Citrix ADC

Génération de paramètres Diffie-Hellman et réalisation de PFS avec DHE

L’échange de clés Diffie-Hellman (DH) est un moyen pour deux parties impliquées dans une transaction SSL de convenir d’un secret partagé sur un canal non sécurisé. Ces parties n’ont aucune connaissance préalable de l’autre. Ce secret peut être converti en matériel de clé cryptographique pour les algorithmes de chiffrement de clé symétrique qui nécessitent un tel échange de clés.

Cette fonction est désactivée par défaut. Configuration de la fonctionnalité pour prendre en charge les chiffrements utilisant DH comme algorithme d’échange de clés.

Remarque :

La génération de paramètres DH 2048 bits peut prendre beaucoup de temps (jusqu’à 30 minutes).

Générer des paramètres DH à l’aide de la CLI

À l’invite de commandes, tapez la commande suivante :

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]

Exemple :

create ssl dhparam Key-DH-1 512 -gen 2

Générer des paramètres DH à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL et, dans le groupe Outils, sélectionnez Créer une clé Diffie-Hellman (DH) et Configurer le param SSL DH.

Remarque :

Pour plus d’informations sur les paramètres DH, reportez-vous à la section Paramètres Diffie-Hellman.

Obtenez un secret avant parfait avec DHE

La génération de paramètres DH est une opération gourmande en CPU. Dans les versions précédentes, la génération de paramètres, sur une appliance VPX, prenait beaucoup de temps car elle était effectuée dans le logiciel. La génération des paramètres est optimisée en définissant ledhKeyExpSizeLimit paramètre. Vous pouvez définir ce paramètre pour un serveur virtuel SSL ou un profil SSL, puis lier le profil à un serveur virtuel.

Vous pouvez maintenir le secret direct parfait (PFS) sur les appliances Citrix ADC MPX en définissant le nombre de DH égal à zéro. Par conséquent, les paramètres DH sont générés pour chaque transaction (minimum DHcount 0) sur les appliances Citrix ADC MPX. Les paramètres sont générés sans baisse significative des performances, car l’opération est optimisée. Auparavant, le nombre minimum de DH autorisé était de 500. Autrement dit, vous ne pouviez pas régénérer la clé pour jusqu’à 500 transactions.

Sur un dispositif Citrix ADC VPX, vous pouvez générer des paramètres DH pour chaque transaction 500 au minimum (DHcount = 500). Si DHcount est égal à 0, les paramètres DH ne sont pas régénérés.

Limitation :

Vous ne pouvez pas atteindre PFS dans VPX aujourd’hui avec des chiffrements DH.

Optimisation de la génération des paramètres DH à l’aide de l’interface CLI

À l’invite de commandes, tapez les commandes 1 et 2, ou tapez la commande 3 :

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]

Optimiser la génération des paramètres DH à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels et ouvrez un serveur virtuel.
  2. Dans la section Paramètres SSL, sélectionnez Activer la limite de taille d’expiration de la clé DH.