Citrix ADC

Nutzung von Hardware und Software zur Verbesserung der ECDHE und ECDSA-Verschlüsselungsleistung

Hinweis:

Diese Erweiterung gilt nur für die folgenden Plattformen:

  • MPX/SDX 11542
  • MPX/SDX 14000
  • MPX 22000, MPX 24000 und MPX 25000
  • MPX/SDX 14000 FIPS

Früher wurde die ECDHE und ECDSA-Berechnung auf einer Citrix ADC Appliance nur auf der Hardware (Cavium-Chips) durchgeführt, wodurch die Anzahl der SSL-Sitzungen zu einem bestimmten Zeitpunkt begrenzt wurde. Mit dieser Erweiterung werden auch einige Operationen in der Software durchgeführt. Das heißt, die Verarbeitung erfolgt sowohl auf den Cavium-Chips als auch auf den CPU-Kernen, um die ECDHE und ECDSA-Verschlüsselungsleistung zu verbessern.

Die Verarbeitung erfolgt zunächst in Software, bis zum konfigurierten Software-Kryptoschwellenwert. Nachdem dieser Schwellenwert erreicht ist, werden die Vorgänge auf die Hardware ausgelagert. Daher nutzt dieses Hybridmodell sowohl Hardware als auch Software, um die SSL-Leistung zu verbessern. Sie können das Hybridmodell aktivieren, indem Sie den Parameter “SoftwareCryptoThreshold” entsprechend Ihren Anforderungen festlegen. Um das Hybridmodell zu deaktivieren, setzen Sie diesen Parameter auf 0.

Die Vorteile sind am größten, wenn die aktuelle CPU-Auslastung nicht zu hoch ist, da der CPU-Schwellenwert nicht exklusiv für ECDHE und ECDSA-Berechnung ist. Wenn beispielsweise die aktuelle Arbeitslast der Citrix ADC Appliance 50% der CPU-Zyklen verbraucht und der Schwellenwert auf 80% festgelegt ist, können ECDHE und ECDSA zusätzliche 30% der Zyklen verwenden. Nachdem der konfigurierte Software-Kryptoschwellenwert von 80% erreicht wurde, wird die weitere ECDHE und ECDSA-Berechnung auf die Hardware abgeladen. In diesem Fall kann die tatsächliche CPU-Auslastung 80% überschreiten, da die Durchführung von ECDHE und ECDSA-Berechnungen in der Hardware einige CPU-Zyklen verbraucht.

Aktivieren des Hybridmodells mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl parameter -softwareCryptoThreshold <positive_integer>

Synopsis:

softwareCryptoThreshold:

Citrix ADC CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.

Default = 0

Min = 0

Max = 100

Beispiel:

set ssl parameter - softwareCryptoThreshold 80
Done

show ssl parameter
Advanced SSL Parameters

SSL quantum size                  : 8 KB
Max CRL memory size               : 256 MB
Strict CA checks                  : NO
Encryption trigger timeout        : 100 ms
Send Close-Notify                 : YES
Encryption trigger packet c       : 45
Deny SSL Renegotiation            : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size                   : 10 MB
Push flag                         : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout   : 1 ms
Crypto Device Disable Limit       : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile                   : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL

Aktivieren Sie das Hybridmodell mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > Erweiterte SSL-Einstellungen ändern.
  2. Geben Sie einen Wert für Software-Krypto-Schwellenwert (%)ein.

Einstellen eines SNMP-Alarms für den ECDHE-Wechselkurs

ECDHE-basierter Schlüsselaustausch kann dazu führen, dass die Transaktionen pro Sekunde auf der Appliance fallen. Ab Version 13.0 Build 52.x können Sie einen SNMP-Alarm für ECDHE-basierte Transaktionen konfigurieren. In diesem Alarm können Sie den Schwellenwert und die normalen Grenzwerte für den ECDHE-Wechselkurs festlegen. Ein neuer Zählernsssl_tot_sslInfo_ECDHE_Tx wird hinzugefügt. Dieser Leistungsindikator ist die Summe aller ECDHE-basierten Transaktionszähler am Front-End und Back-End der Appliance. Wenn der ECDHE-basierte Schlüsselaustausch die konfigurierten Grenzwerte überschreitet, wird ein SNMP-Trap gesendet. Ein weiterer Trap wird gesendet, wenn der Wert auf den konfigurierten Normalwert zurückkehrt.

Einstellen eines SNMP-Alarms für den ECDHE-Wechselkurs über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
 -state ( ENABLED | DISABLED ) -thresholdValue <positive_integer>  [-normalValue <positive_integer>] -time <secs>

Beispiel:

set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50

Nutzung von Hardware und Software zur Verbesserung der ECDHE und ECDSA-Verschlüsselungsleistung