ADC

Configurer les groupes de chiffrement définis par l’utilisateur sur l’appliance ADC

Un groupe de chiffrement est un ensemble de suites de chiffrement que vous liez à un serveur virtuel, à un service ou à un groupe de services SSL sur l’appliance NetScaler. Une suite de chiffrement comprend un protocole, un algorithme d’échange de clés (Kx), un algorithme d’authentification (Au), un algorithme de chiffrement (Enc) et un algorithme de code d’authentification de message (Mac). Votre appliance est livrée avec un ensemble prédéfini de groupes de chiffrement. Lorsque vous créez un service SSL ou un groupe de services SSL, le groupe de chiffrement ALL y est automatiquement lié. Toutefois, lorsque vous créez un serveur virtuel SSL ou un service SSL transparent, le groupe de chiffrement DEFAULT y est automatiquement lié. En outre, vous pouvez créer un groupe de chiffrement défini par l’utilisateur et le lier à un serveur virtuel, à un service ou à un groupe de services SSL.

Remarque : Si votre appliance MPX ne possède aucune licence, seul le code de chiffrement EXPORT est lié à votre serveur virtuel, service ou groupe de services SSL.

Pour créer un groupe de chiffrement défini par l’utilisateur, vous devez d’abord créer un groupe de chiffrement, puis lier des chiffrements ou des groupes de chiffrement à ce groupe. Si vous spécifiez un alias de chiffrement ou un groupe de chiffrement, tous les chiffrements de l’alias ou du groupe de chiffrement sont ajoutés au groupe de chiffrement défini par l’utilisateur. Vous pouvez également ajouter des chiffrements individuels (suites de chiffrement) à un groupe défini par l’utilisateur. Toutefois, vous ne pouvez pas modifier un groupe de chiffrement prédéfini. Avant de supprimer un groupe de chiffrement, dissociez toutes les suites de chiffrement du groupe.

La liaison d’un groupe de chiffrement à un serveur virtuel, à un service ou à un groupe de services SSL ajoute les chiffrements aux chiffrements existants qui sont liés à l’entité. Pour lier un groupe de chiffrement spécifique à l’entité, vous devez d’abord dissocier les chiffrements ou le groupe de chiffrement lié à l’entité. Liez ensuite le groupe de chiffrement spécifique à l’entité. Par exemple, pour lier uniquement le groupe de chiffrement AES à un service SSL, procédez comme suit :

  1. Dissociez le groupe de chiffrement par défaut ALL qui est lié par défaut au service lors de sa création.

    unbind ssl service <service name> -cipherName ALL
    <!--NeedCopy-->
    
  2. Liez le groupe de chiffrement AES au service

    bind ssl service <Service name> -cipherName AE
    <!--NeedCopy-->
    

    Si vous souhaitez lier le groupe de chiffrement DES en plus d’AES, à l’invite de commande, tapez :

    bind ssl service <service name> -cipherName DES
    <!--NeedCopy-->
    

Remarque : L’appliance virtuelle NetScaler gratuite prend uniquement en charge le groupe de chiffrement DH.

Configurer un groupe de chiffrement défini par l’utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour ajouter un groupe de chiffrement ou pour ajouter des chiffrements à un groupe créé précédemment, puis vérifiez les paramètres :

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <cipherGroup/cipherName>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->

Exemple :

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
<!--NeedCopy-->

Dissocier les chiffrements d’un groupe de chiffrement à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour dissocier les chiffrements d’un groupe de chiffrement défini par l’utilisateur et vérifiez les paramètres :

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>
<!--NeedCopy-->

Supprimer un groupe de chiffrement à l’aide de l’interface de ligne de commande

Remarque : Vous ne pouvez pas supprimer un groupe de chiffrement intégré. Avant de supprimer un groupe de chiffrement défini par l’utilisateur, assurez-vous qu’il est vide.

À l’invite de commandes, tapez les commandes suivantes pour supprimer un groupe de chiffrement défini par l’utilisateur et vérifiez la configuration :

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

<!--NeedCopy-->

Exemple :

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
<!--NeedCopy-->

Configurer un groupe de chiffrement défini par l’utilisateur à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > Groupes de chiffrement.
  2. Cliquez sur Ajouter.
  3. Spécifiez le nom du groupe de chiffrement.
  4. Cliquez sur Ajouter pour afficher les chiffrements et les groupes de chiffrement disponibles.
  5. Sélectionnez un chiffre ou un groupe de chiffrements, puis cliquez sur le bouton fléché pour les ajouter.
  6. Cliquez sur Create.
  7. Cliquez sur Fermer.

Pour lier un groupe de chiffrement à un serveur virtuel, à un service ou à un groupe de services SSL à l’aide de l’interface deligne de commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

<!--NeedCopy-->

Exemple :

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done
<!--NeedCopy-->

Pour lier un groupe de chiffrement à un serveur virtuel, à un service ou à un groupe de services SSL à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.

    Pour le service, remplacez les serveurs virtuels par des services. Pour les groupes de services, remplacez les serveurs virtuels par des groupes de services.

    Ouvrez le serveur virtuel, le service ou le groupe de services.

  2. Dans Paramètres avancés, sélectionnez Chiffrements SSL.

  3. Liez un groupe de chiffrement au serveur virtuel, au service ou au groupe de services.

Lier des chiffrements individuels à un serveur virtuel ou à un service SSL

Vous pouvez également lier des chiffrements individuels, au lieu d’un groupe de chiffrement, à un serveur ou à un service virtuel.

Pour lier un chiffrement à l’aide de l’interface de ligne de commande : À l’invite de commandes, tapez :

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
<!--NeedCopy-->

Exemple :

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
<!--NeedCopy-->

Pour lier un chiffrement à un serveur virtuel SSL à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Sélectionnez un serveur virtuel SSL et cliquez sur Modifier.
  3. Dans Paramètres avancés, sélectionnez Chiffrements SSL.
  4. Dans Cipher Suites, sélectionnez Ajouter.
  5. Recherchez le code dans la liste disponible et cliquez sur la flèche pour l’ajouter à la liste configurée.
  6. Cliquez sur OK.
  7. Cliquez sur Terminé.

Pour lier un chiffrement à un service SSL, répétez les étapes précédentes après le remplacement du serveur virtuel par le service.