Verwenden Sie Hardware und Software, um die Leistung der ECDHE- und ECDSA-Verschlüsselung zu verbessern
Hinweis:
Diese Verbesserung gilt nur für die folgenden Plattformen:
- MPX/SDX 11000
- MPX/SDX 14000
- MPX 22000, MPX 24000 und MPX 25000
- MPX/SDX 14000 FIPS
Bisher wurden ECDHE- und ECDSA-Berechnungen auf einer NetScaler-Appliance nur auf der Hardware (Cavium-Chips) durchgeführt, wodurch die Anzahl der SSL-Sitzungen zu einem bestimmten Zeitpunkt begrenzt wurde. Mit dieser Erweiterung werden einige Operationen auch in der Software ausgeführt. Das heißt, die Verarbeitung erfolgt sowohl auf den Cavium-Chips als auch auf den CPU-Kernen, um die ECDHE- und ECDSA-Chiffrierleistung zu verbessern.
Die Verarbeitung erfolgt zunächst in Software bis zum konfigurierten Software-Krypto-Schwellenwert. Nachdem dieser Schwellenwert erreicht ist, werden die Operationen auf die Hardware ausgelagert. Daher verwendet dieses Hybridmodell sowohl Hardware als auch Software, um die SSL-Leistung zu verbessern. Sie können das Hybridmodell aktivieren, indem Sie den Parameter „SoftwareCryptoThreshold“ entsprechend Ihren Anforderungen festlegen. Um das Hybridmodell zu deaktivieren, setzen Sie diesen Parameter auf 0.
Die Vorteile sind am größten, wenn die aktuelle CPU-Auslastung nicht zu hoch ist, da der CPU-Schwellenwert nicht ausschließlich für ECDHE- und ECDSA-Berechnungen gilt. Wenn die aktuelle Arbeitslast auf der Appliance beispielsweise 50% der CPU-Zyklen verbraucht und der Schwellenwert auf 80% festgelegt ist, können bei der ECDHE- und ECDSA-Berechnung nur 30% verwendet werden. Nachdem der konfigurierte Software-Krypto-Schwellenwert von 80% erreicht ist, werden weitere ECDHE- und ECDSA-Berechnungen auf die Hardware ausgelagert. In diesem Fall könnte die tatsächliche CPU-Auslastung 80% überschreiten, da die Durchführung von ECDHE- und ECDSA-Berechnungen in der Hardware einige CPU-Zyklen beansprucht.
Aktivieren Sie das Hybridmodell mithilfe der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
set ssl parameter -softwareCryptoThreshold <positive_integer>
Synopsis:
softwareCryptoThreshold:
NetScaler CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.
Default = 0
Min = 0
Max = 100
<!--NeedCopy-->
Beispiel:
set ssl parameter - softwareCryptoThreshold 80
Done
show ssl parameter
Advanced SSL Parameters
SSL quantum size : 8 KB
Max CRL memory size : 256 MB
Strict CA checks : NO
Encryption trigger timeout : 100 ms
Send Close-Notify : YES
Encryption trigger packet c : 45
Deny SSL Renegotiation : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size : 10 MB
Push flag : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout : 1 ms
Crypto Device Disable Limit : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL
<!--NeedCopy-->
Aktivieren Sie das Hybridmodell mithilfe der GUI
- Navigieren Sie zu Traffic Management > SSL > Erweiterte SSL-Einstellungen ändern.
- Geben Sie einen Wert für den Software-Krypto-Schwellenwert (%)ein.
Stellen Sie einen SNMP-Alarm für den ECDHE-Wechselkurs ein
Der ECDHE-basierte Schlüsselaustausch kann dazu führen, dass die Transaktionen pro Sekunde auf der Appliance ausfallen. Ab Version 13.0 Build 52.x können Sie einen SNMP-Alarm für ECDHE-basierte Transaktionen konfigurieren. In diesem Alarm können Sie den Schwellenwert und die normalen Grenzwerte für den ECDHE-Wechselkurs festlegen. Ein neuer Zähler nsssl_tot_sslInfo_ECDHE_Tx
wird hinzugefügt. Dieser Zähler ist die Summe aller ECDHE-basierten Transaktionszähler im Frontend und Back-End der Appliance. Wenn der ECDHE-basierte Schlüsselaustausch die konfigurierten Grenzwerte überschreitet, wird ein SNMP-Trap gesendet. Ein weiterer Trap wird gesendet, wenn der Wert wieder auf dem konfigurierten Normalwert liegt.
Stellen Sie mit der CLI einen SNMP-Alarm für den ECDHE-Wechselkurs ein
Geben Sie an der Eingabeaufforderung Folgendes ein:
set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
-state ( ENABLED | DISABLED ) -thresholdValue <positive_integer> [-normalValue <positive_integer>] -time <secs>
<!--NeedCopy-->
Beispiel:
set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50
<!--NeedCopy-->