ECDSA cipher suites support
Les suites de chiffrement ECDSA utilisent la cryptographie à courbe elliptique (ECC). En raison de sa taille réduite, il est utile dans les environnements où la puissance de traitement, l’espace de stockage, la bande passante et la consommation d’énergie sont limitées.
Lorsque le groupe de chiffrement ECDHE_ECDSA est utilisé, le certificat du serveur doit contenir une clé publique compatible ECDSA.
Le tableau suivant répertorie les chiffrements ECDSA pris en charge sur les appliances Citrix ADC MPX et SDX avec des puces N3, des appliances Citrix ADC VPX, MPX 5900/26000 et MPX/SDX 8900/15000.
| Nom de chiffrement | Priority | Description | Algorithme d’échange de clés | Algorithme d’authentification | Algorithme de chiffrement (taille de clé) | Algorithme de code d’authentification des messages (MAC) | HexCode |
|---|---|---|---|---|---|---|---|
| TLS1-ECDHE-ECDSA-AES128-SHA | 1 | SSLv3 | ECC-DHE | ECDSA | AES(128) | SHA1 | 0xc009 |
| TLS1-ECDHE-ECDSA-AES256-SHA | 2 | SSLv3 | ECC-DHE | ECDSA | AES(256) | SHA1 | 0xc00a |
| TLS1.2-ECDHE-ECDSA-AES128-SHA256 | 3 | TLSv1.2 | ECC-DHE | ECDSA | AES(128) | SHA-256 | 0xc023 |
| TLS1.2-ECDHE-ECDSA-AES256-SHA384 | 4 | TLSv1.2 | ECC-DHE | ECDSA | AES(256) | SHA-384 | 0xc024 |
| TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 | 5 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM(128) | SHA-256 | 0xc02b |
| TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 | 6 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM(256) | SHA-384 | 0xc02c |
| TLS1-ECDHE-ECDSA-RC4-SHA | 7 | SSLv3 | ECC-DHE | ECDSA | RC4(128) | SHA1 | 0xc007 |
| TLS1-ECDHE-ECDSA-DES-CBC3-SHA | 8 | SSLv3 | ECC-DHE | ECDSA | 3DES(168) | SHA1 | 0xc008 |
| TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 | 9 | TLSv1.2 | ECC-DHE | ECDSA | CHACHA20/POLY1305(256) | AEAD | 0xcca9 |
Sélection de certificat et chiffrement ECDSA/RSA
Vous pouvez lier simultanément les certificats de serveur ECDSA et RSA à un serveur virtuel SSL. Lorsque les certificats ECDSA et RSA sont liés au serveur virtuel, il sélectionne automatiquement le certificat de serveur approprié à présenter au client. Si la liste de chiffrement client inclut des chiffrements RSA, mais n’inclut pas les chiffrements ECDSA, le serveur virtuel présente le certificat du serveur RSA. Si les deux chiffrements sont présents dans la liste du client, le certificat de serveur présenté dépend de la priorité de chiffrement définie sur le serveur virtuel. C’est-à-dire que si RSA a une priorité plus élevée, le certificat RSA est présenté. Si ECDSA a une priorité supérieure, le certificat ECDSA est présenté au client.
Authentification client à l’aide d’un certificat ECDSA ou RSA
Pour l’authentification client, le certificat d’autorité de certification lié au serveur virtuel peut être signé ECDSA ou RSA. L’appliance prend en charge une chaîne de certificats mixte. Par exemple, la chaîne de certificats suivante est prise en charge.
Certificat client (ECDSA) <-> Certificat CA (RSA) <-> Certificat intermédiaire (RSA) <-> Certificat racine (RSA)
Le tableau suivant présente les courbes elliptiques prises en charge sur les différentes appliances Citrix ADC avec des groupes de chiffrement ECDSA et des certificats ECDSA :
| Courbes elliptiques | Plates-formes prises en charge |
|---|---|
| prime256v1 | Toutes les plateformes, y compris FIPS. |
| secp384r1 | Toutes les plateformes, y compris FIPS. |
| secp521r1 | MPX 5900, MPX/SDX 8900, MPX/SDX 15000, MPX/SDX 26000, VPX |
| secp224r1 | MPX 5900, MPX/SDX 8900. MPX/SDX 15000, MPX/SDX 26000, VPX |
Créer une paire de clés de certificat ECDSA
Vous pouvez créer une paire de clés de certificat ECDSA directement sur une appliance Citrix ADC à l’aide de l’interface de ligne de commande ou de l’interface graphique. Auparavant, vous étiez en mesure d’installer et de lier une paire de clés de certificat ECC sur l’appliance, mais vous avez dû utiliser OpenSSL pour créer une paire de clés de certificat-clé.
Seules les courbes P_256 et P_384 sont prises en charge.
Remarque
Ce support est disponible sur toutes les plates-formes sauf MPX 9700/1050/12500/15500.
Pour créer une paire de clés de certificat-clé ECDSA à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]
<!--NeedCopy-->
Exemple :
create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done
<!--NeedCopy-->
Pour créer une paire de clés de certificat ECDSA à l’aide de l’interface graphique :
- Accédez à Gestion du trafic > SSL > Fichiers SSL > Clés, puis cliquez sur Créer une clé ECDSA.
- Pour créer une clé au format PKCS #8, sélectionnez PKCS8.