记录一些常用的函数和瞎折腾的过程……

为ssl证书生成加密程度更高的交换密钥

提醒:本文最后更新于 2217 天前,文中所描述的信息可能已发生改变,请谨慎使用。

网站的受信证书一般是从发行证书的机构那里申请的,配置证书是为了网站数据传输的安全。

有时候网站证书的diffie-hellman算法强度太低,比如只有1024比特,此时可以生成一个2048比特的交换密钥。

openssl dhparam用于生成和管理dh文件。dh(Diffie-Hellman)是著名的密钥交换协议,或称为密钥协商协议,它可以保证通信双方安全地交换密钥。但注意,它不是加密算法,所以不提供加密功能,仅仅只是保护密钥交换的过程。

为了高强度,我们可以生成4096比特的,但是4096 比特过长了,会给系统的处理器带来不必要的负担。建议使用 2048比特就够了。

生成命令如下:

openssl dhparam -out /usr/ssl/dhparam.pem 2048

生成后就可以在nginx的配置文件引入了:

ssl_dhparam /usr/ssl/dhparam.pem;