Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

  Lire en anglais

Utiliser du matériel et des logiciels pour améliorer les performances de chiffrement ECDHE et ECDSA

May 5, 2023
Contributeur: 
C

Remarque :

Cette amélioration s’applique uniquement aux plateformes suivantes :

  • MPX/SDX 11000
  • MPX/SDX 14000
  • MPX 22000, MPX 24000 et MPX 25000
  • FIPS MPX/SDX 14000

Auparavant, les calculs ECDHE et ECDSA sur une appliance NetScaler étaient effectués uniquement sur le matériel (puces Cavium), ce qui limitait le nombre de sessions SSL à tout moment. Grâce à cette amélioration, certaines opérations sont également effectuées dans le logiciel. C’est-à-dire que le traitement est effectué à la fois sur les puces Cavium et sur les cœurs du processeur afin d’améliorer les performances de chiffrement ECDHE et ECDSA.

Le traitement est d’abord effectué dans le logiciel, jusqu’au seuil de chiffrement logiciel configuré. Une fois ce seuil atteint, les opérations sont transférées vers le matériel. Par conséquent, ce modèle hybride utilise à la fois du matériel et des logiciels pour améliorer les performances du protocole SSL. Vous pouvez activer le modèle hybride en définissant le paramètre « SoftwareCryptoThreshold » en fonction de vos besoins. Pour désactiver le modèle hybride, définissez ce paramètre sur 0.

Les avantages sont maximaux si l’utilisation actuelle du processeur n’est pas trop élevée, car le seuil du processeur n’est pas exclusif aux calculs ECDHE et ECDSA. Par exemple, si la charge de travail actuelle de l’appliance consomme 50 % des cycles du processeur et que le seuil est défini à 80 %, les calculs ECDHE et ECDSA ne peuvent en utiliser que 30 %. Une fois que le seuil de chiffrement logiciel configuré de 80 % est atteint, les calculs ECDHE et ECDSA supplémentaires sont transférés vers le matériel. Dans ce cas, l’utilisation réelle du processeur peut dépasser 80 %, car les calculs ECDHE et ECDSA sur le matériel consomment certains cycles du processeur.

Activez le modèle hybride à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

set ssl parameter -softwareCryptoThreshold <positive_integer>

Synopsis:

softwareCryptoThreshold:

NetScaler CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.

Default = 0

Min = 0

Max = 100

Exemple :

set ssl parameter - softwareCryptoThreshold 80
Done

show ssl parameter
Advanced SSL Parameters

SSL quantum size                  : 8 KB
Max CRL memory size               : 256 MB
Strict CA checks                  : NO
Encryption trigger timeout        : 100 ms
Send Close-Notify                 : YES
Encryption trigger packet c       : 45
Deny SSL Renegotiation            : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size                   : 10 MB
Push flag                         : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout   : 1 ms
Crypto Device Disable Limit       : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile                   : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL

Activez le modèle hybride à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > Modifier les paramètres SSL avancés.
  2. Entrez une valeur pour le seuil de chiffrement logiciel (%).

Définir une alarme SNMP pour le taux de change ECDHE

L’échange de clés basé sur l’ECDHE peut entraîner une baisse des transactions par seconde sur l’appliance. À partir de la version 13.0 build 52.x, vous pouvez configurer une alarme SNMP pour les transactions basées sur ECDHE. Dans cette alarme, vous pouvez définir le seuil et les limites normales du taux de change ECDHE. Un nouveau compteur nsssl_tot_sslInfo_ECDHE_Tx est ajouté. Ce compteur est la somme de tous les compteurs de transactions basés sur l’ECDHE situés sur le front-end et le back-end de l’appliance. Lorsque l’échange de clés basé sur l’ECDHE dépasse les limites configurées, une interruption SNMP est envoyée. Un autre piège est envoyé lorsque la valeur revient à la valeur normale configurée.

Définissez une alarme SNMP pour le taux de change ECDHE à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
 -state ( ENABLED | DISABLED ) -thresholdValue <positive_integer>  [-normalValue <positive_integer>] -time <secs>

Exemple :

set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50
La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Utiliser du matériel et des logiciels pour améliorer les performances de chiffrement ECDHE et ECDSA
May 5, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.