In SSL 卸载与加速
In Citrix ADC 13.0
In Citrix ADC
In All products
产品文档
In SSL 卸载与加速
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
13.0 12.1 12.0 11.1 10.5
查看 PDF

差异-赫尔曼参数生成并使用 DHE 实现 PFS

September 12, 2020
贡献者: 
C

Diffie-Hellman (DH) 密钥交换是 SSL 交易中涉及的双方通过不安全渠道商定共享秘密的一种方式。这些当事方对彼此没有事先了解。这个秘密可以转换为加密密钥材料,用于需要此类密钥交换的对称密钥密码算法。

默认情况下,此功能处于禁用状态。配置此功能以支持使用 DH 作为密钥交换算法的密码。

注意

生成 2048 位 DH 参数可能需要很长时间(最多 30 分钟)。

使用 CLI 生成 DH 参数

在命令提示符下,键入以下命令:

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]

示例:

create ssl dhparam Key-DH-1 512 -gen 2

使用 GUI 生成 DH 参数

导航到 流量管理 > SSL ,然后在 工具 组中,选择 创建差异-地狱曼 (DH) 密钥 ,然后 配置 SSL DH 参 数。

注意:

有关 DH 参数的信息,请参阅差异-赫尔曼参数

使用 DHE 实现完美的前向保密

生成 DH 参数是 CPU 密集型操作。在早期版本中,VPX 设备上的参数生成需要很长时间,因为它是在软件中完成的。通过设置参数来优化dhKeyExpSizeLimit 参数生成。您可以为 SSL 虚拟服务器或 SSL 配置文件设置此参数,然后将配置文件绑定到虚拟服务器。

通过将 DH 计数设置为零,可以在 Citrix ADC MPX 设备上保持完美正向保密 (PFS)。因此,在 Citrix ADC MPX 设备上为每个事务生成 DH 参数(最小DHcount 值为 0)。您参数生成没有显著下降的性能, 因为操作是优化. 此前,允许的最低 DH 计数为 500。也就是说,您无法为多达 500 个事务重新生成密钥。

在 Citrix ADC VPX 设备上,至少可以为每 500 个事务生成 DH 参数 (DHcount = 500)。如果设置为DHcount 等于 0,则不会重新生成 DH 参数。

限制:

您今天无法使用 DH 密码在 VPX 中实现 PFS。

使用 CLI 优化 DH 参数生成

在命令提示符下,键入命令 1 和 2,或键入命令 3:

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]

3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]

使用 GUI 优化 DH 参数生成

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器,然后打开虚拟服务器。
  2. SSL 参数部分中,选择启用 DH 密钥过期大小限制

差异-赫尔曼参数生成并使用 DHE 实现 PFS

September 12, 2020
贡献者: 
C
September 12, 2020
贡献者: 
C

本文中包含的内容