ECDSA 密码套件支持
ECDSA 密码套件使用椭圆曲线加密 (ECC)。由于其尺寸较小,因此在处理能力、存储空间、带宽和功耗受到限制的环境中非常有用。
使用 ECDHE_ECDSA 密码组时,服务器的证书必须包含支持 ECDSA 的公钥。
下表列出了配备 N3 芯片的 Citrix ADC MPX 和 SDX 设备、Citrix ADC VPX 设备、MPX 5900/26000 和 MPX/SDX 8900/15000 设备上支持的 ECDSA 密码。
| 密码名称 | 优先级 | 说明 | 密钥交换算法 | 身份验证算法 | 加密算法(密钥大小) | 消息身份验证代码 (MAC) 算法 | HexCode |
|---|---|---|---|---|---|---|---|
| TLS1-ECDHE-ECDSA-AES128-SHA | 1 | SSLv3 | ECC-DHE | ECDSA | AES(128) | SHA1 | 0xc009 |
| TLS1-ECDHE-ECDSA-AES256-SHA | 2 | SSLv3 | ECC-DHE | ECDSA | AES(256) | SHA1 | 0xc00a |
| TLS1.2-ECDHE-ECDSA-AES128-SHA256 | 3 | TLSv1.2 | ECC-DHE | ECDSA | AES(128) | SHA-256 | 0xc023 |
| TLS1.2-ECDHE-ECDSA-AES256-SHA384 | 4 | TLSv1.2 | ECC-DHE | ECDSA | AES(256) | SHA-384 | 0xc024 |
| TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 | 5 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM(128) | SHA-256 | 0xc02b |
| TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 | 6 | TLSv1.2 | ECC-DHE | ECDSA | AES-GCM(256) | SHA-384 | 0xc02c |
| TLS1-ECDHE-ECDSA-RC4-SHA | 7 | SSLv3 | ECC-DHE | ECDSA | RC4(128) | SHA1 | 0xc007 |
| TLS1-ECDHE-ECDSA-DES-CBC3-SHA | 8 | SSLv3 | ECC-DHE | ECDSA | 3DES(168) | SHA1 | 0xc008 |
| TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305 | 9 | TLSv1.2 | ECC-DHE | ECDSA | CHACHA20/POLY1305(256) | AEAD | 0xcca9 |
ECDSA/RSA 密码和证书选择
您可以同时将 ECDSA 和 RSA 服务器证书绑定到 SSL 虚拟服务器。当 ECDSA 和 RSA 证书绑定到虚拟服务器时,它会自动选择要呈现给客户端的相应服务器证书。如果客户端密码列表包含 RSA 密码,但不包含 ECDSA 密码,则虚拟服务器将显示 RSA 服务器证书。如果两个密码都存在于客户端的列表中,则显示的服务器证书取决于虚拟服务器上设置的密码优先级。也就是说,如果 RSA 具有更高的优先级,则会显示 RSA 证书。如果 ECDSA 具有更高的优先级,则 ECDSA 证书会呈现给客户端。
使用 ECDSA 或 RSA 证书进行客户端身份验证
对于客户端身份验证,绑定到虚拟服务器的 CA 证书可以是 ECDSA 或 RSA 签名的。设备支持混合证书链。例如,支持以下证书链。
客户端证书 (ECDSA) <-> CA 证书 (RSA) <-> 中间证书 (RSA) <-> 根证书 (RSA)
下表显示了具有 ECDSA 密码组和 ECDSA 证书的不同 Citrix ADC 设备支持的椭圆曲线:
| 椭圆曲线 | 支持的平台 |
|---|---|
| prime256v1 | 所有平台,包括 FIPS。 |
| secp384r1 | 所有平台,包括 FIPS。 |
| secp521r1 | MPX 5900、MPX/SDX 8900、MPX/SDX 15000、MPX/SDX 26000、VPX |
| secp224r1 | MPX 5900,MPX/SDX 8900。MPX/SDX 15000、MPX/SDX 26000、VPX |
创建 ECDSA 证书密钥对
您可以使用 CLI 或 GUI 直接在 Citrix ADC 设备上创建 ECDSA 证书密钥对。之前,您能够在设备上安装和绑定 ECC 证书密钥对,但必须使用 OpenSSL 创建证书密钥对。
仅支持 P_256 和 P_384 曲线。
注意
此支持在所有平台上都可以使用,除了 MPX 9700/1050/12500/15500 以外。
要使用 CLI 创建 ECDSA 证书密钥对,请执行以下操作:
在命令提示符下,键入:
create ssl ecdsaKey <keyFile> -curve ( P_256 | P_384 ) [-keyform ( DER | PEM )] [-des | -des3] {-password } [-pkcs8]
<!--NeedCopy-->
示例:
create ecdsaKey ec_p256.ky -curve P_256 -pkcs8
Done
create ecdsaKey ec_p384.ky -curve P_384
Done
<!--NeedCopy-->
要使用 GUI 创建 ECDSA 证书密钥对,请执行以下操作:
- 导航到 流量管理 > SSL > SSL 文件 > 密钥 ,然后单击 创建 ECDSA 密钥。
- 要以 PKCS #8 格式创建密钥,请选择 PKCS8。