Produktdokumentation
Citrix ADC
Current Release 13.0 12.1 11.1
PDF anzeigen

Diffie-Hellman-Parametergenerierung und Erreichen von PFS mit DHE

October 5, 2021
Beitrag von:
C

Der Diffie-Hellman (DH) Schlüsselaustausch ist eine Möglichkeit für zwei Parteien, die an einer SSL-Transaktion beteiligt sind, um ein gemeinsames Geheimnis über einen unsicheren Kanal zu vereinbaren. Diese Parteien haben keine Vorkenntnisse voneinander. Dieses Geheimnis kann in kryptografisches Schlüsselmaterial für symmetrische Schlüsselverschlüsselungsalgorithmen umgewandelt werden, die einen solchen Schlüsselaustausch erfordern.

Diese Funktion ist in der Standardeinstellung deaktiviert. Die Funktion wurde so konfiguriert, dass Verschlüsselungen unterstützt werden, die DH als Schlüsselaustauschalgorithmus verwenden.

Hinweis:

Das Generieren von 2048-Bit-DH-Parametern kann sehr lange dauern (bis zu 30 Minuten).

Generieren von DH-Parametern mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

create ssl dhparam  [] [-gen (2 | 5)]

Beispiel:

create ssl dhparam Key-DH-1 512 -gen 2

Generieren von DH-Parametern mit der GUI

Navigieren Sie zuTraffic Management>SSL, und wählen Sie in der GruppeExtrasdie OptionDiffie-Hellman (DH) Schlüssel erstellenundSSL DH Param konfigurierenaus.

Hinweis:

我nformationen zu DH-Parametern finden Sie unterDiffie-Hellman-Parametern.

Perfektes Vorwärtsgeheimnis mit DHE

Die Erzeugung von DH-Parametern ist ein CPU-intensiver Betrieb. In früheren Versionen hat die Parametergenerierung auf einer VPX-Appliance lange gedauert, da sie in der Software durchgeführt wurde. Die Parametergenerierung wird durch die Einstellung desdhKeyExpSizeLimitParameters optimiert. Sie können diesen Parameter für einen virtuellen SSL-Server oder ein SSL-Profil festlegen und dann das Profil an einen virtuellen Server binden.

Sie können Perfect Forward Secrecy (PFS) auf Citrix ADC MPX-Appliances beibehalten, indem Sie die DH-Anzahl auf Null setzen. Daher werden DH-Parameter für jede Transaktion (MinimumDHcountist 0) auf Citrix ADC MPX-Appliances generiert. Die Parameter werden ohne einen signifikanten Leistungsabfall generiert, da die Operation optimiert ist. Früher war die minimale DH-Zählung zulässig 500. Das heißt, Sie können den Schlüssel für bis zu 500 Transaktionen nicht regenerieren.

Auf einer Citrix ADC VPX Appliance können Sie DH-Parameter für jede 500-Transaktion mindestens (DHcount= 500) generieren. Wenn Sie 0DHcountsetzen, werden die DH-Parameter nicht regeneriert.

Einschränkung:

Sie können PFS in VPX heute nicht mit DH-Chiffern erreichen.

Optimierung der DH-Parametergenerierung mit der CLI

Geben Sie an der Eingabeaufforderung die Befehle 1 und 2 ein, oder geben Sie Befehl 3 ein:

1. add ssl profile  [-sslProfileType ( BackEnd | FrontEnd )] [-dhCount ] [-dh ( ENABLED | DISABLED) -dhFile ] [-dhKeyExpSizeLimit ( ENABLED | DISABLED)] 2. set ssl vserver  [-sslProfile ] 
3. set ssl vserver  [-dh ( ENABLED | DISABLED) -dhFile ] [-dhCount ] [-dhKeyExpSizeLimit ( ENABLED | DISABLED )]

Optimieren Sie die Generierung von DH-Parametern mit der GUI

  1. Navigieren Sie zuTraffic Management>Load Balancing>Virtuelle Server, und öffnen Sie einen virtuellen Server.
  2. Wählen Sie im AbschnittSSL-Parameterdie OptionEnable DH Key Expire Size Limitaus.
Diffie-Hellman-Parametergenerierung und Erreichen von PFS mit DHE
October 5, 2021
Beitrag von:
C
October 5, 2021
Beitrag von:
C

我n diesem Artikel

我nstructions for Contributors
Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999-Citrix Systems, Inc. All rights reserved.