Generación de parámetros Diffie-Hellman y consecución de PFS con DHE
El intercambio de claves Diffie-Hellman (DH) es una forma para que dos partes involucradas en una transacción SSL acuerden un secreto compartido sobre un canal inseguro. Estas partes no tienen conocimiento previo el uno del otro. Este secreto se puede convertir en material de claves criptográficas para algoritmos de cifrado de claves simétricas que requieren dicho intercambio de claves.
Esta función está inhabilitada de forma predeterminada. Se configuró la función para admitir cifrados que utilizan DH como algoritmo de intercambio de claves.
Nota:
La generación de parámetros DH de 2048 bits puede tardar mucho tiempo (hasta 30 minutos).
Generar parámetros DH mediante la CLI
En el símbolo del sistema, escriba el siguiente comando:
create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
Ejemplo:
create ssl dhparam Key-DH-1 512 -gen 2
Generar parámetros DH mediante la interfaz gráfica de usuario
Vaya a Administración del tráfico > SSL y, en el grupo Herramientas, seleccione Crear clave Diffie-Hellman (DH) y Configurar SSL DH Param.
Nota:
Para obtener información sobre los parámetros DH, consulte Parámetros de Diffie-Hellman.
Consiga un secreto directo perfecto con DHE
La generación de parámetros DH es una operación intensiva de CPU. En versiones anteriores, la generación de parámetros, en un dispositivo VPX, tardó mucho tiempo porque se hacía en el software. La generación de parámetros se optimiza configurando el parámetro dhKeyExpSizeLimit. Puede establecer este parámetro para un servidor virtual SSL o un perfil SSL y, a continuación, enlazar el perfil a un servidor virtual.
Puede mantener el secreto directo perfecto (PFS) en dispositivos Citrix ADC MPX estableciendo el recuento DH igual a cero. Como resultado, se generan parámetros DH para cada transacción (el mínimo DHcount es 0) en dispositivos Citrix ADC MPX. Los parámetros se generan sin una caída significativa en el rendimiento, ya que la operación está optimizada. Anteriormente, el recuento mínimo de DH permitido era de 500. Es decir, no se pudo regenerar la clave para hasta 500 transacciones.
En un dispositivo Citrix ADC VPX, puede generar parámetros DH para cada 500 transacciones como mínimo (DHcount = 500). Si establece DHcount igual a 0, los parámetros DH no se regeneran.
Limitación:
No puede lograr PFS en VPX hoy con los cifrados DH.
Optimizar la generación de parámetros DH mediante la CLI
En el símbolo del sistema, escriba los comandos 1 y 2 o escriba el comando 3:
1. add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2. set ssl vserver <vServerName> [-sslProfile <string>]
3. set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
Optimizar la generación de parámetros DH mediante la interfaz gráfica de usuario
- Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales y abra un servidor virtual.
- En la sección Parámetros SSL, seleccione Habilitar Límite de tamaño de caducidad de clave DH.