2017-03-02 10 views
2

apache2 및 certbot-auto로 HTTP2를 설정하는 것이 좋습니다. 사실 HTTP2 + Apache2 +와 함께 작동하는 다른 서버가 있습니다. letsencrypt cert를 사용하면 HTTP2가이 서버에서 완벽하게 작동합니다. 나는 두 서버에서이 있습니다certbot이있는 HTTP2, apache2

openssl dhparam -out /etc/ssl/private/dhparams_4096.pem 4096 

다시 시작 아파치, 동일한 문제, 서버 1이 작동하고, 서버 (2) 번호 :

SSLHonorCipherOrder  on 

SSLProtocol    all -SSLv3 
SSLCipherSuite   ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS 

SSLOpenSSLConfCmd DHParameters "/etc/ssl/private/dhparams_4096.pem" 

나는 모두와 키를 dhparams 재생성하는 tryed. 내가 함께 테스트하는 경우

Server negotiated HTTP/2 with blacklisted suite 

는 :

내가 크롬이 ssllabs.com에

, FF, ... 작업 서버에서

openssl s_client -host 127.0.0.1 -port 443 

내가 가진 :

Server Temp Key: ECDH, P-256, 256 bits 
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256 

작동하지 않는 서버에서 :

Server Temp Key: DH, 4096 bits 
Cipher : DHE-RSA-AES128-GCM-SHA256 

작동하는 데 ECDH 키가 있어야한다는 것을 알고 있지만 모든 서버가 정확히 동일한 구성을 가지고 있기 때문에 왜 작동하지 않는지 알 수 없습니다!

나는 항상 certbot-auto --apache -d mydomain.com을 사용하여 cert를 생성합니다. 두 번째 서버가 아닌 첫 번째 서버에서 HTTP2로 작업합니다 (오류가 적절하지 않은 보안 오류 및 http1.1로 대체).

도와 주시겠습니까? 나는 apache2와 SSL/HTTP2로 작동하는 설정을 원한다. 나는 아주 오래된 브라우저 호환성이 필요 없다. 아니면 당신이 아주 잘 작동 튜토리얼을 알고 있다면.

아파치 2.4.25 및 두 서버 모두에서 ssl 1.0.2k를 엽니 다.

+0

나는 약간의 테스트를했다. ECDHE-ECDSA-AES128-GCM-SHA256은 설정되어 있지만 서버는 가져 가지 않는다.이 암호 만 넣으면 핸드 셰이크가 실패한다. 나는 ECDHE-ECDSA-AES128-GCM-SHA256 암호, apache를 설치하는 방법을 모른다. openssl? – neoteknic

+0

주소 : openssl 암호 -v 'ALL : eNULL' ECDHE-RSA-AES128-GCM-SHA256이 목록에 있습니다. 왜 아파치가 그걸 가져 가지 않습니까? – neoteknic

+0

서버 인증서를 확인해야합니다. 'openssl s_client -host 127.0.0.1 -port 443' 명령은 올바르지 않을 수 있습니다. ''HIGH :! kRSA :! aNULL :! MD5 :! RC4 ''의 암호 모음 문자열이 잘 작동 할 것입니다. SSL Labs 감사를 통과 할 것이며 ChaCha20/Poly1305가 TLS 1.3 (사용 가능할 때)에 우선 될 것입니다. 또한 OpenSSL 문제 추적기에서 [Issue 963 : TLS 1.3 support] (https://github.com/openssl/openssl/issues/963)를 참조하십시오. – jww

답변

0

정확히 같은 컴파일 플래그로 아파치 2.4.25가 등장했습니다. 이제 작동합니다! 어쩌면 일부 암호화 라이브러리가 새로운 openssl 전에 컴파일되었을 수도 있습니다. 나는 젠투하고있다.