Generación de parámetros de Diffie-Hellman y logro de la PFS con DHE
El intercambio de claves Diffie-Hellman (DH) permite a dos partes implicadas en una transacción SSL llegar a un acuerdo sobre un secreto compartido a través de un canal inseguro. Estas partes no tienen conocimiento previo unas de otras. Este secreto se puede convertir en material de codificación criptográfica para los algoritmos de cifrado de claves simétricas que requieren dicho intercambio de claves.
Esta función está inhabilitada de forma predeterminada. Se configuró la función para admitir cifrados que utilizan DH como algoritmo de intercambio de claves.
Nota:
La generación de parámetros DH de 2048 bits puede llevar mucho tiempo (hasta 30 minutos).
Genere parámetros DH mediante la CLI
En el símbolo del sistema, escriba el siguiente comando:
create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->
Ejemplo:
create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->
Generar una clave DH de más de 2048 bits mediante la CLI
A partir de la versión 14.1-25.x, puede crear claves DH de hasta 4096 bits en las siguientes plataformas basadas en Intel Coleto e Intel Lewisburg, y en las plataformas en las que el procesamiento SSL solo se realiza en el software. Anteriormente, el tamaño estaba restringido a 2048 bits.
- MPX 5900
- MPX/SDX 8900
- MPX/SDX 15000
- MPX/SDX 15000-50G
- MPX/SDX 26000
- MPX/SDX 26000-50
- MPX/SDX 26000-100G
- MPX/SDX 9100
- MPX/SDX 16000
Para crear una clave DH de más de 2048 bits, use el comando OpenSSL
desde la línea de comandos de NetScaler.
Nota:
Para las plataformas Cavium, el límite máximo es de 2048 bits.
Genere parámetros DH mediante la interfaz gráfica
Vaya a Administración del tráfico > SSL y, en el grupo Herramientas, seleccione Crear clave Diffie-Hellman (DH)y Configurarel parámetro SSL DH.
Nota:
Para obtener información sobre los parámetros de DH, consulte Parámetros de Diffie-Hellman.
Consiga un secreto directo perfecto con DHE
La generación de parámetros DH es una operación que requiere un uso intensivo de la CPU. En versiones anteriores, la generación de parámetros en un dispositivo VPX llevaba mucho tiempo porque se realizaba en el software. La generación de parámetros se optimiza mediante la configuración del parámetro dhKeyExpSizeLimit
. Puede establecer este parámetro para un servidor virtual SSL o un perfil SSL y, a continuación, vincular el perfil a un servidor virtual.
Puede mantener un secreto directo (PFS) perfecto en los dispositivos NetScaler MPX configurando el recuento de DH en cero. Como resultado, se generan parámetros DH para cada transacción (el mínimo DHcount
es 0) en los dispositivos NetScaler MPX. Estos parámetros se generan sin una caída significativa en el rendimiento, ya que la operación está optimizada. Anteriormente, el recuento mínimo de DH permitido era de 500. Es decir, no puede regenerar la clave para un máximo de 500 transacciones.
Limitación:
En un dispositivo NetScaler VPX, si establece el recuento de DH en cero, los parámetros de DH no se regeneran. Por lo tanto, debe establecer el recuento de DH en 500 para mantener la PFS. Los parámetros DH se regeneran después de 500 transacciones.
Optimice la generación de parámetros DH mediante la CLI
En la línea de comandos, escriba los comandos 1 y 2, o escriba el comando 3:
1. add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2. set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3. set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->
Optimice la generación de parámetros de DH mediante la interfaz gráfica
- Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtualesy abra un servidor virtual.
- En la sección Parámetros SSL, seleccione Habilitar el límite de tamaño de caducidad de la clave DH.
En este artículo
- Genere parámetros DH mediante la CLI
- Generar una clave DH de más de 2048 bits mediante la CLI
- Genere parámetros DH mediante la interfaz gráfica
- Consiga un secreto directo perfecto con DHE
- Optimice la generación de parámetros DH mediante la CLI
- Optimice la generación de parámetros de DH mediante la interfaz gráfica