Configurar cifrados SSL para acceder de forma segura a Management Service
Puede seleccionar conjuntos de cifrado SSL de una lista de cifrados SSL compatibles con dispositivos Citrix ADC SDX y enlazar cualquier combinación de cifrados SSL para acceder a SDX Management Service de forma segura a través de HTTPS. Un dispositivo SDX proporciona 37 grupos de cifrado predefinidos, que son combinaciones de cifrados similares, y puede crear grupos de cifrado personalizados a partir de la lista de cifrados SSL compatibles.
Limitaciones
- No se admiten cifrados de enlace con intercambio de claves = “DH” o “ECC-DHE”.
- No se admite la vinculación de los cifrados con Authentication = “DSS”.
- No se admiten los cifrados enlazados que no forman parte de la lista de cifrados SSL admitidos, o que incluyan estos cifrados en un grupo de cifrado personalizado.
Cifras SSL compatibles
En la tabla siguiente se enumeran los cifrados SSL compatibles. | Nombre de cifrado de Citrix | OpenSSL CipherName | Código hexadecimal | Protocolo | Intercambio de llaves | Auth | MAC | |————————————|—————————–|———–|———-|————-|——|————–| | TLS1-AES-256-CBC-SHA | AES256-SHA | 0x0035 | SSLv3 | RSA | RSA | AES (256) | | TLS1-AES-128-CBC-SHA | AES128-SHA | 0x002F | SSLv3 | RSA | RSA | AES (128) | | TLS1.2-AES-256-SHA256 | AES256-SHA256 | 0x003D | TLSv1.2 | RSA | RSA | AES (256) | | TLS1.2-AES-128-SHA256 | AES128-SHA256 | 0x003C | TLSv1.2 | RSA | RSA | AES (128) | | TLS1.2-AES256-GCM-SHA384 | AES256-GCM-SHA384 | 0x009D | TLSv1.2 | RSA | RSA | AES-GCM(256) | | TLS1.2-AES128-GCM-SHA256 | AES128-GCM-SHA256 | 0x009C | TLSv1.2 | RSA | RSA | AES-GCM(128) | | TLS1-ECDHE-RSA-AES256-SHA | ECDHE-RSA-AES256-SHA | 0xC014 | SSLv3 | ECC-DHE | RSA | AES (256) | | TLS1-ECDHE-RSA-AES128-SHA | ECDHE-RSA-AES128-SHA | 0xC013 | SSLv3 | ECC-DHE | RSA | AES (128) | | TLS1.2-ECDHE-RSA-AES-256-SHA384 | ECDHE-RSA-AES256-SHA384 | 0xC028 | TLSv1.2 | ECC-DHE | RSA | AES (256) | | TLS1.2-ECDHE-RSA-AES-128-SHA256 | ECDHE-RSA-AES128-SHA256 | 0xC027 | TLSv1.2 | ECC-DHE | RSA | AES (128) | | TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | 0xC030 | TLSv1.2 | ECC-DHE | RSA | AES-GCM(256) | | TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | 0xC02F | TLSv1.2 | ECC-DHE | RSA | AES-GCM(128) | | TLS1.2-DHE-RSA-AES-256-SHA256 | DHE-RSA-AES256-SHA256 | 0x006B | TLSv1.2 | DH | RSA | AES (256) | | TLS1.2-DHE-RSA-AES-128-SHA256 | DHE-RSA-AES128-SHA256 | 0x0067 | TLSv1.2 | DH | RSA | AES (128) | | TLS1.2-DHE-RSA-AES256-GCM-SHA384 | DHE-RSA-AES256-GCM-SHA384 | 0x009F | TLSv1.2 | DH | RSA | AES-GCM(256) | | TLS1.2-DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES128-GCM-SHA256 | 0x009E | TLSv1.2 | DH | RSA | AES-GCM(128) | | TLS1-DHE-RSA-AES-256-CBC-SHA | DHE-RSA-AES256-SHA | 0x0039 | SSLv3 | DH | RSA | AES (256) | | TLS1-DHE-RSA-AES-128-CBC-SHA | DHE-RSA-AES128-SHA | 0x0033 | SSLv3 | DH | RSA | AES (128) | | TLS1-DHE-DSS-AES-256-CBC-SHA | DHE-DSS-AES256-SHA | 0x0038 | SSLv3 | DH | DSS | AES (256) | | TLS1-DHE-DSS-AES-128-CBC-SHA | DHE-DSS-AES128-SHA | 0x0032 | SSLv3 | DH | DSS | AES (128) | | TLS1-ECDHE-RSA-DES-CBC3-SHA | ECDHE-RSA-DES-CBC3-SHA | 0xC012 | SSLv3 | ECC-DHE | RSA | 3DES(168) | | SSL3-EDH-RSA-DES-CBC3-SHA | EDH-RSA-DES-CBC3-SHA | 0x0016 | SSLv3 | DH | RSA | 3DES(168) | | SSL3-EDH-DSS-DES-CBC3-SHA | EDH-DSS-DES-CBC3-SHA | 0x0013 | SSLv3 | DH | DSS | 3DES(168) | | TLS1-ECDHE-RSA-RC4-SHA | ECDHE-RSA-RC4-SHA | 0xC011 | SSLv3 | ECC-DHE | RSA | RC4(128) | | SSL3-DES-CBC3-SHA | DES-CBC3-SHA | 0x000A | SSLv3 | RSA | RSA | 3DES(168) | | SSL3-RC4-SHA | RC4-SHA | 0x0005 | SSLv3 | RSA | RSA | RC4(128) | | SSL3-RC4-MD5 | RC4-MD5 | 0x0004 | SSLv3 | RSA | RSA | RC4(128) | | SSL3-DES-CBC-SHA | DES-CBC-SHA | 0x0009 | SSLv3 | RSA | RSA | DES (56) | | SSL3-EXP-RC4-MD5 | EXP-RC4-MD5 | 0x0003 | SSLv3 | RSA (512) | RSA | RC4(40) | | SSL3-EXP-DES-CBC-SHA | EXP-DES-CBC-SHA | 0x0008 | SSLv3 | RSA (512) | RSA | DES (40) | | SSL3-EXP-RC2-CBC-MD5 | EXP-RC2-CBC-MD5 | 0x0006 | SSLv3 | RSA (512) | RSA | RC2(40) | | SSL2-DES-CBC-MD5 | DHE-DSS-AES128-SHA256 | 0x0040 | SSLv2 | RSA | RSA | DES (56) | | SSL3-EDH-DSS-DES-CBC-SHA | EDH-DSS-DES-CBC-SHA | 0x0012 | SSLv3 | DH | DSS | DES (56) | | SSL3-EXP-EDH-DSS-DES-CBC-SHA | EXP-EDH-DSS-DES-CBC-SHA | 0x0011 | SSLv3 | DH (512) | DSS | DES (40) | | SSL3-EDH-RSA-DES-CBC-SHA | EDH-RSA-DES-CBC-SHA | 0x0015 | SSLv3 | DH | RSA | DES (56) | | SSL3-EXP-EDH-RSA-DES-CBC-SHA | EXP-EDH-RSA-DES-CBC-SHA | 0x0014 | SSLv3 | DH (512) | RSA | DES (40) | | SSL3-ADH-RC4-MD5 | ADH-RC4-MD5 | 0x0018 | SSLv3 | DH | Ninguna | RC4(128) | | SSL3-ADH-DES-CBC3-SHA | ADH-DES-CBC3-SHA | 0x001B | SSLv3 | DH | Ninguna | 3DES(168) | | SSL3-ADH-DES-CBC-SHA | ADH-DES-CBC-SHA | 0x001A | SSLv3 | DH | Ninguna | DES (56) | | TLS1-ADH-AES-128-CBC-SHA | ADH-AES128-SHA | 0x0034 | SSLv3 | DH | Ninguna | AES (128) | | TLS1-ADH-AES-256-CBC-SHA | ADH-AES256-SHA | 0x003A | SSLv3 | DH | Ninguna | AES (256) | | SSL3-EXP-ADH-RC4-MD5 | EXP-ADH-RC4-MD5 | 0x0017 | SSLv3 | DH (512) | Ninguna | RC4(40) | | SSL3-EXP-ADH-DES-CBC-SHA | EXP-ADH-DES-CBC-SHA | 0x0019 | SSLv3 | DH (512) | Ninguna | DES (40) | | SSL3-NULL-MD5 | NULL-MD5 | 0x0001 | SSLv3 | RSA | RSA | Ninguna | | SSL3-NULL-SHA | NULL-SHA | 0x0002 | SSLv3 | RSA | RSA | Ninguna |
Grupos de cifrado predefinidos
En la tabla siguiente se enumeran los grupos de cifrado predefinidos proporcionados por el dispositivo SDX.
