Мне нужно установить ключ SSL DH на 1024 бита на веб-сайте
Я генерирую ключ с помощью
openssl dhparam -out /etc/ssl/certs/dhparam.pem 1024
, но когда я перезапускаю apache, он возвращает ошибку, как в заголовке ... Мне нужно регенерировать на 2048 ...
Моя версия apache - 2.4.38
В файле конфигурации Apache есть
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GC$
Можно отключить проверка ключа DH?
Существует обходной путь, упомянутый в документации Apache .
Вы должны добавить DHParam к первому сертификату.
Чтобы сгенерировать настраиваемые параметры DH, используйте
openssl dhparam 1024
команда. В качестве альтернативы вы можете использовать следующий стандартный 1024-битный DH параметры из RFC 2409, раздел 6.2:----- НАЧАЛО ПАРАМЕТРОВ DH ----- MIGHAoGBAP ////////// yQ / aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu + pjsTmyJR Sgh5jjQE3e + VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL / 1y29Aa37e44a / taiZ + lrp8kEXxLH + ZJKGZR7OZTgf ////////// AgEC ----- КОНЕЦ ПАРАМЕТРОВ DH -----
Добавьте специальные параметры, включая BEGIN DH PARAMETERS и END. DH PARAMETERS "в конец первого файла сертификата, который у вас есть настроен с помощью директивы
SSLCertificateFile
.