为ssl证书生成加密程度更高的交换密钥
网站的受信证书一般是从发行证书的机构那里申请的,配置证书是为了网站数据传输的安全。
有时候网站证书的diffie-hellman算法强度太低,比如只有1024比特,此时可以生成一个2048比特的交换密钥。
openssl dhparam用于生成和管理dh文件。dh(Diffie-Hellman)是著名的密钥交换协议,或称为密钥协商协议,它可以保证通信双方安全地交换密钥。但注意,它不是加密算法,所以不提供加密功能,仅仅只是保护密钥交换的过程。
为了高强度,我们可以生成4096比特的,但是4096 比特过长了,会给系统的处理器带来不必要的负担。建议使用 2048比特就够了。
生成命令如下:
openssl dhparam -out /usr/ssl/dhparam.pem 2048
生成后就可以在nginx的配置文件引入了:
ssl_dhparam /usr/ssl/dhparam.pem;
鄂公网安备 42050602000066号