Diffie-Hellman-Parametergenerierung und Erreichen von PFS mit DHE
Der Diffie-Hellman (DH) Schlüsselaustausch ist eine Möglichkeit für zwei Parteien, die an einer SSL-Transaktion beteiligt sind, um ein gemeinsames Geheimnis über einen unsicheren Kanal zu vereinbaren. Diese Parteien haben keine Vorkenntnisse voneinander. Dieses Geheimnis kann in kryptografisches Schlüsselmaterial für symmetrische Schlüsselverschlüsselungsalgorithmen umgewandelt werden, die einen solchen Schlüsselaustausch erfordern.
Diese Funktion ist in der Standardeinstellung deaktiviert. Die Funktion wurde so konfiguriert, dass Verschlüsselungen unterstützt werden, die DH als Schlüsselaustauschalgorithmus verwenden.
Hinweis:
Das Generieren von 2048-Bit-DH-Parametern kann sehr lange dauern (bis zu 30 Minuten).
Generieren von DH-Parametern mit der CLI
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->
Beispiel:
create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->
Generieren von DH-Parametern mit der GUI
Navigieren Sie zu Traffic Management > SSL, und wählen Sie in der Gruppe Extras die Option Diffie-Hellman (DH) Schlüssel erstellen und SSL DH Param konfigurieren aus.
Hinweis:
Informationen zu DH-Parametern finden Sie unter Diffie-Hellman-Parametern.
Perfektes Vorwärtsgeheimnis mit DHE
Die Erzeugung von DH-Parametern ist ein CPU-intensiver Betrieb. In früheren Versionen hat die Parametergenerierung auf einer VPX-Appliance lange gedauert, da sie in der Software durchgeführt wurde. Die Parametergenerierung wird durch die Einstellung desdhKeyExpSizeLimit Parameters optimiert. Sie können diesen Parameter für einen virtuellen SSL-Server oder ein SSL-Profil festlegen und dann das Profil an einen virtuellen Server binden.
Sie können Perfect Forward Secrecy (PFS) auf Citrix ADC MPX-Appliances beibehalten, indem Sie die DH-Anzahl auf Null setzen. Daher werden DH-Parameter für jede Transaktion (MinimumDHcount ist 0) auf Citrix ADC MPX-Appliances generiert. Die Parameter werden ohne einen signifikanten Leistungsabfall generiert, da die Operation optimiert ist. Früher war die minimale DH-Zählung zulässig 500. Das heißt, Sie können den Schlüssel für bis zu 500 Transaktionen nicht regenerieren.
Auf einer Citrix ADC VPX Appliance können Sie DH-Parameter für jede 500-Transaktion mindestens (DHcount = 500) generieren. Wenn Sie 0DHcount setzen, werden die DH-Parameter nicht regeneriert.
Einschränkung:
Sie können PFS in VPX heute nicht mit DH-Chiffern erreichen.
Optimierung der DH-Parametergenerierung mit der CLI
Geben Sie an der Eingabeaufforderung die Befehle 1 und 2 ein, oder geben Sie Befehl 3 ein:
1. add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2. set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3. set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->
Optimieren Sie die Generierung von DH-Parametern mit der GUI
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und öffnen Sie einen virtuellen Server.
- Wählen Sie im Abschnitt SSL-Parameter die Option Enable DH Key Expire Size Limit aus.