ECDHE 密码
所有 Citrix ADC 设备都支持前端和后端的 ECDHE 密码组。在 SDX 设备上,如果将 SSL 芯片分配给 VPX 实例,则应用 MPX 设备的密码支持。否则,将适用 VPX 实例的正常密码支持。
有关支持这些密码的版本和平台的更多信息,请 参阅 Citrix ADC 设备上提供的密码器。
ECDHE 密码套件使用椭圆曲线加密 (ECC)。由于其密钥尺寸较小,ECC 在移动(无线)环境或交互式语音响应环境中特别有用,其中每毫秒都很重要。较小的密钥尺寸可节省功耗、内存、带宽和计算成本。
Citrix ADC 设备支持以下 ECC 曲线:
- P_256
- P_384
- P_224
- P_521
注意:如果从 10.1 版本之前的版本升级版本 121.10,则必须将 ECC 曲线显式绑定到现有 SSL 虚拟服务器和服务。默认情况下,曲线绑定到升级后创建的任何虚拟服务器和服务。
您可以将 ECC 曲线绑定到 SSL 前端和后端实体。默认情况下,按以下顺序绑定所有四条曲线:P_256、P_384、P_224、P_521。要更改顺序,必须先取消绑定所有曲线,然后按所需顺序绑定它们。
使用 CLI 将 ECC 曲线绑定到 SSL 虚拟服务器
在命令提示符下,键入:
bind ssl vserver <vServerName > -eccCurveName <eccCurveName >
示例:
bind ssl vserver v1 -eccCurveName P_224
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: DISABLED TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
使用 GUI 将 ECC 曲线绑定到 SSL 虚拟服务器
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 选择 SSL 虚拟服务器,然后单击 编辑。
- 在“高级设置”中,单击“ECC 曲线”。
- 在 ECC 曲线部分内单击。
- 在“SSL 虚拟服务器 ECC 曲线绑定”页中,单击“添加绑定”。
- 在 ECC 曲线绑定中,单击“选择 ECC 曲线”。
- 选择一个值,然后单击“选择”。
- 单击 Bind(绑定)。
- 单击关闭。
- 单击完成。
使用 CLI 将 ECC 曲线绑定到 SSL 服务
在命令提示符下,键入:
bind ssl service <vServerName > -eccCurveName <eccCurveName >
示例:
> bind ssl service sslsvc -eccCurveName P_224
Done
> sh ssl service sslsvc
Advanced SSL configuration for Back-end SSL Service sslsvc:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
ClearText Port: 0
Server Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: ???
DHE Key Exchange With PSK: ???
Tickets Per Authentication Context: ???
ECC Curve: P_224
1) Cipher Name: DEFAULT_BACKEND
Description: Default cipher list for Backend SSL session
Done
<!--NeedCopy-->
使用 GUI 将 ECC 曲线绑定到 SSL 服务
- 导航到流量管理 > 负载平衡 > 服务。
- 选择一个 SSL 服务,然后单击 编辑。
- 在“高级设置”中,单击“ECC 曲线”。
- 在 ECC 曲线部分内单击。
- 在“SSL 服务 ECC 曲线绑定”页中,单击“添加绑定”。
- 在 ECC 曲线绑定中,单击“选择 ECC 曲线”。
- 选择一个值,然后单击“选择”。
- 单击 Bind(绑定)。
- 单击关闭。
- 单击完成。
已复制!
失败!