifrados aprobados por FIPS |
ECDHE | Cifrados DH efímeros de curva elíptica |
AES-GCM | Cifrados con Enc algo como AES-GCM |
SHA2 | Cifrados con el algoritmo MAC como SHA-2 |
Visualización de los grupos de cifrado predefinidos
Para ver los grupos de cifrado predefinidos, en la ficha Configuración, en el panel de navegación, expanda Management Service y, a continuación, haga clic en Grupos de cifrado.
Creación de grupos de cifrado personalizados
Puede crear grupos de cifrado personalizados a partir de la lista de cifrados SSL compatibles.
Para crear grupos de cifrado personalizados:
- En la ficha Configuración, en el panel de navegación, expanda Management Service y, a continuación, haga clic en Grupos de cifrado.
- En el panel Grupos de cifrado, haga clic en Agregar.
- En el cuadro de diálogo Crear grupo de cifrado, realice lo siguiente:
- En el campo Nombre de grupo, escriba un nombre para el grupo de cifrado personalizado.
- En el campo Descripción del grupo de cifrado, introduzca una breve descripción del grupo de cifrado personalizado.
- En la sección Cipher Suites, haga clic en Agregar y seleccione los cifrados que quiere incluir en la lista de cifrados SSL compatibles.
- Haga clic en Crear.
Ver enlaces de cifrado SSL existentes
Para ver los enlaces de cifrado existentes, en la ficha Configuración, en el panel de navegación, expanda Sistemay, a continuación, haga clic en Configurar configuración de SSL en Configuracióndel sistema.
Nota
Después de actualizar a la versión más reciente del Servicio de administración, la lista de conjuntos de cifrado existentes muestra los nombres de OpenSSL. Una vez que vincula los cifrados del Management Service actualizado, la pantalla utiliza la convención de nomenclatura de Citrix.
Enlazar cifrados al servicio HTTPS
Para vincular cifrados al servicio HTTPS:
- En la ficha Configuración, en el panel de navegación, haga clic en Sistema.
- En el panel Sistema, en Configuración del sistema, haga clic en Configurar configuración de SSL.
- En el panel Modificar configuración, haga clic en Suites de cifrado.
- En el panel Suites de cifrado, realice una de las acciones siguientes:
- Para elegir grupos de cifrado de grupos de cifrado predefinidos proporcionados por el dispositivo SDX, active la casilla de verificación Grupos de cifrado, seleccione el grupo de cifrado en la lista desplegable Grupos de cifrado y, a continuación, haga clic en Aceptar.
- Para elegir de la lista de cifrados admitidos, active la casilla de verificación Suites de cifrado, haga clic en Agregar para seleccionar los cifrados y, a continuación, haga clic en Aceptar.