根据Mozilla 服务器端 TLS 应使用预定义的 DH 组ffdhe2048,ffdhe3072或ffdhe4096由 IETF 推荐RFC 7919。
我的路由器正在运行 Nginx(和 Linux),因此ssl_dhparam应该进行设置。
没有 gnutls 包
但是,路由器的(Entware-NG)包管理系统缺少gnutls建议安装的包Adam 系统管理员。
DH参数文件
通过 SSH 获取运行 padavan(openwrt 派生)发行版的路由器上的 DH 参数文件的简单方法是什么?
答案1
以下是一些适用于 2048(中)和 3072(高)DH 参数的可复制和粘贴的 shell one 衬垫。
Ffdhe2048(推荐用于兼容性)
$ { echo -----BEGIN\ DH\ PARAMETERS-----; echo MIIBDAKCAQEA//////////+t+FRYortKmq/cViAnPTzx2LnFg84tNpWp4TZBFGQz; echo +8yTnc4kmz75fS/jY2MMddj2gbICrsRhetPfHtXV/WVhJDP1H18GbtCFY2VVPe0a;echo 87VXE15/V8k1mE8McODmi3fipona8+/och3xWKE2rec1MKzKT0g6eXq8CrGCsyT7; echo YdEIqUuyyOP7uWrat2DX9GgdT0Kj3jlN9K5W7edjcrsZCwenyO4KbXCeAvzhzffi; echo 7MA0BM0oNC9hkXL+nOmFg/+OTxIy7vKBg8P+OxtMb61zO7X8vC7CIAXFjvGDfRaD; echo ssbzSibBsu/6iGtCOGEoXJf//////////wIBAgICAQA=; echo -----END\ DH\ PARAMETERS-----; } > /opt/etc/nginx/ssl/dhparam_2048.pem && chmod 600 /opt/etc/nginx/ssl/dhparam_2048.pem
在 nginx.conf 中,当它不存在时,添加:
ssl_dhparam ssl/dhparam_2048.pem;
或者使用ffdhe3072
$ { echo -----BEGIN\ DH\ PARAMETERS-----; echo MIIBjAKCAYEA//////////+t+FRYortKmq/cViAnPTzx2LnFg84tNpWp4TZBFGQz; echo +8yTnc4kmz75fS/jY2MMddj2gbICrsRhetPfHtXV/WVhJDP1H18GbtCFY2VVPe0a; echo 87VXE15/V8k1mE8McODmi3fipona8+/och3xWKE2rec1MKzKT0g6eXq8CrGCsyT7; echo YdEIqUuyyOP7uWrat2DX9GgdT0Kj3jlN9K5W7edjcrsZCwenyO4KbXCeAvzhzffi; echo 7MA0BM0oNC9hkXL+nOmFg/+OTxIy7vKBg8P+OxtMb61zO7X8vC7CIAXFjvGDfRaD; echo ssbzSibBsu/6iGtCOGEfz9zeNVs7ZRkDW7w09N75nAI4YbRvydbmyQd62R0mkff3; echo 7lmMsPrBhtkcrv4TCYUTknC0EwyTvEN5RPT9RFLi103TZPLiHnH1S/9croKrnJ32; echo nuhtK8UiNjoNq8Uhl5sN6todv5pC1cRITgq80Gv6U93vPBsg7j/VnXwl5B0rZsYu; echo N///////////AgECAgIBFA==; echo -----END\ DH\ PARAMETERS-----; } > /opt/etc/nginx/ssl/dhparam_3072.pem && chmod 600 /opt/etc/nginx/ssl/dhparam_3072.pem
在 nginx.conf 中,当它不存在时,添加:
ssl_dhparam ssl/dhparam_3072.pem;