In SSL 卸载与加速
In Citrix ADC 13.0
In Citrix ADC
In All products
产品文档
In SSL 卸载与加速
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
查看 PDF

使用硬件和软件提高 ECDHE 和 ECDSA 密码性能

February 22, 2021
贡献者: 
C

注意:

此增强功能仅适用于以下平台:

  • MPX/SDX 11000
  • MPX/SDX 14000
  • MPX 22000、MPX 24000 和 MPX 25000
  • MPX/SDX 14000 FIPS

以前,Citrix ADC 设备上的 ECDHE 和 ECDSA 计算仅在硬件(Cavium 芯片)上执行,这限制了在任何给定时间的 SSL 会话数量。通过此增强功能,还可以在软件中执行一些操作。也就是说,在 Cavium 芯片和 CPU 内核上进行处理,以提高 ECDHE 和 ECDSA 密码性能。

处理首先在软件中执行,直到配置的软件加密阈值。达到此阈值后,操作将卸载到硬件。因此,这种混合模型使用硬件和软件来提高 SSL 性能。您可以通过设置“softwareCryptoThreshold”参数来启用混合模型,以满足您的需求。要禁用混合模型,请将此参数设置为 0。

如果当前 CPU 利用率不太高,则优势最大,因为 CPU 阈值并不是 ECDHE 和 ECDSA 计算的专用。例如,如果设备上的当前工作负载消耗了 50% 的 CPU 周期,并且阈值设置为 80%,则 ECDHE 和 ECDSA 计算只能使用 30%。在配置的软件加密阈值达到 80% 后,进一步的 ECDHE 和 ECDSA 计算被卸载到硬件上。在这种情况下,实际 CPU 利用率可能超过 80%,因为在硬件中执行 ECDHE 和 ECDSA 计算会消耗一些 CPU 周期。

使用 CLI 启用混合模型

在命令提示符下,键入:

set ssl parameter -softwareCryptoThreshold <positive_integer>

Synopsis:

softwareCryptoThreshold:

Citrix ADC CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.

Default = 0

Min = 0

Max = 100

示例:

set ssl parameter - softwareCryptoThreshold 80
Done

show ssl parameter
Advanced SSL Parameters

SSL quantum size                  : 8 KB
Max CRL memory size               : 256 MB
Strict CA checks                  : NO
Encryption trigger timeout        : 100 ms
Send Close-Notify                 : YES
Encryption trigger packet c       : 45
Deny SSL Renegotiation            : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size                   : 10 MB
Push flag                         : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout   : 1 ms
Crypto Device Disable Limit       : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile                   : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL

通过使用 GUI 启用混合模型

  1. 导航到流量管理 > SSL > 更改高级 SSL 设置
  2. 输入 软件加密阈值 (%)的值。

为 ECDHE 汇率设置 SNMP 警报

基于 ECDHE 的密钥交换可能会导致设备上的每秒交易丢失。从 13.0 版本生成 52.x,您可以为基于 ECDHE 的交易配置 SNMP 警报。在此警报中,您可以设置 ECDHE 汇率的阈值和正常限制。添加了一个新 nsssl_tot_sslInfo_ECDHE_Tx 计数器。此计数器是设备前端和后端所有基于 ECDHE 的交易计数器的总和。当基于 ECDHE 的密钥交换超过配置的限制时,将发送 SNMP 陷阱。当该值恢复到配置的正常值时,会发送另一个陷阱。

使用 CLI 为 ECDHE 汇率设置 SNMP 警报

在命令提示符下,键入:

set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
 -state ( ENABLED | DISABLED ) -thresholdValue <positive_integer>  [-normalValue <positive_integer>] -time <secs>

示例:

set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50
使用硬件和软件提高 ECDHE 和 ECDSA 密码性能
February 22, 2021
贡献者: 
C
February 22, 2021
贡献者: 
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie 首选项 | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.