ADC

Generierung von Diffie-Hellman-Parametern und Erreichen eines PFS mit DHE

Der Diffie-Hellman (DH) -Schlüsselaustausch ist eine Möglichkeit für zwei an einer SSL-Transaktion beteiligte Parteien, sich über einen unsicheren Kanal auf ein gemeinsames Geheimnis zu einigen. Diese Parteien haben keine Vorkenntnisse voneinander. Dieses Geheimnis kann in kryptografisches Schlüsselmaterial für symmetrische Schlüsselverschlüsselungsalgorithmen umgewandelt werden, die einen solchen Schlüsselaustausch erfordern.

Das Feature ist in der Standardeinstellung deaktiviert. Die Funktion wurde so konfiguriert, dass Chiffren unterstützt werden, die DH als Schlüsselaustauschalgorithmus verwenden.

Hinweis:

Das Generieren von 2048-Bit-DH-Parametern kann sehr lange dauern (bis zu 30 Minuten).

Generieren Sie DH-Parameter mithilfe der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->

Beispiel:

create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->

Generieren Sie DH-Parameter mithilfe der GUI

Navigieren Sie zu Traffic Management > SSL und wählen Sie in der Gruppe Tools die Option Diffie-Hellman-Schlüssel (DH) erstellenund SSL DH-Parameter konfigurierenaus.

Hinweis:

Informationen zu DH-Parametern finden Sie unter Diffie-Hellman-Parametern.

Perfektes Vorwärtsgeheimnis mit DHE

Das Generieren von DH-Parametern ist ein CPU-intensiver Vorgang. In früheren Versionen dauerte die Parametergenerierung auf einer VPX-Appliance sehr lange, da sie in der Software erfolgte. Die Parametergenerierung wird durch die Einstellung des dhKeyExpSizeLimit Parameters optimiert. Sie können diesen Parameter für einen virtuellen SSL-Server oder ein SSL-Profil festlegen und das Profil dann an einen virtuellen Server binden.

Sie können Perfect Forward Secrecy (PFS) auf Citrix ADC MPX-Appliances aufrechterhalten, indem Sie die DH-Anzahl auf Null setzen. Infolgedessen werden DH-Parameter für jede Transaktion (Minimum DHcount ist 0) auf Citrix ADC MPX-Appliances generiert. Diese Parameter werden ohne nennenswerten Leistungsverlust generiert, da der Betrieb optimiert ist. Zuvor lag die zulässige Mindestanzahl an DH bei 500. Das heißt, Sie können den Schlüssel nicht für bis zu 500 Transaktionen regenerieren.

Einschränkung:

Wenn Sie auf einer Citrix ADC VPX-Appliance die DH-Anzahl auf Null setzen, werden die DH-Parameter nicht regeneriert. Daher müssen Sie den DH-Zähler auf 500 setzen, um PFS aufrechtzuerhalten. Die DH-Parameter werden nach 500 Transaktionen neu generiert.

Optimieren Sie die Generierung von DH-Parametern mithilfe der CLI

Geben Sie in der Befehlszeile die Befehle 1 und 2 ein, oder geben Sie Befehl 3 ein:

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->

Optimieren Sie die Generierung von DH-Parametern mithilfe der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Serverund öffnen Sie einen virtuellen Server.
  2. Wählen Sie im Abschnitt SSL-Parameter die Option DH Key Expire Size Limit aktivierenaus.
Generierung von Diffie-Hellman-Parametern und Erreichen eines PFS mit DHE