Что могло вызвать Could not generate DH key pair on the destination URL ошибка?
Компания-партнер EDI пытается подключиться к нашему серверу HTTPS и встречает указанное выше сообщение.
Или система использует коммерческий брандмауэр и обратный прокси-сервер (на основе Apache) с высоким рейтингом безопасности («A» в qualsys ssltest). Я подозреваю, что наш уровень безопасности выше, чем возможности нашей компании-партнера EDI, однако они утверждают, что имеют рабочие соединения с другими партнерами HTTPS, и говорят, что они поддерживают «2048 бит».
К сожалению, мы не можем снизить уровень безопасности в нашей системе в тестовых целях. Существуют ли стандартные средства диагностики, которые мы можем порекомендовать нашему партнеру по EDI, чтобы они могли проанализировать сбой соединения?
Обновление: я использовал инструмент диагностики Qualsys для SSL и обнаружил, что для клиентов Java (Sun JRE) 6 соединение невозможно, потому что
Java 6u45 - Client does not support DH parameters > 1024 bits.
Однако для других серверов с рейтингом A клиенты Java 6 могут подключаться, и кажется, что они просто не используют DH:
Java 6u45 - TLS 1.0 - TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)
Итак, если я сложу эти части вместе, я предполагаю, что наш сервер настаивает на обмене ключами DH (который не поддерживается для клиентов Java 6), в то время как другие серверы могут согласовывать другой шифр, чтобы клиенты Java 6 могли подключаться. Однако я не эксперт в этой области, поэтому, пожалуйста, дайте мне знать, если я преследую отвлекающий маневр :)
Удаление всех шифров DHE с нашего сервера окончательно решило проблему подключения.