ADC

ECDHE 密码

所有 NetScaler 设备都支持前端和后端的 ECDHE 密码组。在 SDX 设备上,如果将 SSL 芯片分配给 VPX 实例,则适用 MPX 设备的密码支持。否则,将适用 VPX 实例的正常密码支持。

有关支持这些密码的版本和平台的更多信息,请 参阅 NetScaler 设备上提供的密码器

ECDHE 密码套件使用椭圆曲线加密 (ECC)。由于密钥大小较小,ECC 在移动(无线)环境或交互式语音响应环境中特别有用,在这些环境中,每一毫秒都很重要。较小的密钥大小可节省电量、内存、带宽和计算成本。

NetScaler 设备支持以下 ECC 曲线:

  • P_256
  • P_384
  • P_224
  • P_521
  • X_25519(在 14.1-12.x 及更高版本中,仅支持前端的 TLS 1.3。在 14.1-25.x 及更高版本中,支持后端的 TLS 1.2 和 1.3)。

您可以将所有五条曲线绑定到 SSL 前端实体。默认情况下,曲线按以下顺序绑定:X_25519、P_256、P_384、P_224、P_521。升级到 14.1-12.x 版本时,任何现有 SSL 虚拟服务器和 SSL 配置文件中的曲线绑定都不会被修改。要使用 X25519,必须修改配置并手动绑定 X25519。或者,要将 X25519 添加到列表的前面,请使用 bind ssl vserverbind ssl profile命令中的 ‘ALL’ ec_curv 选项。此命令在内部解除绑定并按默认顺序绑定所有曲线。

您可以将前四条 ECC 曲线绑定到 SSL 后端实体。默认情况下,所有四条曲线都按以下顺序绑定:P_256、P_384、P_224、P_521。

要更改顺序,必须先取消绑定所有曲线,然后按所需顺序绑定它们。

使用 CLI 将 ECC 曲线绑定到 SSL 虚拟服务器

支持的 ECC 曲线:P_256、P_384、P_224、P_521 和 X_25519。

在命令提示符下,键入:

bind ssl vserver <vServerName > -eccCurveName <eccCurveName >

示例:

bind ssl vserver  v1 -eccCurveName P_224

sh ssl vserver v1

Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

使用 GUI 将 ECC 曲线绑定到 SSL 虚拟服务器

支持的 ECC 曲线:P_256、P_384、P_224、P_521 和 X_25519。

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 选择 SSL 虚拟服务器,然后单击“编辑”
  3. 在“高级设置”中,单击 ECC 曲线

    ECC 曲线的高级设置

  4. 在 ECC 曲线部分内单击。
  5. SSL 虚拟服务器 ECC 曲线绑定 页面中,单击 添加绑定

    在 SSL 虚拟服务器上添加 ECC 曲线绑定

  6. ECC 曲线绑定中,单击“选择 ECC 曲线”。

  7. 选择一个值,然后单击“选择”

    选择 ECC 曲线值

  8. 单击 Bind(绑定)。
  9. 单击关闭
  10. 单击 Done(完成)。

使用 CLI 将 ECC 曲线绑定到 SSL 服务

支持的 ECC 曲线:P_256、P_384、P_224、P_521 和 X_25519。

在命令提示符下,键入:

bind ssl service <ServiceName > -eccCurveName <eccCurveName >

示例:

> bind ssl service sslsvc -eccCurveName P_224

> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service sslsvc:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: DISABLED
    Session Reuse: ENABLED      Timeout: 300 seconds
    Cipher Redirect: DISABLED
    ClearText Port: 0
    Server Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: ???
    DHE Key Exchange With PSK: ???
    Tickets Per Authentication Context: ???

    ECC Curve: P_224


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done
<!--NeedCopy-->

使用 CLI 将 ECC 曲线绑定到 SSL 服务组

支持的 ECC 曲线:P_256、P_384、P_224、P_521 和 X_25519。

在命令提示符下,键入:

bind ssl servicegroup <ServicegroupName > -eccCurveName <eccCurveName >

示例:

> bind ssl service sslsg -eccCurveName X_25519

> sh ssl service sslsvc

    Advanced SSL configuration for Back-end SSL Service Group sslsg:
    Session Reuse: ENABLED        Timeout: 300 seconds
    Server Auth: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED

    ECC Curve: X_25519


1)  Cipher Name: DEFAULT_BACKEND
    Description: Default cipher list for Backend SSL session
 Done
<!--NeedCopy-->

使用 GUI 将 ECC 曲线绑定到 SSL 服务

  1. 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Services(服务)
  2. 选择一个 SSL 服务,然后单击 编辑
  3. 在“高级设置”中,单击 ECC 曲线

    ECC 曲线的高级设置

  4. 在 ECC 曲线部分内单击。
  5. SSL 服务 ECC 曲线绑定 页面中,单击 添加绑定

    添加 ECC 曲线绑定

  6. ECC 曲线绑定中,单击“选择 ECC 曲线”。
  7. 选择一个值,然后单击“选择”

    选择 ECC 曲线值

  8. 单击 Bind(绑定)。
  9. 单击关闭
  10. 单击 Done(完成)。

使用 GUI 将 ECC 曲线绑定到 SSL 服务组

  1. 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Service Groups(服务组)
  2. 选择 SSL 服务组,然后单击“编辑”。
  3. 在“高级设置”中,单击 ECC 曲线
  4. 在 ECC 曲线部分内单击。
  5. SSL 服务组 ECC 曲线绑定页面中,单击“添加绑定”。
  6. ECC 曲线绑定中,单击“选择 ECC 曲线”。
  7. 选择一个值,然后单击“选择”
  8. 单击 Bind(绑定)。
  9. 单击关闭
  10. 单击 Done(完成)。