ADC

使用 DHE 生成 Diffie-Hellman 参数并实现 PFS

Diffie-Hellman (DH) 密钥交换是参与 SSL 交易的双方通过不安全的渠道就共享机密达成协议的一种方式。这些当事方事先不认识对方。此密钥可以转换为需要此类密钥交换的对称密钥密码算法的加密密钥材料。

默认情况下,此功能处于禁用状态。将该功能配置为支持使用 DH 作为密钥交换算法的密码。

注意

生成 2048 位 DH 参数可能需要很长时间(最多 30 分钟)。

使用 CLI 生成 DH 参数

在命令提示符下,键入以下命令:

create ssl dhparam <dhFile> [<bits>] [-gen (2 | 5)]
<!--NeedCopy-->

示例:

create ssl dhparam Key-DH-1 512 -gen 2
<!--NeedCopy-->

使用 GUI 生成 DH 参数

导航到流量管理>SSL,然后在工具组中选择创建 Diffie-Hellman (DH) 密钥和配置 SSL DH参数。

注意:

有关 DH 参数的信息,请参阅 D iffie-Hellman 参数

使用 DHE 实现完美的前向保密

生成 DH 参数是一项 CPU 密集型操作。在早期版本中,在 VPX 设备上生成参数需要很长时间,因为它是在软件中完成的。通过设置参数来优化 dhKeyExpSizeLimit 参数生成。您可以为 SSL 虚拟服务器或 SSL 配置文件设置此参数,然后将配置文件绑定到虚拟服务器。

通过将 DH 计数设置为零,您可以在 Citrix ADC MPX 设备上保持完美的向前保密 (PFS)。因此,在 Citrix ADC MPX 设备上为每个事务生成 DH 参数(最小DHcount 值为 0)。由于操作已优化,因此生成这些参数时性能不会显著下降。此前,允许的最低 DH 计数为 500。也就是说,您不能为多达 500 笔交易重新生成密钥。

限制:

在 Citrix ADC VPX 设备上,如果您将 DH 计数设置为零,则不会重新生成 DH 参数。因此,必须将 DH 计数设置为 500 才能维护 PFS。DH 参数在 500 次交易后重新生成。

使用 CLI 优化 DH 参数生成

在命令提示符处,键入命令 1 和 2,或键入命令 3:

1.  add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount <positive_integer>] [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)]
2.  set ssl vserver <vServerName> [-sslProfile <string>]
<!--NeedCopy-->
3.  set ssl vserver <vServerName> [-dh ( ENABLED | DISABLED) -dhFile <string>] [-dhCount <positive_integer>] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]
<!--NeedCopy-->

使用 GUI 优化 DH 参数生成

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器,然后打开虚拟服务器。
  2. SSL 参数 部分中,选择 启用 DH 密钥过期大小限制
使用 DHE 生成 Diffie-Hellman 参数并实现 PFS