在 ADC 设备上配置用户定义的密码组
密码组是您绑定到 Citrix ADC 设备上的 SSL 虚拟服务器、服务或服务组的一组密码套件。密码套件包括协议、密钥交换 (Kx) 算法、身份验证 (Au) 算法、加密 (Enc) 算法和消息身份验证代码 (Mac)算法。您的设备随附一组预定义的密码组。当您创建 SSL 服务或 SSL 服务组时,所有密码组将自动绑定到它。但是,当您创建 SSL 虚拟服务器或透明 SSL 服务时,DEFAULT 密码组会自动绑定到它。此外,您可以创建用户定义的密码组并将其绑定到 SSL 虚拟服务器、服务或服务组。
注意: 如果您的 MPX 设备没有任何许可证,则仅导出密码绑定到 SSL 虚拟服务器、服务或服务组。
要创建用户定义的密码组,首先创建密码组,然后将密码或密码组绑定到此组。如果指定密码别名或密码组,则密码别名或组中的所有密码都会添加到用户定义的密码组中。您还可以将单个密码(密码套件)添加到用户定义的组。但是,您不能修改预定义的密码组。删除密码组之前,取消绑定组中的所有密码套件。
将密码组绑定到 SSL 虚拟服务器、服务或服务组时,将密码追加到绑定到实体的现有密码。若要将特定密码组绑定到实体,必须先解除绑定到实体的密码或密码组的绑定。然后将特定密码组绑定到实体。例如,若要仅将 AES 密码组绑定到 SSL 服务,请执行以下步骤:
-
解除在创建服务时默认绑定到服务的默认密码组全部绑定。
unbind ssl service <service name> -cipherName ALL <!--NeedCopy--> -
将 AES 密码组绑定到服务
bind ssl service <Service name> -cipherName AE <!--NeedCopy-->如果要绑定除 AES 之外的密码组 DES,请在命令提示符下键入:
bind ssl service <service name> -cipherName DES <!--NeedCopy-->
注意: 免费的 Citrix ADC 虚拟设备仅支持 DH 密码组。
使用 CLI 配置用户定义的密码组
在命令提示符下,键入以下命令以添加密码组,或向先前创建的组添加密码,并验证设置:
add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <cipherGroup/cipherName>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
示例:
add ssl cipher test
Done
bind ssl cipher test -cipherName ECDHE
Done
sh ssl cipher test
1) Cipher Name: TLS1-ECDHE-RSA-AES256-SHA Priority : 1
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014
2) Cipher Name: TLS1-ECDHE-RSA-AES128-SHA Priority : 2
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA1 HexCode=0xc013
3) Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384 Priority : 3
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA-384 HexCode=0xc028
4) Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256 Priority : 4
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES(128) Mac=SHA-256 HexCode=0xc027
5) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030
6) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f
7) Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA Priority : 7
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA1 HexCode=0xc00a
8) Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA Priority : 8
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA1 HexCode=0xc009
9) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384 Priority : 9
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(256) Mac=SHA-384 HexCode=0xc024
10) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256 Priority : 10
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES(128) Mac=SHA-256 HexCode=0xc023
11) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 Priority : 11
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c
12) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority : 12
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b
13) Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA Priority : 13
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=3DES(168) Mac=SHA1 HexCode=0xc012
14) Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA Priority : 14
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=3DES(168) Mac=SHA1 HexCode=0xc008
15) Cipher Name: TLS1-ECDHE-RSA-RC4-SHA Priority : 15
Description: SSLv3 Kx=ECC-DHE Au=RSA Enc=RC4(128) Mac=SHA1 HexCode=0xc011
16) Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA Priority : 16
Description: SSLv3 Kx=ECC-DHE Au=ECDSA Enc=RC4(128) Mac=SHA1 HexCode=0xc007
17) Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca8
18) Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 Priority : 18
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD HexCode=0xcca9
Done
bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
<!--NeedCopy-->
使用 CLI 解除密码组中的密码绑定
在命令提示符下,键入以下命令以从用户定义的密码组取消绑定密码,并验证设置:
show ssl cipher <cipherGroupName>
unbind ssl cipher <cipherGroupName> -cipherName <string>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
使用 CLI 删除密码组
注意: 您无法删除内置密码组。删除用户定义的密码组之前,请确保密码组为空。
在命令提示符下,键入以下命令以删除用户定义的密码组,并验证配置:
rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>
<!--NeedCopy-->
示例:
rm ssl cipher test Done
sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
<!--NeedCopy-->
使用 GUI 配置用户定义的密码组
- 导航到流量管理 > SSL > 密码组。
- 单击添加。
- 指定密码组的名称。
- 单击添加以查看可用的密码和密码组。
- 选择密码组或密码组,然后单击箭头按钮添加它们。
- 单击创建。
- 单击关闭。
使用 CLI 将密码组绑定到 SSL 虚拟服务器、服务或服务组:
在命令提示符下,键入以下命令之一:
bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
bind ssl serviceGroup <serviceGroupName> -cipherName <string>
<!--NeedCopy-->
示例:
bind ssl vserver ssl_vserver_test -cipherName test
Done
bind ssl service nshttps -cipherName test
Done
bind ssl servicegroup ssl_svc -cipherName test
Done
<!--NeedCopy-->
使用 GUI 将密码组绑定到 SSL 虚拟服务器、服务或服务组:
-
导航到流量管理 > 负载平衡 > 虚拟服务器。
对于服务,请将虚拟服务器替换为服务。对于服务组,请将虚拟服务器替换为服务组。
打开虚拟服务器、服务或服务组。
-
在“高级设置”中,选择 SSL 密码。
-
将密码组绑定到虚拟服务器、服务或服务组。
将单个密码绑定到 SSL 虚拟服务器或服务
您还可以将单个密码(而不是密码组)绑定到虚拟服务器或服务。
要使用 CLI 绑定密码: 在命令提示符下,键入:
bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
<!--NeedCopy-->
示例:
bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
<!--NeedCopy-->
使用 GUI 将密码绑定到 SSL 虚拟服务器:
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 选择 SSL 虚拟服务器,然后单击 编辑。
- 在“高级设置”中,选择 SSL 密码。
- 在 密码套件中,选择 添加。
- 在可用列表中搜索密码,然后单击箭头将其添加到配置的列表中。
- 单击 OK(确定)。
- 单击完成。
要将密码绑定到 SSL 服务,请在用服务替换虚拟服务器后重复上述步骤。