我有 Ubuntu 15.04 和 Apache 2.4.10(OpenSSL 1.0.1f),我想像在 Windows 10 上一样专门为“ECC 曲线顺序”配置 Apache SSL.conf,在其中我选择椭圆曲线的首选顺序。我有两个与此相关的问题:
1) 在 OpenSSL 上,如何查看我的系统支持的 ECC 曲线?
2) 在 Apache 上,如何配置(在 ssl.conf 中)曲线顺序?我也可以将其设置为遵循特定的优先顺序吗?(第一个 P-521,第二个 P-384,第三个 P-256)
答案1
现在回答可能有点晚了...但是:
对于第一个问题,使用:
openssl ecparam -list_curves
对于第二个问题,SSLOpenSSLConfCmd 应该可以完成这项工作,但我不知道它是否适用于您的版本。
SSLOpenSSLConfCmd Curves P-521:P-384
另一种方法,来自 Apache 文档:
还可以将自定义 DH 参数和临时密钥的 EC 曲线名称添加到使用 SSLCertificateFile 配置的第一个文件的末尾。版本 2.4.7 或更高版本支持此功能。可以使用命令 openssl dhparam 和 openssl ecparam 生成此类参数。可以将参数按原样添加到第一个证书文件的末尾。只有第一个文件可用于自定义参数,因为它们的应用与身份验证算法类型无关。