密钥交换パラメータの生成とDHEによるPFSの実現
迪菲·赫尔曼(DH)キー交換は、SSLトランザクションに関与する 2.つの当事者が安全でないチャネルを介して共有秘密に同意する方法です。これらの当事者は、お互いについての事前知識を持っていません。このシークレットは、このようなキー交換を必要とする対称キー暗号アルゴリズムの暗号キー生成情報に変換できます。
この機能はデフォルトでは無効になっています。キー交換アルゴリズムとして DHを使用する暗号をサポートするように機能を設定しました。
注:
2048ビットの DHパラメータの生成には長い時間がかかることがあります (最大 30分)。
CLIを使用して DHパラメータを生成する
コマンドプロンプトで、次のコマンドを入力します。
创建ssl dhparam[][-gen(2 | 5)]<!--NeedCopy--> 例:
创建ssl dhparam密钥-DH-1 512-第2代<!--NeedCopy-->桂を使用して DHパラメータを生成する
「トラフィック管理」>「SSL」に移動し、「ツール」グループで「迪菲·赫尔曼(DH)キーの作成」を選択し、「SSL-DHパラメータの設定」を選択します。
注:
DHパラメーターの詳細については、迪菲·赫尔曼パラメーターを参照してください。
DHEで完全な前方秘密を達成する
DHパラメータの生成は、中央处理器を大量に消費する操作です。以前のリリースでは、VPXアプライアンスでのパラメータ生成はソフトウェアで実行されているため、時間がかかりました。dhKeyExpSizeLimitパラメータを設定することで、パラメータの生成が最適化されます。SSL仮想サーバーまたは SSLプロファイルに対してこのパラメーターを設定し、プロファイルを仮想サーバーにバインドできます。
DHカウントをゼロに設定することで、Citrix ADC MPXアプライアンスで完美前向保密(PFS)を維持できます。その結果、Citrix ADC MPXアプライアンスでは、トランザクションごとにDHパラメータが生成されます(最小値DHcountは0)。操作が最適化されているため、パラメータはパフォーマンスを大幅に低下させることなく生成されます。以前は、許容される最小 DHカウントは 500でした。つまり、最大 500個のトランザクションに対してキーを再生成できませんでした。
Citrix ADC VPXアプライアンスでは、最低でも500トランザクションごとにDHパラメーターを生成できます(DHcount=500)。DHcountを0に設定すると、DHパラメータは再生成されません。
制限事項:
現在、DH暗号を使用してVPXでPFSを達成することはできません。
CLIを使用した DHパラメータ生成の最適化
コマンドプロンプトで、コマンド 1.と 2.を入力するか、コマンド 3.を入力します。
1.添加ssl配置文件[-sslProfileType(BackEnd | FrontEnd)][-dhCount][-dh(ENABLED | DISABLED)-dhFile][-dhKeyExpSizeLimit(ENABLED | DISABLED)]2.设置ssl vserver[-sslProfile]<!--NeedCopy--> 3.设置ssl vserver[-dh(已启用|已禁用)-dhFile][-dhCount][-dhKeyExpSizeLimit(已启用|已禁用)]<!--NeedCopy--> 桂を使用した DHパラメータ生成の最適化
- [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、仮想サーバーを開きます。
- [SSLパラメータ]セクションで、[DHキー有効期限のサイズ制限を有効にする] を選択します。