我需要在网站上设置 1024 位 SSL DH 密钥
我正在生成密钥
openssl dhparam -out /etc/ssl/certs/dhparam.pem 1024
但是当我重新启动 apache 时,它会返回标题中的错误...我需要在 2048 时重新生成...
我的 apache 版本是 2.4.38
在Apache的配置文件中有
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
是否可以禁用 DH 密钥的检查?
答案1
您必须将 DHParam 添加到第一个证书。
要生成自定义 DH 参数,请使用该
openssl dhparam 1024命令。或者,您可以使用 RFC 2409 第 6.2 节中的以下标准 1024 位 DH 参数:-----BEGIN DH PARAMETERS----- MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL /1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC -----END DH PARAMETERS-----将自定义参数(包括“BEGIN DH PARAMETERS”和“END DH PARAMETERS”行)添加到使用该指令配置的第一个证书文件的末尾
SSLCertificateFile。