ADC

Generación de parámetros de Diffie-Hellman y logro de la PFS con DHE

El intercambio de claves Diffie-Hellman (DH) permite a dos partes implicadas en una transacción SSL llegar a un acuerdo sobre un secreto compartido a través de un canal inseguro. Estas partes no tienen conocimiento previo unas de otras. Este secreto se puede convertir en material de codificación criptográfica para los algoritmos de cifrado de claves simétricas que requieren dicho intercambio de claves.

Esta función está inhabilitada de forma predeterminada. Se configuró la función para admitir cifrados que utilizan DH como algoritmo de intercambio de claves.

Nota:

La generación de parámetros DH de 2048 bits puede llevar mucho tiempo (hasta 30 minutos).

Genere parámetros DH mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->

Ejemplo:

create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->

Genere parámetros DH mediante la interfaz gráfica

Vaya a Administración del tráfico > SSL y, en el grupo Herramientas, seleccione Crear clave Diffie-Hellman (DH)y Configurarel parámetro SSL DH.

Nota:

Para obtener información sobre los parámetros de DH, consulte Parámetros de Diffie-Hellman.

Consiga un secreto directo perfecto con DHE

La generación de parámetros DH es una operación que requiere un uso intensivo de la CPU. En versiones anteriores, la generación de parámetros en un dispositivo VPX llevaba mucho tiempo porque se realizaba en el software. La generación de parámetros se optimiza mediante la configuración del parámetro dhKeyExpSizeLimit. Puede establecer este parámetro para un servidor virtual SSL o un perfil SSL y, a continuación, vincular el perfil a un servidor virtual.

Puede mantener un secreto directo (PFS) perfecto en los dispositivos NetScaler MPX configurando el recuento de DH en cero. Como resultado, se generan parámetros DH para cada transacción (el mínimo DHcount es 0) en los dispositivos NetScaler MPX. Estos parámetros se generan sin una caída significativa en el rendimiento, ya que la operación está optimizada. Anteriormente, el recuento mínimo de DH permitido era de 500. Es decir, no puede regenerar la clave para un máximo de 500 transacciones.

Limitación:

En un dispositivo NetScaler VPX, si establece el recuento de DH en cero, los parámetros de DH no se regeneran. Por lo tanto, debe establecer el recuento de DH en 500 para mantener la PFS. Los parámetros DH se regeneran después de 500 transacciones.

Optimice la generación de parámetros DH mediante la CLI

En la línea de comandos, escriba los comandos 1 y 2, o escriba el comando 3:

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->

Optimice la generación de parámetros de DH mediante la interfaz gráfica

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtualesy abra un servidor virtual.
  2. En la sección Parámetros SSL, seleccione Habilitar el límite de tamaño de caducidad de la clave DH.
Generación de parámetros de Diffie-Hellman y logro de la PFS con DHE