Nombre de grupo de cifrado | Descripción |
---|---|
TODOS | Todos los cifrados admitidos por el dispositivo SDX, excluidos los cifrados NULL |
PREDETERMINADO | Lista de cifrado predeterminada con fuerza de cifrado > = 128 bits |
KRSA | Cifradores con Key-ex algo como RSA |
KedH | Cifras con Key-ex algo como Ephemeral-DH |
DH | Cifras con Key-ex algo como DH |
EDH | Cifrados con clave EX/Auth algo como DH |
ARSA | Cifradores con Auth algo como RSA |
ADS | Cifrados con Auth algo como DSS |
Anula | Cifrados con Auth algo como NULL |
DSS | Cifrados con Auth algo como DSS |
DES | Cifras con Enc algo como DES |
3DES | Cifras con Enc algo como 3DES |
RC4 | Cifras con Enc algo como RC4 |
RC2 | Cifras con Enc algo como RC2 |
NULO | Cifradores con Enc algo como NULL |
MD5 | Cifras con MAC algo como MD5 |
SHA1 | Cifras con MAC algo como SHA-1 |
SHA | Cifras con MAC algo como SHA |
NULO | Cifradores con Enc algo como NULL |
RSA | Cifradores con clave EX/Auth algo como RSA |
ADH | Cifradores con Key-ex algo como DH y Auth algo como NULL |
SSLv2 | Cifradores de protocolo SSLv2 |
SSLv3 | Cifradores de protocolo SSLv3 |
TLSv1 | Cifradores de protocolo SSLv3/TLSv1 |
TLSv1_ONLY | Cifradores de protocolo TLSv1 |
EXP | Exportar cifrados |
EXPORTAR | Exportar cifrados |
EXPORT40 | Exportar cifrados con cifrado de 40 bits |
EXPORT56 | Exportar cifrados con cifrado de 56 bits |
BAJO | Cifrados de baja resistencia (cifrado de 56 bits) |
MEDIANO | Cifrados de fuerza media (cifrado de 128 bits) |
ALTO | Cifrados de alta resistencia (cifrado de 168 bits) |
ES | Cifrados AES |
FIPS | Cifrados aprobados por FIPS |
ECDHE | Cifras DH efímeras de curva elíptica |
AES-GCM | Cifras con Enc algo como AES-GCM |
SHA2 | Cifras con MAC algo como SHA-2 |
Visualización de los grupos de cifrado predefinidos
Para ver los grupos de cifrado predefinidos, en la ficha Configuración, en el panel de navegación, expanda Management Service y, a continuación, haga clic en Grupos de cifrado.
Creación de grupos de cifrado personalizados
Puede crear grupos de cifrado personalizados a partir de la lista de cifrados SSL compatibles.
Para crear grupos de cifrado personalizados:
- En la ficha Configuración, en el panel de navegación, expanda Management Service y, a continuación, haga clic en Grupos de cifrado.
- En el panel Grupos de cifrado, haga clic en Agregar.
- En el cuadro de diálogo Crear grupo de cifrado, realice lo siguiente:
- En el campo Nombre de grupo, escriba un nombre para el grupo de cifrado personalizado.
- En el campo Descripción del grupo de cifrado, introduzca una breve descripción del grupo de cifrado personalizado.
- En la sección Cipher Suites, haga clic en Agregar y seleccione los cifrados que quiere incluir en la lista de cifrados SSL compatibles.
- Haga clic en Crear.
Visualización de enlaces de cifrado SSL existentes
Para ver los enlaces de cifrado existentes, en la ficha Configuración, en el panel de navegación, expanda Sistema y, a continuación, haga clic en Cambiar configuración SSL en Configuracióndel sistema.
Nota
Después de actualizar a la versión más reciente de Management Service, la lista de conjuntos de cifrado existentes muestra los nombres de OpenSSL. Una vez que vincula los cifrados desde Management Service actualizado, la visualización utiliza la convención de nomenclatura de Citrix.
Vinculación de cifrados al servicio HTTPS
Para enlazar cifrados al servicio HTTPS:
- En la ficha Configuración, en el panel de navegación, haga clic en Sistema.
- En el panel Sistema, en Configuración del sistema, haga clic en Cambiar configuración SSL.
- En el panel Modificar configuración, haga clic en Suites de cifrado.
- En el panel Suites de cifrado, realice una de las acciones siguientes:
- Para elegir grupos de cifrado de grupos de cifrado predefinidos proporcionados por el dispositivo SDX, active la casilla de verificación Grupos de cifrado, seleccione el grupo de cifrado en la lista desplegable Grupos de cifrado y, a continuación, haga clic en Aceptar.
- Para elegir de la lista de cifrados admitidos, active la casilla de verificación Suites de cifrado, haga clic en Agregar para seleccionar los cifrados y, a continuación, haga clic en Aceptar.