Utiliser le matériel et les logiciels pour améliorer les performances de chiffrement ECDHE et ECDSA
Remarque :
Cette amélioration s’applique uniquement aux plates-formes suivantes :
- MPX/SDX 11000
- MPX/SDX 14000
- MPX 22000, MPX 24000 et MPX 25000
- MPX/SDX 14000 FIPS
Auparavant, le calcul ECDHE et ECDSA sur une appliance Citrix ADC était effectué uniquement sur le matériel (puces Cavium), ce qui limitait le nombre de sessions SSL à un moment donné. Avec cette amélioration, certaines opérations sont également effectuées dans le logiciel. Autrement dit, le traitement se fait à la fois sur les puces Cavium et sur les cœurs CPU pour améliorer les performances de chiffrement ECDHE et ECDSA.
Le traitement est d’abord effectué dans le logiciel, jusqu’au seuil de crypto logiciel configuré. Une fois ce seuil atteint, les opérations sont déchargées vers le matériel. Par conséquent, ce modèle hybride utilise à la fois du matériel et des logiciels pour améliorer les performances SSL. Vous pouvez activer le modèle hybride en définissant le paramètre « SoftwareCryptoThreshold » selon vos besoins. Pour désactiver le modèle hybride, définissez ce paramètre sur 0.
Les avantages sont les plus importants si l’utilisation actuelle du processeur n’est pas trop élevée, car le seuil du processeur n’est pas exclusif au calcul ECDHE et ECDSA. Par exemple, si la charge de travail actuelle de l’appliance consomme 50% des cycles du processeur et que le seuil est défini sur 80%, le calcul ECDHE et ECDSA ne peuvent utiliser que 30%. Une fois que le seuil de crypto logiciel configuré de 80% est atteint, d’autres calculs ECDHE et ECDSA sont déchargés sur le matériel. Dans ce cas, l’utilisation réelle du processeur peut dépasser 80 %, car effectuer des calculs ECDHE et ECDSA dans le matériel consomme certains cycles CPU.
Activer le modèle hybride à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
set ssl parameter -softwareCryptoThreshold <positive_integer>
Synopsis:
softwareCryptoThreshold:
Citrix ADC CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.
Default = 0
Min = 0
Max = 100
<!--NeedCopy-->
Exemple :
set ssl parameter - softwareCryptoThreshold 80
Done
show ssl parameter
Advanced SSL Parameters
SSL quantum size : 8 KB
Max CRL memory size : 256 MB
Strict CA checks : NO
Encryption trigger timeout : 100 ms
Send Close-Notify : YES
Encryption trigger packet c : 45
Deny SSL Renegotiation : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size : 10 MB
Push flag : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout : 1 ms
Crypto Device Disable Limit : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL
<!--NeedCopy-->
Activer le modèle hybride à l’aide de l’interface graphique
- Accédez à Gestion du trafic > SSL > Modifier les paramètres SSL avancés.
- Entrez une valeur pour le seuil de chiffrement logiciel ( %).
Réglez une alarme SNMP pour le taux de change ECDHE
L’échange de clés basé sur ECDHE peut entraîner la suppression des transactions par seconde sur l’appliance. À partir de la version 13.0 build 52.x, vous pouvez configurer une alarme SNMP pour les transactions basées sur ECDHE. Dans cette alarme, vous pouvez définir le seuil et les limites normales pour le taux de change ECDHE. Un nouveau compteur nsssl_tot_sslInfo_ECDHE_Tx
est ajouté. Ce compteur est la somme de tous les compteurs de transactions ECDHE sur le front-end et le back-end de l’appliance. Lorsque l’échange de clés ECDHE franchit les limites configurées, une interruption SNMP est envoyée. Une autre interruption est envoyée lorsque la valeur est de retour à la valeur normale configurée.
Définir une alarme SNMP pour le taux de change ECDHE à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
-state ( ENABLED | DISABLED ) -thresholdValue <positive_integer> [-normalValue <positive_integer>] -time <secs>
<!--NeedCopy-->
Exemple :
set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50
<!--NeedCopy-->