差异-赫尔曼参数生成并使用 DHE 实现 PFS

October 7, 2021

投稿者:

Diffie-Hellman (DH) 密钥交换是 SSL 交易中涉及的双方通过不安全渠道商定共享秘密的一种方式。这些当事方对彼此没有事先了解。这个秘密可以转换为加密密钥材料，用于需要此类密钥交换的对称密钥密码算法。

默认情况下，此功能处于禁用状态。配置此功能以支持使用 DH 作为密钥交换算法的密码。

注意：

生成 2048 位 DH 参数可能需要很长时间（最多 30 分钟）。

使用 CLI 生成 DH 参数

在命令提示符下，键入以下命令：

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->

示例：

create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->

使用 GUI 生成 DH 参数

导航到 流量管理 > SSL ，然后在工具组中，选择 创建差异-地狱曼 (DH) 密钥 ，然后 配置 SSL DH 参 数。

注意：有关 DH 参数的信息，请参阅 D iffie-Hellman 参数。

使用 DHE 实现完美的前向保密

生成 DH 参数是 CPU 密集型操作。在早期版本中，VPX 设备上的参数生成需要很长时间，因为它是在软件中完成的。通过设置参数来优化dhKeyExpSizeLimit 参数生成。您可以为 SSL 虚拟服务器或 SSL 配置文件设置此参数，然后将配置文件绑定到虚拟服务器。

通过将 DH 计数设置为零，您可以在 Citrix ADC MPX 设备上保持完美的向前保密 (PFS)。因此，在 Citrix ADC MPX 设备上为每个事务生成 DH 参数（最小DHcount 值为 0）。您参数生成没有显著下降的性能, 因为操作是优化. 此前，允许的最低 DH 计数为 500。也就是说，您不能为多达 500 笔交易重新生成密钥。

在 Citrix ADC VPX 设备上，至少可以为每 500 个事务生成 DH 参数 (DHcount = 500)。如果设置为DHcount 等于 0，则不会重新生成 DH 参数。

限制：

您今天无法使用 DH 密码在 VPX 中实现 PFS。

使用 CLI 优化 DH 参数生成

在命令提示符下，键入命令 1 和 2，或键入命令 3：

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->

3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->

使用 GUI 优化 DH 参数生成

导航到 流量管理 > 负载平衡 > 虚拟服务器，然后打开虚拟服务器。
在“SSL 参数”部分中，选择“启用 DH 密钥过期大小限制”。

本内容的正式版本为英文版。部分 Citrix 文档内容采用了机器翻译，仅供您参考。Citrix 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Citrix 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Citrix 不承担任何责任。

差异-赫尔曼参数生成并使用 DHE 实现 PFS

October 7, 2021

投稿者:

October 7, 2021

投稿者: