Citrix ADC

Diffie-Hellmanパラメータの生成とDHEによるPFSの実現

Diffie-Hellman(DH)キー交換は、SSL トランザクションに関与する 2 つの当事者が安全でないチャネルを介して共有秘密に同意する方法です。これらの当事者は、お互いについての事前知識を持っていません。このシークレットは、このようなキー交換を必要とする対称キー暗号アルゴリズムの暗号キー生成情報に変換できます。

この機能はデフォルトでは無効になっています。キー交換アルゴリズムとして DH を使用する暗号をサポートするように機能を設定しました。

2048 ビットの DH パラメータの生成には長い時間がかかることがあります (最大 30 分)。

CLI を使用して DH パラメータを生成する

コマンドプロンプトで、次のコマンドを入力します。

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]

例:

create ssl dhparam Key-DH-1 512 -gen 2

GUI を使用して DH パラメータを生成する

トラフィック管理 」>「 SSL 」に移動し、「 ツール 」グループで「 Diffie-Hellman (DH) キーの作成 」を選択し、「 SSL DH パラメータの設定 」を選択します。

注:

DH パラメータの詳細については、Diffie-Hellmanパラメータを参照してください。

DHEで完全な前方秘密を達成する

DH パラメータの生成は、CPU を大量に消費する操作です。以前のリリースでは、VPXアプライアンスでのパラメータ生成はソフトウェアで実行されているため、時間がかかりました。dhKeyExpSizeLimitパラメータを設定することで、パラメータの生成が最適化されます。SSL 仮想サーバーまたは SSL プロファイルに対してこのパラメーターを設定し、プロファイルを仮想サーバーにバインドできます。

DH カウントをゼロに設定することで、Citrix ADC MPXアプライアンスで完全転送秘密(PFS)を維持できます。その結果、Citrix ADC MPXアプライアンスでは、トランザクションごとにDHパラメータが生成されます(最小値DHcountは0)。操作が最適化されているため、パラメータはパフォーマンスを大幅に低下させることなく生成されます。以前は、許容される最小 DH カウントは 500 でした。つまり、最大 500 個のトランザクションに対してキーを再生成できませんでした。

Citrix ADC VPXアプライアンスでは、最低でも500トランザクションごとにDHパラメーターを生成できます(DHcount =500)。DHcountを0 に設定すると、DH パラメータは再生成されません。

制限事項:

現在、DH暗号を使用してVPXでPFSを達成することはできません。

CLI を使用した DH パラメータ生成の最適化

コマンドプロンプトで、コマンド 1 と 2 を入力するか、コマンド 3 を入力します。

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]

GUI を使用した DH パラメータ生成の最適化

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、仮想サーバーを開きます。
  2. [SSL パラメータ] セクションで、[DH キー有効期限のサイズ制限を有効にする] を選択します。

Diffie-Hellmanパラメータの生成とDHEによるPFSの実現