Configurar cifrados SSL para acceder de forma segura a Management Service

Puede seleccionar conjuntos de cifrado SSL de una lista de cifrados SSL compatibles con dispositivos Citrix ADC SDX y enlazar cualquier combinación de cifrados SSL para acceder a SDX Management Service de forma segura a través de HTTPS. Un dispositivo SDX proporciona 37 grupos de cifrado predefinidos, que son combinaciones de cifrados similares, y puede crear grupos de cifrado personalizados a partir de la lista de cifrados SSL compatibles.

Limitaciones

  • No se admiten cifrados de enlace con intercambio de claves = “DH” o “ECC-DHE”.
  • No se admite la vinculación de los cifrados con Authentication = “DSS”.
  • No se admiten los cifrados enlazados que no forman parte de la lista de cifrados SSL admitidos, o que incluyan estos cifrados en un grupo de cifrado personalizado.

Cifras SSL compatibles

En la tabla siguiente se enumeran los cifrados SSL compatibles. | Nombre de cifrado de Citrix | OpenSSL CipherName | Código hexadecimal | Protocolo | Intercambio de llaves | Auth | MAC | |————————————|—————————–|———–|———-|————-|——|————–| | TLS1-AES-256-CBC-SHA | AES256-SHA | 0x0035 | SSLv3 | RSA | RSA | AES (256) | | TLS1-AES-128-CBC-SHA | AES128-SHA | 0x002F | SSLv3 | RSA | RSA | AES (128) | | TLS1.2-AES-256-SHA256 | AES256-SHA256 | 0x003D | TLSv1.2 | RSA | RSA | AES (256) | | TLS1.2-AES-128-SHA256 | AES128-SHA256 | 0x003C | TLSv1.2 | RSA | RSA | AES (128) | | TLS1.2-AES256-GCM-SHA384 | AES256-GCM-SHA384 | 0x009D | TLSv1.2 | RSA | RSA | AES-GCM(256) | | TLS1.2-AES128-GCM-SHA256 | AES128-GCM-SHA256 | 0x009C | TLSv1.2 | RSA | RSA | AES-GCM(128) | | TLS1-ECDHE-RSA-AES256-SHA | ECDHE-RSA-AES256-SHA | 0xC014 | SSLv3 | ECC-DHE | RSA | AES (256) | | TLS1-ECDHE-RSA-AES128-SHA | ECDHE-RSA-AES128-SHA | 0xC013 | SSLv3 | ECC-DHE | RSA | AES (128) | | TLS1.2-ECDHE-RSA-AES-256-SHA384 | ECDHE-RSA-AES256-SHA384 | 0xC028 | TLSv1.2 | ECC-DHE | RSA | AES (256) | | TLS1.2-ECDHE-RSA-AES-128-SHA256 | ECDHE-RSA-AES128-SHA256 | 0xC027 | TLSv1.2 | ECC-DHE | RSA | AES (128) | | TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | 0xC030 | TLSv1.2 | ECC-DHE | RSA | AES-GCM(256) | | TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | 0xC02F | TLSv1.2 | ECC-DHE | RSA | AES-GCM(128) | | TLS1.2-DHE-RSA-AES-256-SHA256 | DHE-RSA-AES256-SHA256 | 0x006B | TLSv1.2 | DH | RSA | AES (256) | | TLS1.2-DHE-RSA-AES-128-SHA256 | DHE-RSA-AES128-SHA256 | 0x0067 | TLSv1.2 | DH | RSA | AES (128) | | TLS1.2-DHE-RSA-AES256-GCM-SHA384 | DHE-RSA-AES256-GCM-SHA384 | 0x009F | TLSv1.2 | DH | RSA | AES-GCM(256) | | TLS1.2-DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES128-GCM-SHA256 | 0x009E | TLSv1.2 | DH | RSA | AES-GCM(128) | | TLS1-DHE-RSA-AES-256-CBC-SHA | DHE-RSA-AES256-SHA | 0x0039 | SSLv3 | DH | RSA | AES (256) | | TLS1-DHE-RSA-AES-128-CBC-SHA | DHE-RSA-AES128-SHA | 0x0033 | SSLv3 | DH | RSA | AES (128) | | TLS1-DHE-DSS-AES-256-CBC-SHA | DHE-DSS-AES256-SHA | 0x0038 | SSLv3 | DH | DSS | AES (256) | | TLS1-DHE-DSS-AES-128-CBC-SHA | DHE-DSS-AES128-SHA | 0x0032 | SSLv3 | DH | DSS | AES (128) | | TLS1-ECDHE-RSA-DES-CBC3-SHA | ECDHE-RSA-DES-CBC3-SHA | 0xC012 | SSLv3 | ECC-DHE | RSA | 3DES(168) | | SSL3-EDH-RSA-DES-CBC3-SHA | EDH-RSA-DES-CBC3-SHA | 0x0016 | SSLv3 | DH | RSA | 3DES(168) | | SSL3-EDH-DSS-DES-CBC3-SHA | EDH-DSS-DES-CBC3-SHA | 0x0013 | SSLv3 | DH | DSS | 3DES(168) | | TLS1-ECDHE-RSA-RC4-SHA | ECDHE-RSA-RC4-SHA | 0xC011 | SSLv3 | ECC-DHE | RSA | RC4(128) | | SSL3-DES-CBC3-SHA | DES-CBC3-SHA | 0x000A | SSLv3 | RSA | RSA | 3DES(168) | | SSL3-RC4-SHA | RC4-SHA | 0x0005 | SSLv3 | RSA | RSA | RC4(128) | | SSL3-RC4-MD5 | RC4-MD5 | 0x0004 | SSLv3 | RSA | RSA | RC4(128) | | SSL3-DES-CBC-SHA | DES-CBC-SHA | 0x0009 | SSLv3 | RSA | RSA | DES (56) | | SSL3-EXP-RC4-MD5 | EXP-RC4-MD5 | 0x0003 | SSLv3 | RSA (512) | RSA | RC4(40) | | SSL3-EXP-DES-CBC-SHA | EXP-DES-CBC-SHA | 0x0008 | SSLv3 | RSA (512) | RSA | DES (40) | | SSL3-EXP-RC2-CBC-MD5 | EXP-RC2-CBC-MD5 | 0x0006 | SSLv3 | RSA (512) | RSA | RC2(40) | | SSL2-DES-CBC-MD5 | DHE-DSS-AES128-SHA256 | 0x0040 | SSLv2 | RSA | RSA | DES (56) | | SSL3-EDH-DSS-DES-CBC-SHA | EDH-DSS-DES-CBC-SHA | 0x0012 | SSLv3 | DH | DSS | DES (56) | | SSL3-EXP-EDH-DSS-DES-CBC-SHA | EXP-EDH-DSS-DES-CBC-SHA | 0x0011 | SSLv3 | DH (512) | DSS | DES (40) | | SSL3-EDH-RSA-DES-CBC-SHA | EDH-RSA-DES-CBC-SHA | 0x0015 | SSLv3 | DH | RSA | DES (56) | | SSL3-EXP-EDH-RSA-DES-CBC-SHA | EXP-EDH-RSA-DES-CBC-SHA | 0x0014 | SSLv3 | DH (512) | RSA | DES (40) | | SSL3-ADH-RC4-MD5 | ADH-RC4-MD5 | 0x0018 | SSLv3 | DH | Ninguna | RC4(128) | | SSL3-ADH-DES-CBC3-SHA | ADH-DES-CBC3-SHA | 0x001B | SSLv3 | DH | Ninguna | 3DES(168) | | SSL3-ADH-DES-CBC-SHA | ADH-DES-CBC-SHA | 0x001A | SSLv3 | DH | Ninguna | DES (56) | | TLS1-ADH-AES-128-CBC-SHA | ADH-AES128-SHA | 0x0034 | SSLv3 | DH | Ninguna | AES (128) | | TLS1-ADH-AES-256-CBC-SHA | ADH-AES256-SHA | 0x003A | SSLv3 | DH | Ninguna | AES (256) | | SSL3-EXP-ADH-RC4-MD5 | EXP-ADH-RC4-MD5 | 0x0017 | SSLv3 | DH (512) | Ninguna | RC4(40) | | SSL3-EXP-ADH-DES-CBC-SHA | EXP-ADH-DES-CBC-SHA | 0x0019 | SSLv3 | DH (512) | Ninguna | DES (40) | | SSL3-NULL-MD5 | NULL-MD5 | 0x0001 | SSLv3 | RSA | RSA | Ninguna | | SSL3-NULL-SHA | NULL-SHA | 0x0002 | SSLv3 | RSA | RSA | Ninguna |

Grupos de cifrado predefinidos

En la tabla siguiente se enumeran los grupos de cifrado predefinidos proporcionados por el dispositivo SDX.

