ADC

Génération de paramètres Diffie-Hellman et réalisation d’un PFS avec DHE

L’échange de clés Diffie-Hellman (DH) permet à deux parties impliquées dans une transaction SSL de se mettre d’accord sur un secret partagé via un canal non sécurisé. Ces parties n’ont aucune connaissance préalable l’une de l’autre. Ce secret peut être converti en matériel de clé cryptographique pour des algorithmes de chiffrement à clé symétrique nécessitant un tel échange de clés.

Cette fonction est désactivée par défaut. La fonctionnalité a été configurée pour prendre en charge les chiffrements qui utilisent DH comme algorithme d’échange de clés.

Remarque :

La génération de paramètres DH de 2048 bits peut prendre beaucoup de temps (jusqu’à 30 minutes).

Générez des paramètres DH à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->

Exemple :

create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->

Générez des paramètres DH à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL et, dans le groupe Outils, sélectionnez Créer une clé Diffie-Hellman (DH), puis Configurerle paramètre SSL DH.

Remarque :

Pour plus d’informations sur les paramètres DH, voir Paramètres Diffie-Hellman.

Obtenir un secret avant parfait avec DHE

La génération de paramètres DH est une opération gourmande en ressources du processeur. Dans les versions précédentes, la génération de paramètres, sur une appliance VPX, prenait beaucoup de temps car elle était effectuée dans le logiciel. La génération de paramètres est optimisée en définissant le dhKeyExpSizeLimit paramètre. Vous pouvez définir ce paramètre pour un serveur virtuel SSL ou un profil SSL, puis lier le profil à un serveur virtuel.

Vous pouvez maintenir le secret de transmission parfait (PFS) sur les appliances Citrix ADC MPX en définissant le compte DH égal à zéro. Par conséquent, les paramètres DH sont générés pour chaque transaction (le minimum DHcount est de 0) sur les appliances Citrix ADC MPX. Ces paramètres sont générés sans baisse significative des performances, car le fonctionnement est optimisé. Auparavant, le nombre minimum de DH autorisé était de 500. En d’autres termes, vous ne pouvez pas régénérer la clé pour un maximum de 500 transactions.

Limitation :

Sur une appliance Citrix ADC VPX, si vous définissez le nombre de DH sur zéro, les paramètres DH ne sont pas régénérés. Par conséquent, vous devez définir le nombre de DH à 500 pour maintenir le PFS. Les paramètres DH sont régénérés après 500 transactions.

Optimisez la génération de paramètres DH à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes 1 et 2, ou tapez la commande 3 :

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->

Optimisez la génération des paramètres DH à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis ouvrez un serveur virtuel.
  2. Dans la section Paramètres SSL, sélectionnez Activer la limite de taille d’expiration de la clé DH.
Génération de paramètres Diffie-Hellman et réalisation d’un PFS avec DHE