ADC

Diffie-Hellmanのパラメータ生成とDHEによるPFSの実現

Diffie-Hellman (DH) キー交換は、SSL トランザクションに関与する 2 つの当事者が、安全でないチャネルを介して共有シークレットについて合意する方法です。これらの当事者は、お互いについて事前に知ることはありません。このシークレットは、このような鍵交換を必要とする対称鍵暗号アルゴリズム用の暗号鍵資料に変換できます。

この機能はデフォルトでは無効になっています。キー交換アルゴリズムとして DH を使用する暗号をサポートするように機能を設定しました。

注記:

2048 ビットの DH パラメータの生成には、長い時間 (最大 30 分) かかる場合があります。

CLI を使用して DH パラメータを生成

コマンドプロンプトで、次のコマンドを入力します。

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->

例:

create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->

GUI を使用して DH パラメータを生成

[ **トラフィック管理 ] > [ SSL ] に移動し、[ ツール ] グループで [ Diffie-Hellman (DH) キーの作成] を選択し、[SSL DH パラメータの設定] を選択します。**

注:

DH パラメーターの詳細については、 Diffie-Hellman パラメーターを参照してください

DHEで完全な前方秘密を達成する

DH パラメータの生成は CPU を大量に消費する操作です。以前のリリースでは、VPXアプライアンスでのパラメータ生成はソフトウェアで行われていたため、長い時間がかかりました。パラメータ生成は、 dhKeyExpSizeLimit パラメータを設定することによって最適化されます。このパラメータをSSL仮想サーバーまたはSSLプロファイルに設定し、プロファイルを仮想サーバーにバインドできます。

DH カウントをゼロに設定することで、NetScaler MPXアプライアンスでPerfect Forward Secrecy(PFS)を維持できます。その結果、Citrix ADC MPXアプライアンスのトランザクションごとに(最小DHcountは0)DHパラメータが生成されます。これらのパラメータは、操作が最適化されるため、パフォーマンスを大幅に低下させることなく生成されます。以前は、許容される最小DHカウントは500でした。つまり、最大 500 件のトランザクションでキーを再生成することはできません。

制限事項:

Citrix ADC VPXアプライアンスでは、DH数をゼロに設定すると、DHパラメータは再生成されません。そのため、PFS を維持するには DH 数を 500 に設定する必要があります。DH パラメータは 500 回のトランザクション後に再生成されます。

CLI を使用して DH パラメータ生成を最適化する

コマンドプロンプトで、コマンド 1 と 2 を入力するか、コマンド 3 を入力します。

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->

GUI を使用して DH パラメータ生成を最適化

  1. [ トラフィック管理 ] > [ 負荷分散 ] > [ 仮想サーバー] に移動し、仮想サーバーを開きます。
  2. SSL パラメータ 」セクションで、「 DH キーの有効期限サイズ制限を有効にする」を選択します。
Diffie-Hellmanのパラメータ生成とDHEによるPFSの実現