Übersicht
Diffie-Hellman-Schlüsselaustausch (DH) ist eine Methode zum Generieren eines privaten Schlüssels zwischen zwei Computern, die über einen unsicheren Kanal verbunden sind.
Wenn ein Client eine Verbindung zu einem gesicherten Webservice aufbaut, erfolgt die SSL-Aushandlung beim Austausch der öffentlichen Schlüssel, und die beiden Parteien vereinbaren, welche Schlüssel und Chiffren während der Kommunikation verwendet werden sollen.
In diese abbildung ist perfekt erklärt, wie sich die Verhandlung mit Farben verhält. Stellen Sie sich vor, wie es mit großen Zufallszahlen funktioniert, die von beiden Kommunikationsknoten berechnet werden.
Wie es in einem Load Balancer verwendet wird
Der Load Balancer erstellt SSL-Dienste, wenn SSL Offload-Vorgänge ausgeführt wird, und zwar in der folgenden Form:
Zen Load Balancer verwendet die OpenSSL Werkzeuge mit Dhparam Optionen zum Generieren der Diffie-Hellman-Schlüssel. Lesen Sie mehr über die vollständigen Optionen hier.
Um eine SSL-Offload-Farm zu erstellen (HTTP-Profil mit HTTPS-Listener in Zen Load Balancer) Es ist erforderlich, einen Diffie-Hellman-Schlüssel mit den folgenden bewährten Methoden zu generieren, um eine robuste Schlüsselgenerierung sicherzustellen.
1. Minimale Schlüssellänge von 2048-Bits. Mehr Länge bedeutet, dass es schwieriger ist, sie in angemessener Zeit zu entschlüsseln.
2. Ein DH-Schlüssel pro SSL-Farm, um die Kommunikation mehrerer SSL-Dienste zu erschweren und die Sicherheit jeder Farm zu isolieren.
3. Weniger vorhersehbar bei der Zufallsgenerierung bedeutet, dass es schwieriger ist, die Kommunikation zu unterbrechen.
Beachten Sie, dass die Generierung der Diffie-Hellman-Schlüssel in der Regel ein rechenintensiver Prozess ist, da die Generierung von Zufallszahlen zu viel Zeit in Anspruch nehmen kann. Dies gewährleistet jedoch eine Sicherheit der SSL-Dienste.
Referenzen
https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
http://mathworld.wolfram.com/Diffie-HellmanProtocol.html