新規の暗号スイートの作成と適用

暗号スイートは認証、暗号化、メッセージ認証コード（MAC）、鍵交換アルゴリズムの組み合わせで、SSLとTLSプロトコルのセキュリティ設定のネゴシエーションに使われる。

適切な認証を保証するためには、 Citrix Netscaler VPX、最適な暗号の組み合わせを使用するようにしなければならない。

SSL 暗号スイートおよびその他のベスト・プラクティスの詳細については、以下のリンクにアクセスしてください。

• SSL および TLS デプロイメントのベスト・プラクティス
• NetScaler?でECCを設定するには？

AEAD、ECDHE、および ECDSA 暗号を優先順位付けする新しい暗号スイートを作成するには、以下の手順を実行します。

1. Citrix VPX CLIで以下のコマンドを同時に入力し、すべて適用されていることを確認します：

   	add ssl cipher SSLLABS
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-ECDSA-AES128-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-ECDSA-AES256-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1-ECDHE-ECDSA-AES128-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-ECDHE-ECDSA-AES256-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-ECDHE-RSA-AES-256-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1-ECDHE-RSA-AES128-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-ECDHE-RSA-AES256-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1.2-DHE-RSA-AES128-GCM-SHA256
   	bind ssl cipher SSLLABS -cipherName TLS1.2-DHE-RSA-AES256-GCM-SHA384
   	bind ssl cipher SSLLABS -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-AES-128-CBC-SHA
   	bind ssl cipher SSLLABS -cipherName TLS1-AES-256-CBC-SHA
   

   上記のコマンドの構文は、以下のとおりです。

   	add ssl cipher <cipherGroupName>
   	bind ssl cipher <cipherGroupName> -cipherName <string>
   

2. 暗号が Citrix Netscaler VPX に追加されたことを確認する：

   	> show ssl cipher SSLLABS
   	1)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 1
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
   	2)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 2
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
   	3)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 3
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
   	4)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 4
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
   	5)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 5
   	        Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
   	6)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 6
   	        Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
   	7)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 7
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
   	8)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 8
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
   	9)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 9
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
   	10)     Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 10
   	        Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
   	11)     Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 11
   	        Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
   	12)     Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 12
   	        Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
   	13)     Cipher Name: TLS1.2-DHE-RSA-AES128-GCM-SHA256   Priority : 13
   	        Description: TLSv1.2 Kx=DH       Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0x009e
   	14)     Cipher Name: TLS1.2-DHE-RSA-AES256-GCM-SHA384   Priority : 14
   	        Description: TLSv1.2 Kx=DH       Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0x009f
   	15)     Cipher Name: TLS1-DHE-RSA-AES-128-CBC-SHA       Priority : 15
   	        Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x0033
   	16)     Cipher Name: TLS1-DHE-RSA-AES-256-CBC-SHA       Priority : 16
   	        Description: SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0039
   	17)     Cipher Name: TLS1-AES-128-CBC-SHA       Priority : 17
   	        Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0x002f
   	18)     Cipher Name: TLS1-AES-256-CBC-SHA       Priority : 18
   	        Description: SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0x0035
   	Done
   

3. 仮想サーバーからデフォルトの暗号化スイートをバインド解除し、前の手順で作成したカスタムグループをバインドします：

   unbind ssl vserver https_vip2 -cipherName DEFAULT
   
   bind ssl vserver https_vip2 -cipherName SSLLABS
   
   bind ssl vserver https_vip2 -eccCurveName ALL
   

   上記のコマンドの構文は次のとおりです。

   unbind ssl cipher <cipherGroupName> -cipherName <string>
   bind ssl vserver <vServerName> -cipherName <string>
   bind ssl vserver <vServerName> -eccCurveName <eccCurveName>
   

4. 仮想サーバーの変更を確認します。

   	> show ssl vserver https_vip2
   
   	[OUTPUT OMITTED]
   		ECC Curve: P_256, P_384, P_224, P_521
   
   	1)      CertKey Name: hsmclient7ns      Server Certificate
   
   	1)      Cipher Name: SSLLABS
   		Description: User Created Cipher Group
   	Done
   

5. (OPTIONAL) HTTP リダイレクトを有効にすると、ユーザーが( HTTPS とは対照的に) HTTP リクエストを作成したときに、安全なウェブサイトにリダイレクトすることができる。

   設定方法については、 NetScaler の「 HTTP から HTTPS へのリダイレクトの設定方法 」を参照のこと。

6. Web ブラウザーを開き、FQDN を入力して、HTTPS 接続をテストします。 サイトは、Citrix VPX の背後にある HTTP サービスによってレンダリングされたコンテンツを読み込みます。

   また、ブラウザで URL の横にある南京錠のアイコンをクリックして証明書情報を表示すると、証明書の詳細を見ることができます。

   ステップ5でリダイレクトが設定されている場合、 HTTP リクエストを使用するとセキュアサイトがロードされます。