Oversigt
Diffie-Hellman nøgleudveksling (DH) er en metode til at generere en privat nøgle mellem to maskiner forbundet via en usikker kanal.
Når en klient begynder at oprette forbindelse til en sikret webtjeneste, forekommer SSL-forhandlingerne at udveksle de offentlige nøgler, og så kommer de to parter til en aftale med hensyn til de nøgler og cifre, der skal bruges under kommunikationen.
In denne illustration er perfekt forklaret, hvordan forhandlingerne opfører sig med farver. Forestil dig, hvordan det fungerer med store tilfældige tal beregnet af begge kommunikationsnoder.
Hvordan det bruges i en belastningsafbalancering
Lastbalanceren opretter SSL-tjenester, når den udfører SSL Offload-operationer, i formularen:
Zen Load Balancer bruger OpenSSL værktøjer med dhparam muligheder for at generere Diffie-Hellman nøglerne. Læs mere om de fulde muligheder her.
For at oprette en SSL Offload gård (HTTP-profil med HTTPS-lytter i Zen Load Balancer) Det kræves at generere en Diffie-Hellman-nøgle med følgende god praksis for at sikre en robust nøglegenerering.
1. En minimum nøglelængde på 2048 bits. Mere længde vil betyde sværere at dekryptere i en rimelig mængde tid.
2. En DH-nøgle pr. SSL-gård for at gøre det vanskeligere at bryde kommunikationen af flere SSL-tjenester og isolere sikkerheden for hver gård.
3. Mindre forudsigelig i tilfældig generation betyder sværere at bryde kommunikationen.
Bemærk, at genereringen af Diffie-Hellman-nøglerne normalt er en beregningsmæssig kostbar proces, fordi den tilfældige talgenerering kan tage for meget tid, men det sikrer en sikkerhedssikkerhed for vores SSL-tjenester.
Referencer
https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
http://mathworld.wolfram.com/Diffie-HellmanProtocol.html