Neue Cipher-Suite erstellen und anwenden

Eine Cipher Suite ist eine Kombination aus Authentifizierungs-, Verschlüsselungs-, Message Authentication Code (MAC)- und Schlüsselaustauschalgorithmen, die zur Aushandlung der Sicherheitseinstellungen für SSL- und TLS-Protokolle verwendet werden.

Um eine ordnungsgemäße Authentifizierung zu gewährleisten, müssen Sie sicherstellen, dass Ihre Citrix Netscaler VPX die beste Kombination von Chiffren verwendet.

Weitere Informationen zu SSL-Cipher-Suites und andere Best Practices finden Sie auf den folgenden Websites:

• Best Practices für SSL-und TLS-Implementierung
• Wie richte ich ECC auf NetScaler?

Gehen Sie wie folgt vor, um eine neue Cipher-Suite zu erstellen, die AEAD-, ECDHE- und ECDSA-Chiffrierwerte priorisiert:

1. Geben Sie die folgenden Befehle gleichzeitig in Ihre Citrix VPX CLI ein und stellen Sie sicher, dass sie alle angewendet werden:

   	add ssl cipher SSLLABS
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-ECDSA-AES128-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-ECDSA-AES256-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1-ECDHE-ECDSA-AES128-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-ECDHE-ECDSA-AES256-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-RSA-AES-256-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1-ECDHE-RSA-AES128-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-ECDHE-RSA-AES256-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1.2-DHE-RSA-AES128-GCM-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-DHE-RSA-AES256-GCM-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-AES-128-CBC-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-AES-256-CBC-SHA
   

   Die Syntax der vorangegangenen Befehle lautet wie folgt:

   	add ssl cipher <cipherGroupName>
   	bind ssl cipher <cipherGroupName> -cipherName <string>
   

2. Bestätigen Sie, dass die Chiffre zu Ihrem Citrix Netscaler VPX hinzugefügt wurde:

   	> show ssl cipher SSLLABS
   	1)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 1
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
   	2)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 2
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
   	3)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 3
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
   	4)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 4
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
   	5)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 5
   	        Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
   	6)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 6
   	        Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
   	7)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 7
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
   	8)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 8
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
   	9)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 9
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
   	10)     Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 10
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
   	11)     Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 11
   	        Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
   	12)     Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 12
   	        Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
   	13)     Cipher Name: TLS1.2-DHE-RSA-AES128-GCM-SHA256   Priority : 13
   	        Description: TLSv1.2 Kx=DH       Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0x009e
   	14)     Cipher Name: TLS1.2-DHE-RSA-AES256-GCM-SHA384   Priority : 14
   	        Description: TLSv1.2 Kx=DH       Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0x009f
   	15)     Cipher Name: TLS1-DHE-RSA-AES-128-CBC-SHA       Priority : 15
   	        Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x0033
   	16)     Cipher Name: TLS1-DHE-RSA-AES-256-CBC-SHA       Priority : 16
   	        Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0039
   	17)     Cipher Name: TLS1-AES-128-CBC-SHA       Priority : 17
   	        Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x002f
   	18)     Cipher Name: TLS1-AES-256-CBC-SHA       Priority : 18
   	        Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0035
   	Done
   

3. Binden Sie die Standard-Cipher-Suite von Ihrem virtuellen Server ab und binden Sie die im vorherigen Schritt erstellte benutzerdefinierte Gruppe:

   unbind ssl vserver https_vip2 -cipherName DEFAULT
   
   bind ssl vserver https_vip2 -cipherName SSLLABS
   
   bind ssl vserver https_vip2 -eccCurveName ALL
   

   Die Syntax der vorangegangenen Befehle lautet wie folgt:

   unbind ssl cipher <cipherGroupName> -cipherName <string>
   bind ssl vserver <vServerName> -cipherName <string>
   bind ssl vserver <vServerName> -eccCurveName <eccCurveName>
   

4. Bestätigen Sie die Änderungen in Ihrem virtuellen Server:

   	> show ssl vserver https_vip2
   
   	[OUTPUT OMITTED]
   		ECC Curve: P_256, P_384, P_224, P_521
   
   	1)      CertKey Name: hsmclient7ns      Server Certificate
   
   	1)      Cipher Name: SSLLABS
   		Description: User Created Cipher Group
   	Done
   

5. (OPTIONAL) HTTP Redirection kann aktiviert werden, um Benutzer auf eine sichere Website umzuleiten, wenn sie eine HTTP Anfrage erstellen (im Gegensatz zu HTTPS ).

   Anweisungen zur Konfiguration finden Sie unter HTTP zu HTTPS Redirection auf NetScaler.

6. Testen Sie die HTTPS-Verbindung, indem Sie einen Web-Browser öffnen und den FQDN eingeben. Die Website lädt den Inhalt, der vom Dienst HTTP hinter Citrix VPX gerendert wird.

   Sie können die Zertifikatsdetails auch anzeigen, indem Sie in Ihrem Browser auf das Vorhängeschloss-Symbol neben URL klicken, um die Zertifikatsinformationen anzuzeigen.

   Wenn die Umleitung in Schritt fünf konfiguriert wurde, wird die sichere Website bei einer HTTP-Anfrage geladen.