Utiliser du matériel et des logiciels pour améliorer les performances de chiffrement ECDHE et ECDSA
Remarque :
Cette amélioration s’applique uniquement aux plateformes suivantes :
- MPX/SDX 11000
- MPX/SDX 14000
- MPX 22000, MPX 24000 et MPX 25000
- FIPS MPX/SDX 14000
Auparavant, les calculs ECDHE et ECDSA sur une appliance NetScaler étaient effectués uniquement sur le matériel (puces Cavium), ce qui limitait le nombre de sessions SSL à tout moment. Grâce à cette amélioration, certaines opérations sont également effectuées dans le logiciel. C’est-à-dire que le traitement est effectué à la fois sur les puces Cavium et sur les cœurs du processeur afin d’améliorer les performances de chiffrement ECDHE et ECDSA.
Le traitement est d’abord effectué dans le logiciel, jusqu’au seuil de chiffrement logiciel configuré. Une fois ce seuil atteint, les opérations sont transférées vers le matériel. Par conséquent, ce modèle hybride utilise à la fois du matériel et des logiciels pour améliorer les performances du protocole SSL. Vous pouvez activer le modèle hybride en définissant le paramètre « SoftwareCryptoThreshold » en fonction de vos besoins. Pour désactiver le modèle hybride, définissez ce paramètre sur 0.
Les avantages sont maximaux si l’utilisation actuelle du processeur n’est pas trop élevée, car le seuil du processeur n’est pas exclusif aux calculs ECDHE et ECDSA. Par exemple, si la charge de travail actuelle de l’appliance consomme 50 % des cycles du processeur et que le seuil est défini à 80 %, les calculs ECDHE et ECDSA ne peuvent en utiliser que 30 %. Une fois que le seuil de chiffrement logiciel configuré de 80 % est atteint, les calculs ECDHE et ECDSA supplémentaires sont transférés vers le matériel. Dans ce cas, l’utilisation réelle du processeur peut dépasser 80 %, car les calculs ECDHE et ECDSA sur le matériel consomment certains cycles du processeur.
Activez le modèle hybride à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
set ssl parameter -softwareCryptoThreshold <positive_integer>
Synopsis:
softwareCryptoThreshold:
NetScaler CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.
Default = 0
Min = 0
Max = 100
<!--NeedCopy-->
Exemple :
set ssl parameter - softwareCryptoThreshold 80
Done
show ssl parameter
Advanced SSL Parameters
SSL quantum size : 8 KB
Max CRL memory size : 256 MB
Strict CA checks : NO
Encryption trigger timeout : 100 ms
Send Close-Notify : YES
Encryption trigger packet c : 45
Deny SSL Renegotiation : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size : 10 MB
Push flag : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout : 1 ms
Crypto Device Disable Limit : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL
<!--NeedCopy-->
Activez le modèle hybride à l’aide de l’interface graphique
- Accédez à Gestion du trafic > SSL > Modifier les paramètres SSL avancés.
- Entrez une valeur pour le seuil de chiffrement logiciel (%).
Définir une alarme SNMP pour le taux de change ECDHE
L’échange de clés basé sur l’ECDHE peut entraîner une baisse des transactions par seconde sur l’appliance. À partir de la version 13.0 build 52.x, vous pouvez configurer une alarme SNMP pour les transactions basées sur ECDHE. Dans cette alarme, vous pouvez définir le seuil et les limites normales du taux de change ECDHE. Un nouveau compteur nsssl_tot_sslInfo_ECDHE_Tx
est ajouté. Ce compteur est la somme de tous les compteurs de transactions basés sur l’ECDHE situés sur le front-end et le back-end de l’appliance. Lorsque l’échange de clés basé sur l’ECDHE dépasse les limites configurées, une interruption SNMP est envoyée. Un autre piège est envoyé lorsque la valeur revient à la valeur normale configurée.
Définissez une alarme SNMP pour le taux de change ECDHE à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
-state ( ENABLED | DISABLED ) -thresholdValue <positive_integer> [-normalValue <positive_integer>] -time <secs>
<!--NeedCopy-->
Exemple :
set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50
<!--NeedCopy-->