Génération de paramètres Diffie-Hellman et réalisation d’un PFS avec DHE
L’échange de clés Diffie-Hellman (DH) permet à deux parties impliquées dans une transaction SSL de se mettre d’accord sur un secret partagé via un canal non sécurisé. Ces parties n’ont aucune connaissance préalable l’une de l’autre. Ce secret peut être converti en matériel de clé cryptographique pour des algorithmes de chiffrement à clé symétrique nécessitant un tel échange de clés.
Cette fonction est désactivée par défaut. La fonctionnalité a été configurée pour prendre en charge les chiffrements qui utilisent DH comme algorithme d’échange de clés.
Remarque :
La génération de paramètres DH de 2048 bits peut prendre beaucoup de temps (jusqu’à 30 minutes).
Générez des paramètres DH à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez la commande suivante :
create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->
Exemple :
create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->
Générez des paramètres DH à l’aide de l’interface graphique
Accédez à Gestion du trafic > SSL et, dans le groupe Outils, sélectionnez Créer une clé Diffie-Hellman (DH), puis Configurerle paramètre SSL DH.
Remarque :
Pour plus d’informations sur les paramètres DH, voir Paramètres Diffie-Hellman.
Obtenir un secret avant parfait avec DHE
La génération de paramètres DH est une opération gourmande en ressources du processeur. Dans les versions précédentes, la génération de paramètres, sur une appliance VPX, prenait beaucoup de temps car elle était effectuée dans le logiciel. La génération de paramètres est optimisée en définissant le dhKeyExpSizeLimit
paramètre. Vous pouvez définir ce paramètre pour un serveur virtuel SSL ou un profil SSL, puis lier le profil à un serveur virtuel.
Vous pouvez maintenir le secret de transmission parfait (PFS) sur les appliances NetScaler MPX en définissant le nombre de DH sur zéro. Par conséquent, les paramètres DH sont générés pour chaque transaction (le minimum DHcount
est de 0) sur les appliances NetScaler MPX. Ces paramètres sont générés sans baisse significative des performances, car le fonctionnement est optimisé. Auparavant, le nombre minimum de DH autorisé était de 500. En d’autres termes, vous ne pouvez pas régénérer la clé pour un maximum de 500 transactions.
Limitation :
Sur une appliance NetScaler VPX, si vous définissez le nombre de DH sur zéro, les paramètres DH ne sont pas régénérés. Par conséquent, vous devez définir le nombre de DH à 500 pour maintenir le PFS. Les paramètres DH sont régénérés après 500 transactions.
Optimisez la génération de paramètres DH à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes 1 et 2, ou tapez la commande 3 :
1. add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2. set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3. set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->
Optimisez la génération des paramètres DH à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis ouvrez un serveur virtuel.
- Dans la section Paramètres SSL, sélectionnez Activer la limite de taille d’expiration de la clé DH.
Dans cet article
- Générez des paramètres DH à l’aide de l’interface de ligne de commande
- Générez des paramètres DH à l’aide de l’interface graphique
- Obtenir un secret avant parfait avec DHE
- Optimisez la génération de paramètres DH à l’aide de l’interface de ligne de commande
- Optimisez la génération des paramètres DH à l’aide de l’interface graphique