我正在阅读本教程关于如何设置和配置 OpenVPN 服务器。我注意到一些在其他地方没有看到的东西:
;dh dh2048.pem
dh none
为什么要禁用 DH? 有哪些优缺点?
如果它很重要,这里是与加密相关的其余配置:
tls-crypt ta.key
cipher AES-256-GCM
auth SHA512
答案1
他们在指南中给出了正确的答案:
接下来,找到包含 dh 指令的行,该指令定义 Diffie-Hellman 参数。由于我们已将所有证书配置为使用椭圆曲线密码术,因此不需要 Diffie-Hellman 种子文件。
OpenVPN 的手册也有类似的说法:
--dh file 包含 .pem 格式的 Diffie Hellman 参数的文件(仅 --tls-server 需要)。设置 file=none 以禁用 Diffie Hellman 密钥交换(仅使用 ECDH)。请注意,这要求对等方使用支持 ECDH TLS 密码套件的 SSL 库(例如 OpenSSL 1.0.1+ 或 mbed TLS 2.0+)。
对于指南告诉您使用的证书类型,不需要 Diffie-Hellman 参数。