ADC

Generación de parámetros de Diffie-Hellman y logro de la PFS con DHE

July 15, 2024

Contribución de:

El intercambio de claves Diffie-Hellman (DH) permite a dos partes implicadas en una transacción SSL llegar a un acuerdo sobre un secreto compartido a través de un canal inseguro. Estas partes no tienen conocimiento previo unas de otras. Este secreto se puede convertir en material de codificación criptográfica para los algoritmos de cifrado de claves simétricas que requieren dicho intercambio de claves.

Esta función está inhabilitada de forma predeterminada. Se configuró la función para admitir cifrados que utilizan DH como algoritmo de intercambio de claves.

Nota:

La generación de parámetros DH de 2048 bits puede llevar mucho tiempo (hasta 30 minutos).

Genere parámetros DH mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->

Ejemplo:

create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->

Generar una clave DH de más de 2048 bits mediante la CLI

A partir de la versión 14.1-25.x, puede crear claves DH de hasta 4096 bits en las siguientes plataformas basadas en Intel Coleto e Intel Lewisburg, y en las plataformas en las que el procesamiento SSL solo se realiza en el software. Anteriormente, el tamaño estaba restringido a 2048 bits.

MPX 5900
MPX/SDX 8900
MPX/SDX 15000
MPX/SDX 15000-50G
MPX/SDX 26000
MPX/SDX 26000-50
MPX/SDX 26000-100G
MPX/SDX 9100
MPX/SDX 16000

Para crear una clave DH de más de 2048 bits, use el comando OpenSSL desde la línea de comandos de NetScaler.

Nota:

Para las plataformas Cavium, el límite máximo es de 2048 bits.

Genere parámetros DH mediante la interfaz gráfica

Vaya a Administración del tráfico > SSL y, en el grupo Herramientas, seleccione Crear clave Diffie-Hellman (DH)y Configurarel parámetro SSL DH.

Nota:

Para obtener información sobre los parámetros de DH, consulte Parámetros de Diffie-Hellman.

Consiga un secreto directo perfecto con DHE

La generación de parámetros DH es una operación que requiere un uso intensivo de la CPU. En versiones anteriores, la generación de parámetros en un dispositivo VPX llevaba mucho tiempo porque se realizaba en el software. La generación de parámetros se optimiza mediante la configuración del parámetro dhKeyExpSizeLimit. Puede establecer este parámetro para un servidor virtual SSL o un perfil SSL y, a continuación, vincular el perfil a un servidor virtual.

Puede mantener un secreto directo (PFS) perfecto en los dispositivos NetScaler MPX configurando el recuento de DH en cero. Como resultado, se generan parámetros DH para cada transacción (el mínimo DHcount es 0) en los dispositivos NetScaler MPX. Estos parámetros se generan sin una caída significativa en el rendimiento, ya que la operación está optimizada. Anteriormente, el recuento mínimo de DH permitido era de 500. Es decir, no puede regenerar la clave para un máximo de 500 transacciones.

Limitación:

En un dispositivo NetScaler VPX, si establece el recuento de DH en cero, los parámetros de DH no se regeneran. Por lo tanto, debe establecer el recuento de DH en 500 para mantener la PFS. Los parámetros DH se regeneran después de 500 transacciones.

Optimice la generación de parámetros DH mediante la CLI

En la línea de comandos, escriba los comandos 1 y 2, o escriba el comando 3:

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->

3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->

Optimice la generación de parámetros de DH mediante la interfaz gráfica

Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtualesy abra un servidor virtual.
En la sección Parámetros SSL, seleccione Habilitar el límite de tamaño de caducidad de la clave DH.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Generación de parámetros de Diffie-Hellman y logro de la PFS con DHE

July 15, 2024

Contribución de:

July 15, 2024

Contribución de:

En este artículo

Genere parámetros DH mediante la CLI
Generar una clave DH de más de 2048 bits mediante la CLI
Genere parámetros DH mediante la interfaz gráfica
Consiga un secreto directo perfecto con DHE
Optimice la generación de parámetros DH mediante la CLI
Optimice la generación de parámetros de DH mediante la interfaz gráfica

¿Le ha resultado útil?