利用DHE生成Diffie-Hellman参数并实现PFS

Diffie-Hellman (DH)密钥交换是SSL事务中涉及的双方通过不安全通道就共享秘密达成一致的一种方式。这些当事人事先并不了解对方。此秘密可以转换为对称密钥密码算法所需的加密密钥材料，这些算法需要这样的密钥交换。

默认情况下，该特性是禁用的。配置支持使用DH作为密钥交换算法的密码。

请注意：

生成2048位的DH参数可能需要很长时间(最多30分钟)。

通过CLI生成DH参数

在命令提示符下，输入以下命令:

create ssl dhparam  [] [-gen (2 | 5)] 

例子:

create ssl dhparam Key-DH-1 512 -gen 2 

通过图形界面生成DH参数

导航到交通管理>SSL而且，在工具组,选择创建DH密钥,配置SSL DH参数．

注意:

有关DH参数的说明请参见diffie - hellman参数．

使用DHE实现完美的前向保密

生成DH参数是一个cpu密集型操作。在早期版本中，VPX设备上的参数生成需要很长时间，因为它是在软件中完成的。参数的生成通过设置dhKeyExpSizeLimit参数。您可以为SSL虚拟服务器或SSL配置文件设置此参数，然后将该配置文件绑定到虚拟服务器。

通过将DH计数设置为零，您可以在Citrix ADC MPX设备上保持完美的前向保密(PFS)。因此，为每个事务生成DH参数(最小值)DHcount在Citrix ADC MPX设备上为0)。这些参数的生成没有显著的性能下降，因为操作是优化的。之前，允许的最小DH数为500。也就是说，最多不能为500个事务重新生成密钥。

在Citrix ADC VPX设备上，您可以为每500个事务生成最少的DH参数(DHcount= 500)。如果你设置DHcount等于0，则不重新生成DH参数。

限制:

今天，在VPX中使用DH密码无法实现PFS。

通过CLI优化生成DH参数

在命令提示符下，输入命令1和2，或者输入命令3:

1.add ssl profile  [-sslProfileType (BackEnd | FrontEnd)] [-dhCount ] [-dh (ENABLED | DISABLED) -dhFile ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)]set ssl vserver  [-sslProfile ] 

3.set ssl vserver  [-dh (ENABLED | DISABLED) -dhFile ] [-dhCount ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)] 

通过图形界面优化DH参数生成

1. 导航到交通管理>负载平衡>虚拟服务器，打开虚拟服务器。
2. 在SSL参数部分中,选择启用DH密钥过期大小限制．