差异-赫尔曼参数生成并使用dhe实现PFS
diffie - hellman (DH)密钥交换是SSL交易中涉及的双方通过不安全渠道商定共享秘密的一种方式。这些当事方对彼此没有事先了解。这个秘密可以转换为加密密钥材料,用于需要此类密钥交换的对称密钥密码算法。
默认情况下,此功能处于禁用状态。配置此功能以支持使用dh作为密钥交换算法的密码。
注意:
生成2048位dh参数可能需要很长时间(最多30分钟)。
使用cli生成dh参数
在命令提示符下,键入以下命令:
create ssl dhparam [] [-gen (2 | 5)]
示例:
create ssl dhparam Key-DH-1 512 -gen 2
使用GUI生成dh参数
导航到流量管理>SSL,然后在工具组中,选择创建差异-地狱曼(dh)密钥,然后配置SSL dh参数。
注意:有关dh参数的信息,请参阅iffy - hellman参数。
使用dhe实现完美的前向保密
生成dh参数是CPU密集型操作。在早期版本中,vpx设备上的参数生成需要很长时间,因为它是在软件中完成的。通过设置参数来优化dhKeyExpSizeLimit
参数生成。您可以为SSL虚拟服务器或SSL配置文件设置此参数,然后将配置文件绑定到虚拟服务器。
通过将DH计数设置为零,您可以在Citrix ADC MPX设备上保持完美的向前保密(PFS)。因此,在Citrix ADC MPX设备上为每个事务生成DH参数(最小DHcount
值为 0)。您参数生成没有显著下降的性能, 因为操作是优化.此前,允许的最低dh计数为500。也就是说,您不能为多达 500 笔交易重新生成密钥。
在Citrix ADC VPX设备上,至少可以为每500个事务生成DH参数(DHcount
= 500)。如果设置为DHcount
等于0,则不会重新生成dh参数。
限制:
您今天无法使用dh密码在VPX中实现pfs。
使用cli优化dh参数生成
在命令提示符下,键入命令 1 和 2,或键入命令 3:
1.add ssl profile [-sslProfileType (BackEnd | FrontEnd)] [-dhCount ] [-dh (ENABLED | DISABLED) -dhFile ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)]set ssl vserver [-sslProfile ]
3.set ssl vserver [-dh (ENABLED | DISABLED) -dhFile ] [-dhCount ] [-dhKeyExpSizeLimit (ENABLED | DISABLED)]
使用GUI优化dh参数生成
- 导航到流量管理>负载平衡>虚拟服务器,然后打开虚拟服务器。
- 在“SSL参数“部分中,选择”启用dh密钥过期大小限制”。
差异-赫尔曼参数生成并使用dhe实现PFS
已复制
失败了!