利用DHE生成Diffie-Hellman参数并实现PFS
Diffie-Hellman (DH)密钥交换是SSL事务中涉及的双方通过不安全通道就共享秘密达成一致的一种方式。这些当事人事先并不了解对方。此秘密可以转换为对称密钥密码算法所需的加密密钥材料,这些算法需要这样的密钥交换。
默认情况下,该特性是禁用的。配置支持使用DH作为密钥交换算法的密码。
请注意:
生成2048位的DH参数可能需要很长时间(最多30分钟)。
通过CLI生成DH参数
在命令提示符下,输入以下命令:
create ssl dhparam [] [-gen (2 | 5)]
例子:
create ssl dhparam Key-DH-1 512 -gen 2
通过图形界面生成DH参数
导航到交通管理>SSL而且,在工具组,选择创建DH密钥,配置SSL DH参数.
注意:
有关DH参数的说明请参见diffie - hellman参数.
使用DHE实现完美的前向保密
生成DH参数是一个cpu密集型操作。在早期版本中,VPX设备上的参数生成需要很长时间,因为它是在软件中完成的。参数的生成通过设置dhKeyExpSizeLimit
参数。您可以为SSL虚拟服务器或SSL配置文件设置此参数,然后将该配置文件绑定到虚拟服务器。
通过将DH计数设置为零,您可以在Citrix ADC MPX设备上保持完美的前向保密(PFS)。因此,为每个事务生成DH参数(最小值)DHcount
在Citrix ADC MPX设备上为0)。这些参数的生成没有显著的性能下降,因为操作是优化的。之前,允许的最小DH数为500。也就是说,最多不能为500个事务重新生成密钥。
在Citrix ADC VPX设备上,您可以为每500个事务生成最少的DH参数(DHcount
= 500)。如果你设置DHcount
等于0,则不重新生成DH参数。
限制:
今天,在VPX中使用DH密码无法实现PFS。
通过CLI优化生成DH参数
在命令提示符下,输入命令1和2,或者输入命令3:
1.add ssl profile [-sslProfileType (BackEnd | FrontEnd)] [-dhCount ] [-dh (ENABLED | DISABLED) -dhFile ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)]set ssl vserver [-sslProfile ]
3.set ssl vserver [-dh (ENABLED | DISABLED) -dhFile ] [-dhCount ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)]
通过图形界面优化DH参数生成
- 导航到交通管理>负载平衡>虚拟服务器,打开虚拟服务器。
- 在SSL参数部分中,选择启用DH密钥过期大小限制.
利用DHE生成Diffie-Hellman参数并实现PFS
复制!
失败了!