差异-赫尔曼参数生成并使用dhe实现PFS

diffie - hellman (DH)密钥交换是SSL交易中涉及的双方通过不安全渠道商定共享秘密的一种方式。这些当事方对彼此没有事先了解。这个秘密可以转换为加密密钥材料，用于需要此类密钥交换的对称密钥密码算法。

默认情况下，此功能处于禁用状态。配置此功能以支持使用dh作为密钥交换算法的密码。

注意：

生成2048位dh参数可能需要很长时间(最多30分钟)。

使用cli生成dh参数

在命令提示符下，键入以下命令：

create ssl dhparam  [] [-gen (2 | 5)] 

示例：

create ssl dhparam Key-DH-1 512 -gen 2 

使用GUI生成dh参数

导航到流量管理>SSL，然后在工具组中，选择创建差异-地狱曼(dh)密钥，然后配置SSL dh参数。

注意:有关dh参数的信息，请参阅iffy - hellman参数。

使用dhe实现完美的前向保密

生成dh参数是CPU密集型操作。在早期版本中，vpx设备上的参数生成需要很长时间，因为它是在软件中完成的。通过设置参数来优化dhKeyExpSizeLimit参数生成。您可以为SSL虚拟服务器或SSL配置文件设置此参数，然后将配置文件绑定到虚拟服务器。

通过将DH计数设置为零,您可以在Citrix ADC MPX设备上保持完美的向前保密(PFS)。因此，在Citrix ADC MPX设备上为每个事务生成DH参数(最小DHcount值为 0）。您参数生成没有显著下降的性能, 因为操作是优化.此前，允许的最低dh计数为500。也就是说，您不能为多达 500 笔交易重新生成密钥。

在Citrix ADC VPX设备上，至少可以为每500个事务生成DH参数(DHcount= 500)。如果设置为DHcount等于0，则不会重新生成dh参数。

限制：

您今天无法使用dh密码在VPX中实现pfs。

使用cli优化dh参数生成

在命令提示符下，键入命令 1 和 2，或键入命令 3：

1.add ssl profile  [-sslProfileType (BackEnd | FrontEnd)] [-dhCount ] [-dh (ENABLED | DISABLED) -dhFile ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)]set ssl vserver  [-sslProfile ] 

3.set ssl vserver  [-dh (ENABLED | DISABLED) -dhFile ] [-dhCount ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)] 

使用GUI优化dh参数生成

1. 导航到流量管理>负载平衡>虚拟服务器，然后打开虚拟服务器。
2. 在“SSL参数“部分中，选择”启用dh密钥过期大小限制”。