ADC

Diffie-Hellmanのパラメータ生成とDHEによるPFSの実現

July 15, 2024

寄稿者:

Diffie-Hellman (DH) キー交換は、SSL トランザクションに関与する 2 つの当事者が、安全でないチャネルを介して共有シークレットについて合意する方法です。これらの当事者は、お互いについて事前に知ることはありません。このシークレットは、このような鍵交換を必要とする対称鍵暗号アルゴリズム用の暗号鍵資料に変換できます。

この機能はデフォルトでは無効になっています。キー交換アルゴリズムとして DH を使用する暗号をサポートするように機能を設定しました。

注記:

2048 ビットの DH パラメータの生成には、長い時間 (最大 30 分) かかる場合があります。

CLI を使用して DH パラメータを生成

コマンドプロンプトで、次のコマンドを入力します：

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->

例:

create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->

CLI を使用して 2048 ビットを超える DH キーを生成する

リリース14.1-25.x以降、以下のIntel ColetoおよびIntel Lewisburgベースのプラットフォーム、およびSSL処理がソフトウェアでのみ実行されるプラットフォームでは、最大4096ビットの DH キーを作成できます。以前は、サイズは 2048 ビットに制限されていました。

MPX 5900
MPX/SDX 8900
MPX/SDX 15000
MPX/SDX 15000-50G
MPX/SDX 26000
MPX/SDX 26000-50S
MPX/SDX 26000-100G
MPX/SDX 9100
MPX/SDX 16000

2048ビットを超えるDHキーを作成するには、NetScalerシェルプロンプトからOpenSSLコマンドを使用します。

注:

Cavium プラットフォームの場合、上限は 2048 ビットです。

GUI を使用して DH パラメータを生成

[ **トラフィック管理 ] > [ SSL ] に移動し、[ ツール ] グループで [ Diffie-Hellman (DH) キーの作成] を選択し、[SSL DH パラメータの設定] を選択します。**

注：

DH パラメーターの詳細については、 Diffie-Hellman パラメーターを参照してください。

DHEで完全な前方秘密を達成する

DH パラメータの生成は CPU を大量に消費する操作です。以前のリリースでは、VPXアプライアンスでのパラメータ生成はソフトウェアで行われていたため、長い時間がかかりました。パラメータ生成は、 dhKeyExpSizeLimit パラメータを設定することによって最適化されます。このパラメータをSSL仮想サーバーまたはSSLプロファイルに設定し、プロファイルを仮想サーバーにバインドできます。

DH カウントをゼロに設定することで、NetScaler MPXアプライアンスでPerfect Forward Secrecy（PFS）を維持できます。その結果、NetScaler MPXアプライアンスのトランザクションごとにDHパラメーターが生成されます（最小値DHcountは0）。これらのパラメータは、操作が最適化されるため、パフォーマンスを大幅に低下させることなく生成されます。以前は、許容される最小DHカウントは500でした。つまり、最大 500 件のトランザクションでキーを再生成することはできません。

制限事項：

NetScaler VPXアプライアンスでは、DH数をゼロに設定した場合、DHパラメーターは再生成されません。そのため、PFS を維持するには DH 数を 500 に設定する必要があります。DH パラメータは 500 回のトランザクション後に再生成されます。

CLI を使用して DH パラメータ生成を最適化する

コマンドプロンプトで、コマンド 1 と 2 を入力するか、コマンド 3 を入力します。

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->

3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->

GUI を使用して DH パラメータ生成を最適化

[ トラフィック管理 ] > [ 負荷分散 ] > [ 仮想サーバー] に移動し、仮想サーバーを開きます。
「 SSL パラメータ 」セクションで、「 DH キーの有効期限サイズ制限を有効にする」を選択します。

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

Diffie-Hellmanのパラメータ生成とDHEによるPFSの実現

July 15, 2024

寄稿者:

July 15, 2024

寄稿者:

この情報は役に立ちましたか?