Nombre de grupo de cifrado Descripción
TODOS Todos los cifrados admitidos por el dispositivo SDX, excluidos los cifrados NULL
PREDETERMINADO Lista de cifrado predeterminada con fuerza de cifrado > = 128 bits
KRSA Cifradores con Key-ex algo como RSA
KedH Cifras con Key-ex algo como Ephemeral-DH
DH Cifras con Key-ex algo como DH
EDH Cifrados con clave EX/Auth algo como DH
ARSA Cifradores con Auth algo como RSA
ADS Cifrados con Auth algo como DSS
Anula Cifrados con Auth algo como NULL
DSS Cifrados con Auth algo como DSS
DES Cifras con Enc algo como DES
3DES Cifras con Enc algo como 3DES
RC4 Cifras con Enc algo como RC4
RC2 Cifras con Enc algo como RC2
NULO Cifradores con Enc algo como NULL
MD5 Cifras con MAC algo como MD5
SHA1 Cifras con MAC algo como SHA-1
SHA Cifras con MAC algo como SHA
NULO Cifradores con Enc algo como NULL
RSA Cifradores con clave EX/Auth algo como RSA
ADH Cifradores con Key-ex algo como DH y Auth algo como NULL
SSLv2 Cifradores de protocolo SSLv2
SSLv3 Cifradores de protocolo SSLv3
TLSv1 Cifradores de protocolo SSLv3/TLSv1
TLSv1_ONLY Cifradores de protocolo TLSv1
EXP Exportar cifrados
EXPORTAR Exportar cifrados
EXPORT40 Exportar cifrados con cifrado de 40 bits
EXPORT56 Exportar cifrados con cifrado de 56 bits
BAJO Cifrados de baja resistencia (cifrado de 56 bits)
MEDIANO Cifrados de fuerza media (cifrado de 128 bits)
ALTO Cifrados de alta resistencia (cifrado de 168 bits)
ES Cifrados AES
FIPS Cifrados aprobados por FIPS
ECDHE Cifras DH efímeras de curva elíptica
AES-GCM Cifras con Enc algo como AES-GCM
SHA2 Cifras con MAC algo como SHA-2

Visualización de los grupos de cifrado predefinidos

Para ver los grupos de cifrado predefinidos, en la ficha Configuración, en el panel de navegación, expanda Management Service y, a continuación, haga clic en Grupos de cifrado.

Creación de grupos de cifrado personalizados

Puede crear grupos de cifrado personalizados a partir de la lista de cifrados SSL compatibles.

Para crear grupos de cifrado personalizados:

  1. En la ficha Configuración, en el panel de navegación, expanda Management Service y, a continuación, haga clic en Grupos de cifrado.
  2. En el panel Grupos de cifrado, haga clic en Agregar.
  3. En el cuadro de diálogo Crear grupo de cifrado, realice lo siguiente:
    1. En el campo Nombre de grupo, escriba un nombre para el grupo de cifrado personalizado.
    2. En el campo Descripción del grupo de cifrado, introduzca una breve descripción del grupo de cifrado personalizado.
    3. En la sección Cipher Suites, haga clic en Agregar y seleccione los cifrados que quiere incluir en la lista de cifrados SSL compatibles.
    4. Haga clic en Crear.

Visualización de enlaces de cifrado SSL existentes

Para ver los enlaces de cifrado existentes, en la ficha Configuración, en el panel de navegación, expanda Sistema y, a continuación, haga clic en Cambiar configuración SSL en Configuracióndel sistema.

Nota

Después de actualizar a la versión más reciente de Management Service, la lista de conjuntos de cifrado existentes muestra los nombres de OpenSSL. Una vez que vincula los cifrados desde Management Service actualizado, la visualización utiliza la convención de nomenclatura de Citrix.

Vinculación de cifrados al servicio HTTPS

Para enlazar cifrados al servicio HTTPS:

  1. En la ficha Configuración, en el panel de navegación, haga clic en Sistema.
  2. En el panel Sistema, en Configuración del sistema, haga clic en Cambiar configuración SSL.
  3. En el panel Modificar configuración, haga clic en Suites de cifrado.
  4. En el panel Suites de cifrado, realice una de las acciones siguientes:
    • Para elegir grupos de cifrado de grupos de cifrado predefinidos proporcionados por el dispositivo SDX, active la casilla de verificación Grupos de cifrado, seleccione el grupo de cifrado en la lista desplegable Grupos de cifrado y, a continuación, haga clic en Aceptar.
    • Para elegir de la lista de cifrados admitidos, active la casilla de verificación Suites de cifrado, haga clic en Agregar para seleccionar los cifrados y, a continuación, haga clic en Aceptar.
Configurar cifrados SSL para acceder de forma segura a Management Service