用DHE生成Diffie-Hellman参数并实现PFS

Diffie-Hellman (DH)密钥交换是参与SSL事务的双方通过不安全通道就共享秘密达成一致的一种方式。这些当事人事先并不了解对方。该秘密可以转换为需要这种密钥交换的对称密钥密码算法的加密密钥材料。

默认情况下，该特性是关闭的。配置支持使用DH作为密钥交换算法的密码。

请注意：

生成2048位DH参数可能需要较长时间(最长30分钟)。

通过命令行生成DH参数

在命令提示符下，输入以下命令:

create ssl dhparam  [] [-gen (2 | 5)] 

例子:

创建ssl dhparam Key-DH-1 512——NeedCopy >

使用GUI生成DH参数

导航到交通管理>SSL在工具组,选择创建DH (Diffie-Hellman)密钥,配置SSL DH参数．

注意:

DH参数说明请参见diffie - hellman参数．

使用DHE实现完美的前向保密

生成DH参数是一项cpu密集型操作。在早期的版本中，VPX设备上的参数生成需要很长时间，因为它是在软件中完成的。参数生成优化dhKeyExpSizeLimit参数。可以为SSL虚拟服务器或SSL配置文件配置该参数，然后将SSL配置文件与虚拟服务器绑定。

通过将DH计数设置为零，可以在Citrix ADC MPX设备上保持完美的前向保密(PFS)。因此，为每个事务(最少)生成DH参数DHcount为0)在思杰ADC MPX设备上。生成了三个参数，但性能没有明显下降，因为操作经过了优化。早先，允许的最小DH数是500。也就是说，您最多不能为500个事务重新生成密钥。

在Citrix ADC VPX设备上，您可以最少为每500个事务生成DH参数(DHcount= 500)。如果你设置DHcount= 0，则DH参数不再生。

限制:

目前在VPX中使用DH密码无法实现PFS。

通过CLI优化DH参数生成

在命令提示符下，输入命令1和2，或者输入命令3:

1.add ssl profile  [-sslProfileType (BackEnd | FrontEnd)] [-dhCount ] [-dh (ENABLED | DISABLED) -dhFile ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)] 2。set ssl vserver  [-sslProfile ] 

3.set ssl vserver  [-dh (ENABLED | DISABLED) -dhFile ] [-dhCount ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)] 

使用GUI优化DH参数生成

1. 导航到交通管理>负载平衡>虚拟服务器，打开虚拟服务器。
2. 在SSL参数部分中,选择启用DH密钥过期大小限制．