【发布时间】:2015-12-31 00:50:19
【问题描述】:
我一直在尝试为 apache Web 服务器创建一个密钥和证书,而不是包含一个 https 站点。我一直在使用 Openssl(版本 1.0.1f、g、h、i、q、t),但无法使用密码套件 ECDHE-RSA-AES128-GCM-SHA256 创建证书。
我使用以下代码来设置密码列表:
openssl ciphers -v 'kEECDH+ECDSA kEDH +RSA !aNULL !eNULL !LOW !3DES !DES !RC2 !RC4 !EXP !DSS !IDEA !SRP !kECDH !MD5 !SEED !PSK !CAMELLIA'
结果如下:
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256
ECDHE-ECDSA-AES128-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA1
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256
DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
之后我一直使用以下命令生成证书:
Step 1
openssl genpkey -algorithm RSA -outform PEM -out my-site.pem -pkeyopt rsa_keygen_bits:2048
Step 2
openssl req -new -sha256 -key my-site.pem -out my-site.csr
Step 3
openssl x509 -req -sha256 -days 1825 -in my-site.csr -signkey my-site.pem -out my-site.crt
当我在 apache 上安装所有文件,重新启动服务器,然后使用 Mozilla 查看结果时,我得到以下结果:
加密连接(TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA)
我对此感到困惑,因为我进行了很多测试并阅读了很多信息,但没有得到不同的结果。
感谢任何指导!
【问题讨论】:
-
根据 Steffen 的回答,只需在主机站点文件中添加以下指令并达到我正在寻找的结果:SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA :ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-GCM-SHA256
标签: apache ssl encryption