Génération de paramètres Diffie-Hellman et réalisation de PFS avec DHE

L’échange de clés Diffie-Hellman (DH) est un moyen pour deux parties impliquées dans une transaction SSL de convenir d’un secret partagé sur un canal non sécurisé. Ces parties n’ont aucune connaissance préalable l’une de l’autre. Ce secret peut être converti en matériel de clé cryptographique pour les algorithmes de chiffrement de clés symétriques qui nécessitent un tel échange de clés.

Cette fonction est désactivée par défaut. Configurez la fonctionnalité pour prendre en charge les chiffrements qui utilisent DH comme algorithme d’échange de clés.

Remarque :

La génération de paramètres DH 2048 bits peut prendre beaucoup de temps (jusqu’à 30 minutes).

Générer des paramètres DH à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]

Exemple :

create ssl dhparam Key-DH-1 512 -gen 2

Générer des paramètres DH à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL et, dans le groupe Outils, sélectionnez Créer une clé Diffie-Hellman (DH) et Configurer le param SSL DH.

Remarque :

Pour plus d’informations sur les paramètres DH, reportez-vous à la section Paramètres Diffie-Hellman.

Réalisez un secret d’avant parfait avec DHE

La génération de paramètres DH est une opération intensive en CPU. Dans les versions antérieures, la génération de paramètres, sur une appliance VPX, a pris beaucoup de temps car elle a été effectuée dans le logiciel. La génération de paramètres est optimisée en définissant ledhKeyExpSizeLimit paramètre. Vous pouvez définir ce paramètre pour un serveur virtuel SSL ou un profil SSL, puis lier le profil à un serveur virtuel.

Vous pouvez maintenir un secret d’avance parfait (PFS) sur les appliances Citrix ADC MPX en définissant le nombre DH égal à zéro. Par conséquent, les paramètres DH sont générés pour chaque transaction (minimum DHcount 0) sur les appliances Citrix ADC MPX. Les paramètres sont générés sans une baisse significative des performances, car l’opération est optimisée. Auparavant, le nombre minimal de DH autorisé était de 500. Autrement dit, vous ne pouviez pas régénérer la clé pour jusqu’à 500 transactions.

Sur une appliance Citrix ADC VPX, vous pouvez générer des paramètres DH pour chaque transaction 500 au minimum (DHcount = 500). Si DHcount est égal à 0, les paramètres DH ne sont pas régénérés.

Limitation :

Vous ne pouvez pas obtenir PFS dans VPX aujourd’hui avec des chiffrements DH.

Optimiser la génération de paramètres DH à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes 1 et 2, ou tapez la commande 3 :

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]

Optimiser la génération de paramètres DH à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels et ouvrez un serveur virtuel.
  2. Dans la section Paramètres SSL, sélectionnez Activer la limite de taille d’expiration de la clé DH.