Nutzung von Hardware und Software zur Verbesserung der ECDHE und ECDSA-Verschlüsselungsleistung

Hinweis:

Diese Erweiterung gilt nur für die folgenden Plattformen:

  • MPX/SDX 11542
  • MPX/SDX 14000
  • MPX 22000, MPX 24000 und MPX 25000
  • MPX/SDX 14000 FIPS

Früher wurde die ECDHE und ECDSA-Berechnung auf einer Citrix ADC Appliance nur auf der Hardware (Cavium-Chips) durchgeführt, wodurch die Anzahl der SSL-Sitzungen zu einem bestimmten Zeitpunkt begrenzt wurde. Mit dieser Erweiterung werden auch einige Operationen in der Software durchgeführt. Das heißt, die Verarbeitung erfolgt sowohl auf den Cavium-Chips als auch auf den CPU-Kernen, um die ECDHE und ECDSA-Verschlüsselungsleistung zu verbessern.

Die Verarbeitung erfolgt zunächst in Software, bis zum konfigurierten Software-Kryptoschwellenwert. Nachdem dieser Schwellenwert erreicht ist, werden die Vorgänge auf die Hardware ausgelagert. Daher nutzt dieses Hybridmodell sowohl Hardware als auch Software, um die SSL-Leistung zu verbessern. Sie können das Hybridmodell aktivieren, indem Sie den Parameter “SoftwareCryptoThreshold” entsprechend Ihren Anforderungen festlegen. Um das Hybridmodell zu deaktivieren, setzen Sie diesen Parameter auf 0.

Die Vorteile sind am größten, wenn die aktuelle CPU-Auslastung nicht zu hoch ist, da der CPU-Schwellenwert nicht exklusiv für ECDHE und ECDSA-Berechnung ist. Wenn beispielsweise die aktuelle Arbeitslast der Citrix ADC Appliance 50% der CPU-Zyklen verbraucht und der Schwellenwert auf 80% festgelegt ist, können ECDHE und ECDSA zusätzliche 30% der Zyklen verwenden. Nachdem der konfigurierte Software-Kryptoschwellenwert von 80% erreicht wurde, wird die weitere ECDHE und ECDSA-Berechnung auf die Hardware abgeladen. In diesem Fall kann die tatsächliche CPU-Auslastung 80% überschreiten, da die Durchführung von ECDHE und ECDSA-Berechnungen in der Hardware einige CPU-Zyklen verbraucht.

Aktivieren des Hybridmodells mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl parameter -softwareCryptoThreshold <positive_integer>

Synopsis:

softwareCryptoThreshold:

Citrix ADC CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.

Default = 0

Min = 0

Max = 100

Beispiel:

>set ssl parameter - softwareCryptoThreshold 80
Done

>show ssl parameter
Advanced SSL Parameters

SSL quantum size                  : 8 KB
Max CRL memory size               : 256 MB
Strict CA checks                  : NO
Encryption trigger timeout        : 100 ms
Send Close-Notify                 : YES
Encryption trigger packet c       : 45
Deny SSL Renegotiation            : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size                   : 10 MB
Push flag                         : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout   : 1 ms
Crypto Device Disable Limit       : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile                   : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL

Aktivieren Sie das Hybridmodell mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > Erweiterte SSL-Einstellungen ändern .
  2. Geben Sie einen Wert für Software-Krypto-Schwellenwert (%)ein.

Nutzung von Hardware und Software zur Verbesserung der ECDHE und ECDSA-Verschlüsselungsleistung