ADC
感谢您提供反馈

这篇文章已经过机器翻译.放弃

ECDSA 密码套件支持

ECDSA 密码套件使用椭圆曲线加密 (ECC)。由于其尺寸较小,因此在处理能力、存储空间、带宽和功耗受到限制的环境中非常有用。

使用 ECDHE_ECDSA 密码组时,服务器的证书必须包含支持 ECDSA 的公钥。

下表列出了配备 N3 芯片的 NetScaler MPX 和 SDX 设备、NetScaler VPX 设备、MPX 5900/26000 和 MPX/SDX 8900/15000 设备支持的 ECDSA 密码。

密码名 优先级 说明 密钥交换算法 身份验证算法 加密算法(密钥大小) 消息验证码 (MAC) 算法 HexCode
TLS1-ECDHE-ECDSA-AES128-SHA 1 SSLv3 ECC-DHE ECDSA AES(128) SHA1 0xc009
TLS1-ECDHE-ECDSA-AES256-SHA 2 SSLv3 ECC-DHE ECDSA AES(256) SHA1 0xc00a
TLS1.2-ECDHE-ECDSA-AES128-SHA256 3 TLSv1.2 ECC-DHE ECDSA AES(128) SHA-256 0xc023
TLS1.2-ECDHE-ECDSA-AES256-SHA384 4 TLSv1.2 ECC-DHE ECDSA AES(256) SHA-384 0xc024
TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 5 TLSv1.2 ECC-DHE ECDSA AES-GCM(128) SHA-256 0xc02b
TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 6 TLSv1.2 ECC-DHE ECDSA AES-GCM(256) SHA-384 0xc02c
TLS1-ECDHE-ECDSA-RC4-SHA 7 SSLv3 ECC-DHE ECDSA RC4(128) SHA1 0xc007
TLS1-ECDHE-ECDSA-DES-CBC3-SHA 8 SSLv3 ECC-DHE ECDSA 3DES(168) SHA1 0xc008
TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 9 TLSv1.2 ECC-DHE ECDSA CHACHA20/POLY1305(256) AEAD 0xcca9

ECDSA/RSA 密码和证书选择

您可以将 ECDSA 和 RSA 服务器证书同时绑定到 SSL 虚拟服务器。当 ECDSA 和 RSA 证书都绑定到虚拟服务器时,它会自动选择相应的服务器证书提供给客户端。如果客户端密码列表包含 RSA 密码,但不包含 ECDSA 密码,则虚拟服务器会提供 RSA 服务器证书。如果两个密码都存在于客户端列表中,则提供的服务器证书取决于在虚拟服务器上设置的密码优先级。也就是说,如果 RSA 的优先级更高,则出示 RSA 证书。如果 ECDSA 具有更高的优先级,则向客户提供 ECDSA 证书。

使用 ECDSA 或 RSA 证书进行客户端身份验证

对于客户端身份验证,绑定到虚拟服务器的 CA 证书可以由 ECDSA 或 RSA 签名。该设备支持混合证书链。例如,支持以下证书链。

客户端证书 (ECDSA) <-> CA 证书 (RSA) <-> 中间证书 (RSA) <-> 根证书 (RSA)

下表显示了具有 ECDSA 密码组和 ECDSA 证书的不同 NetScaler 设备支持的椭圆曲线:

椭圆曲线 支持的平台
prime256v1 所有平台,包括 FIPS。
secp384r1 所有平台,包括 FIPS。
secp521r1 MPX 5900、MPX/SDX 8900、MPX/SDX 15000、MPX/SDX 26000、VPX
secp224r1 MPX 5900,MPX/SDX 8900。MPX/SDX 15000、MPX/SDX 26000、VPX

创建 ECDSA 证书密钥对

您可以使用 CLI 或 GUI 直接在 NetScaler 设备上创建 ECDSA 证书密钥对。之前,您能够在设备上安装和绑定 ECC 证书密钥对,但必须使用 OpenSSL 创建证书密钥对。

仅支持 P_256 和 P_384 曲线。

注意

此支持适用于除 MPX 9700/1050/12500/15500 之外的所有平台。

要使用 CLI 创建 ECDSA 证书密钥对,请执行以下操作:

在命令提示符下,键入:

create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]

示例:

create ecdsaKey ec_p256.ky -curve P_256 -pkcs8 Done create ecdsaKey ec_p384.ky -curve P_384 Done

要使用 GUI 创建 ECDSA 证书密钥对,请执行以下操作:

  1. 导航到 流量管理 > SSL > SSL 文件 > 密钥 ,然后单击 创建 ECDSA 密钥
  2. 要创建 PKCS #8 格式的密钥,请选择 PKCS8
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
ECDSA 密码套件支持