ECDHE 密码
所有 NetScaler 设备都支持前端和后端的 ECDHE 密码组。在 SDX 设备上,如果将 SSL 芯片分配给 VPX 实例,则适用 MPX 设备的密码支持。否则,将适用 VPX 实例的正常密码支持。
有关支持这些密码的版本和平台的更多信息,请 参阅 NetScaler 设备上提供的密码器。
ECDHE 密码套件使用椭圆曲线加密 (ECC)。由于密钥大小较小,ECC 在移动(无线)环境或交互式语音响应环境中特别有用,在这些环境中,每一毫秒都很重要。较小的密钥大小可节省电量、内存、带宽和计算成本。
NetScaler 设备支持以下 ECC 曲线:
- P_256
- P_384
- P_224
- P_521
- X_25519(在 14.1-12.x 及更高版本中,仅支持前端的 TLS 1.3。在 14.1-25.x 及更高版本中,支持后端的 TLS 1.2 和 1.3)。
您可以将所有五条曲线绑定到 SSL 前端实体。默认情况下,曲线按以下顺序绑定:X_25519、P_256、P_384、P_224、P_521。升级到 14.1-12.x 版本时,任何现有 SSL 虚拟服务器和 SSL 配置文件中的曲线绑定都不会被修改。要使用 X25519,必须修改配置并手动绑定 X25519。或者,要将 X25519 添加到列表的前面,请使用 bind ssl vserver
或 bind ssl profile
命令中的 ‘ALL’ ec_curv 选项。此命令在内部解除绑定并按默认顺序绑定所有曲线。
您可以将前四条 ECC 曲线绑定到 SSL 后端实体。默认情况下,所有四条曲线都按以下顺序绑定:P_256、P_384、P_224、P_521。
要更改顺序,必须先取消绑定所有曲线,然后按所需顺序绑定它们。
使用 CLI 将 ECC 曲线绑定到 SSL 虚拟服务器
支持的 ECC 曲线:P_256、P_384、P_224、P_521 和 X_25519。
在命令提示符下,键入:
bind ssl vserver <vServerName > -eccCurveName <eccCurveName >
示例:
bind ssl vserver v1 -eccCurveName P_224
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: DISABLED TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_224
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
使用 GUI 将 ECC 曲线绑定到 SSL 虚拟服务器
支持的 ECC 曲线:P_256、P_384、P_224、P_521 和 X_25519。
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 选择 SSL 虚拟服务器,然后单击“编辑”。
-
在“高级设置”中,单击 ECC 曲线。
- 在 ECC 曲线部分内单击。
-
在 SSL 虚拟服务器 ECC 曲线绑定 页面中,单击 添加绑定。
-
在 ECC 曲线绑定中,单击“选择 ECC 曲线”。
-
选择一个值,然后单击“选择”。
- 单击 Bind(绑定)。
- 单击关闭。
- 单击 Done(完成)。
使用 CLI 将 ECC 曲线绑定到 SSL 服务
支持的 ECC 曲线:P_256、P_384、P_224、P_521 和 X_25519。
在命令提示符下,键入:
bind ssl service <ServiceName > -eccCurveName <eccCurveName >
示例:
> bind ssl service sslsvc -eccCurveName P_224
> sh ssl service sslsvc
Advanced SSL configuration for Back-end SSL Service sslsvc:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
ClearText Port: 0
Server Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: ???
DHE Key Exchange With PSK: ???
Tickets Per Authentication Context: ???
ECC Curve: P_224
1) Cipher Name: DEFAULT_BACKEND
Description: Default cipher list for Backend SSL session
Done
<!--NeedCopy-->
使用 CLI 将 ECC 曲线绑定到 SSL 服务组
支持的 ECC 曲线:P_256、P_384、P_224、P_521 和 X_25519。
在命令提示符下,键入:
bind ssl servicegroup <ServicegroupName > -eccCurveName <eccCurveName >
示例:
> bind ssl service sslsg -eccCurveName X_25519
> sh ssl service sslsvc
Advanced SSL configuration for Back-end SSL Service Group sslsg:
Session Reuse: ENABLED Timeout: 300 seconds
Server Auth: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
ECC Curve: X_25519
1) Cipher Name: DEFAULT_BACKEND
Description: Default cipher list for Backend SSL session
Done
<!--NeedCopy-->
使用 GUI 将 ECC 曲线绑定到 SSL 服务
- 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Services(服务)。
- 选择一个 SSL 服务,然后单击 编辑。
-
在“高级设置”中,单击 ECC 曲线。
- 在 ECC 曲线部分内单击。
-
在 SSL 服务 ECC 曲线绑定 页面中,单击 添加绑定。
- 在 ECC 曲线绑定中,单击“选择 ECC 曲线”。
-
选择一个值,然后单击“选择”。
- 单击 Bind(绑定)。
- 单击关闭。
- 单击 Done(完成)。
使用 GUI 将 ECC 曲线绑定到 SSL 服务组
- 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Service Groups(服务组)。
- 选择 SSL 服务组,然后单击“编辑”。
- 在“高级设置”中,单击 ECC 曲线。
- 在 ECC 曲线部分内单击。
- 在 SSL 服务组 ECC 曲线绑定页面中,单击“添加绑定”。
- 在 ECC 曲线绑定中,单击“选择 ECC 曲线”。
- 选择一个值,然后单击“选择”。
- 单击 Bind(绑定)。
- 单击关闭。
- 单击 Done(完成)。