Citrix ADC

差异-赫尔曼参数生成并使用 DHE 实现 PFS

Diffie-Hellman (DH) 密钥交换是 SSL 交易中涉及的双方通过不安全渠道商定共享秘密的一种方式。这些当事方对彼此没有事先了解。这个秘密可以转换为加密密钥材料,用于需要此类密钥交换的对称密钥密码算法。

默认情况下,此功能处于禁用状态。配置此功能以支持使用 DH 作为密钥交换算法的密码。

注意

生成 2048 位 DH 参数可能需要很长时间(最多 30 分钟)。

使用 CLI 生成 DH 参数

在命令提示符下,键入以下命令:

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]

示例:

create ssl dhparam Key-DH-1 512 -gen 2

使用 GUI 生成 DH 参数

导航到 流量管理 > SSL ,然后在 工具 组中,选择 创建差异-地狱曼 (DH) 密钥 ,然后 配置 SSL DH 参 数。

注意:

有关 DH 参数的信息,请参阅差异-赫尔曼参数

使用 DHE 实现完美的前向保密

生成 DH 参数是 CPU 密集型操作。在早期版本中,VPX 设备上的参数生成需要很长时间,因为它是在软件中完成的。通过设置参数来优化dhKeyExpSizeLimit 参数生成。您可以为 SSL 虚拟服务器或 SSL 配置文件设置此参数,然后将配置文件绑定到虚拟服务器。

通过将 DH 计数设置为零,可以在 Citrix ADC MPX 设备上保持完美正向保密 (PFS)。因此,在 Citrix ADC MPX 设备上为每个事务生成 DH 参数(最小DHcount 值为 0)。您参数生成没有显著下降的性能, 因为操作是优化. 此前,允许的最低 DH 计数为 500。也就是说,您无法为多达 500 个事务重新生成密钥。

在 Citrix ADC VPX 设备上,至少可以为每 500 个事务生成 DH 参数 (DHcount = 500)。如果设置为DHcount 等于 0,则不会重新生成 DH 参数。

限制:

您今天无法使用 DH 密码在 VPX 中实现 PFS。

使用 CLI 优化 DH 参数生成

在命令提示符下,键入命令 1 和 2,或键入命令 3:

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]

使用 GUI 优化 DH 参数生成

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器,然后打开虚拟服务器。
  2. SSL 参数部分中,选择启用 DH 密钥过期大小限制

差异-赫尔曼参数生成并使用 DHE 实现 PFS