Génération de paramètres Diffie-Hellman et réalisation de PFS avec DHE
L’échange de clés Diffie-Hellman (DH) est un moyen pour deux parties impliquées dans une transaction SSL de s’entendre sur un secret partagé sur un canal non sécurisé. Ces parties n’ont aucune connaissance préalable les unes des autres. Ce secret peut être converti en matériau de clé cryptographique pour les algorithmes de chiffrement de clé symétrique qui nécessitent un tel échange de clés.
Cette fonction est désactivée par défaut. Configurez la fonctionnalité pour prendre en charge les chiffrements qui utilisent DH comme algorithme d’échange de clés.
Remarque :
La génération de paramètres DH 2048 bits peut prendre beaucoup de temps (jusqu’à 30 minutes).
Générer des paramètres DH à l’aide de la CLI
À l’invite de commandes, tapez la commande suivante :
create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->
Exemple :
create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->
Générer des paramètres DH à l’aide de l’interface graphique
Accédez à Gestion du trafic > SSL et, dans le groupe Outils, sélectionnez Créer une clé Diffie-Hellman (DH) et Configurer le param SSL DH.
Remarque :
Pour plus d’informations sur les paramètres DH, voir Paramètres Diffie-Hellman.
Obtenir un secret avant parfait avec DHE
La génération de paramètres DH est une opération intensive en CPU. Dans les versions antérieures, la génération de paramètres, sur une appliance VPX, prenait beaucoup de temps car elle était effectuée dans le logiciel. La génération de paramètres est optimisée en définissant le dhKeyExpSizeLimit paramètre. Vous pouvez définir ce paramètre pour un serveur virtuel SSL ou un profil SSL, puis lier le profil à un serveur virtuel.
Vous pouvez maintenir un secret avancé parfait (PFS) sur les appliances Citrix ADC MPX en définissant le nombre de DH égal à zéro. Par conséquent, les paramètres DH sont générés pour chaque transaction (minimum DHcount 0) sur les appliances Citrix ADC MPX. Les paramètres sont générés sans baisse significative des performances, car l’opération est optimisée. Auparavant, le nombre minimum de DH autorisé était de 500. C’est-à-dire que vous ne pouvez pas régénérer la clé pour un maximum de 500 transactions.
Sur une appliance Citrix ADC VPX, vous pouvez générer des paramètres DH pour chaque transaction 500 au minimum (DHcount = 500). Si DHcount est égal à 0, les paramètres DH ne sont pas régénérés.
Limitation :
Vous ne pouvez pas atteindre PFS dans VPX aujourd’hui avec les chiffrements DH.
Optimiser la génération des paramètres DH à l’aide de la CLI
À l’invite de commandes, tapez les commandes 1 et 2, ou tapez commande 3 :
1. add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2. set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3. set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->
Optimiser la génération des paramètres DH à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis ouvrez un serveur virtuel.
- Dans la section Paramètres SSL, sélectionnez Activer la limite de taille d’expiration de la clé DH.