This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
使用硬件和软件提高 ECDHE 和 ECDSA 密码性能
注意:
此增强功能仅适用于以下平台:
- MPX/SDX 11000
- MPX/SDX 14000
- MPX 22000、MPX 24000 和 MPX 25000
- MPX/SDX 14000 FIPS
以前,Citrix ADC 设备上的 ECDHE 和 ECDSA 计算仅在硬件(Cavium 芯片)上执行,这限制了在任何给定时间的 SSL 会话数量。通过此增强功能,还可以在软件中执行一些操作。也就是说,在 Cavium 芯片和 CPU 内核上进行处理,以提高 ECDHE 和 ECDSA 密码性能。
处理首先在软件中执行,直到配置的软件加密阈值。达到此阈值后,操作将卸载到硬件。因此,这种混合模型使用硬件和软件来提高 SSL 性能。您可以通过设置“softwareCryptoThreshold”参数来启用混合模型,以满足您的需求。要禁用混合模型,请将此参数设置为 0。
如果当前 CPU 利用率不太高,则优势最大,因为 CPU 阈值并不是 ECDHE 和 ECDSA 计算的专用。例如,如果设备上的当前工作负载消耗了 50% 的 CPU 周期,并且阈值设置为 80%,则 ECDHE 和 ECDSA 计算只能使用 30%。在配置的软件加密阈值达到 80% 后,进一步的 ECDHE 和 ECDSA 计算被卸载到硬件上。在这种情况下,实际 CPU 利用率可能超过 80%,因为在硬件中执行 ECDHE 和 ECDSA 计算会消耗一些 CPU 周期。
使用 CLI 启用混合模型
在命令提示符下,键入:
set ssl parameter -softwareCryptoThreshold <positive_integer>
Synopsis:
softwareCryptoThreshold:
Citrix ADC CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.
Default = 0
Min = 0
Max = 100
示例:
set ssl parameter - softwareCryptoThreshold 80
Done
show ssl parameter
Advanced SSL Parameters
SSL quantum size : 8 KB
Max CRL memory size : 256 MB
Strict CA checks : NO
Encryption trigger timeout : 100 ms
Send Close-Notify : YES
Encryption trigger packet c : 45
Deny SSL Renegotiation : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size : 10 MB
Push flag : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout : 1 ms
Crypto Device Disable Limit : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL
通过使用 GUI 启用混合模型
- 导航到流量管理 > SSL > 更改高级 SSL 设置。
- 输入 软件加密阈值 (%)的值。
为 ECDHE 汇率设置 SNMP 警报
基于 ECDHE 的密钥交换可能会导致设备上的每秒交易丢失。从 13.0 版本生成 52.x,您可以为基于 ECDHE 的交易配置 SNMP 警报。在此警报中,您可以设置 ECDHE 汇率的阈值和正常限制。添加了一个新 nsssl_tot_sslInfo_ECDHE_Tx
计数器。此计数器是设备前端和后端所有基于 ECDHE 的交易计数器的总和。当基于 ECDHE 的密钥交换超过配置的限制时,将发送 SNMP 陷阱。当该值恢复到配置的正常值时,会发送另一个陷阱。
使用 CLI 为 ECDHE 汇率设置 SNMP 警报
在命令提示符下,键入:
set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
-state ( ENABLED | DISABLED ) -thresholdValue <positive_integer> [-normalValue <positive_integer>] -time <secs>
示例:
set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50
分享:
分享:
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.