使用 DHE 生成 Diffie-Hellman 参数并实现 PFS
Diffie-Hellman (DH) 密钥交换是参与 SSL 交易的双方通过不安全的渠道就共享机密达成协议的一种方式。这些当事方事先不认识对方。此密钥可以转换为需要此类密钥交换的对称密钥密码算法的加密密钥材料。
默认情况下,此功能处于禁用状态。将该功能配置为支持使用 DH 作为密钥交换算法的密码。
注意:
生成 2048 位 DH 参数可能需要很长时间(最多 30 分钟)。
使用 CLI 生成 DH 参数
在命令提示符下,键入以下命令:
create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
示例:
create ssl dhparam Key-DH-1 512 -gen 2
使用 GUI 生成 DH 参数
导航到流量管理>SSL,然后在工具组中选择创建 Diffie-Hellman (DH) 密钥和配置 SSL DH参数。
注意:
有关 DH 参数的信息,请参阅 D iffie-Hellman 参数。
使用 DHE 实现完美的前向保密
生成 DH 参数是一项 CPU 密集型操作。在早期版本中,在 VPX 设备上生成参数需要很长时间,因为它是在软件中完成的。通过设置参数来优化 dhKeyExpSizeLimit 参数生成。您可以为 SSL 虚拟服务器或 SSL 配置文件设置此参数,然后将配置文件绑定到虚拟服务器。
通过将 DH 计数设置为零,您可以在 NetScaler MPX 设备上保持完全正向保密 (PFS)。因此,在 NetScaler MPX 设备上为每个事务生成 DH 参数(最小DHcount 值为 0)。由于操作已优化,因此生成这些参数时性能不会显著下降。此前,允许的最低 DH 计数为 500。也就是说,您不能为多达 500 笔交易重新生成密钥。
限制:
在 NetScaler VPX 设备上,如果您将 DH 计数设置为零,则不会重新生成 DH 参数。因此,必须将 DH 计数设置为 500 才能维护 PFS。DH 参数在 500 次交易后重新生成。
使用 CLI 优化 DH 参数生成
在命令提示符处,键入命令 1 和 2,或键入命令 3:
1. add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2. set ssl vserver <vServerName> [-sslProfile <string>]
3. set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
使用 GUI 优化 DH 参数生成
- 导航到流量管理 > 负载平衡 > 虚拟服务器,然后打开虚拟服务器。
- 在 SSL 参数 部分中,选择 启用 DH 密钥过期大小限制。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
使用 DHE 生成 Diffie-Hellman 参数并实现 PFS
已复制!
失败!