Как я могу убедиться, что я правильно настроил свой сервер Apache 2.4.6 с пользовательской конфигурацией dhparams 2048-бит (или 4096-бит)?
После weakdh.org руководство системного администратора, Я создал свой dhparams.pem файл с openssl dhparam -out dhparams.pem 2048. В руководстве говорится, чтобы добавить это в конфигурацию apache mod_ssl с помощью SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}", но это действительно только для Apache> = v2.4.7. Я использую CentOS 7, который использует Apache v2.4.6.
В соответствии с этот вопрос об ошибке сервера, решение в Apache v2.4.6 - добавить его в файл сертификата. Так что я сделал cat /etc/pki/dhparam/dhparam.pem >> /etc/letsencrypt/live/openbuildinginstitute.org/cert.pem (а также cat /etc/pki/dhparam/dhparam.pem >> / etc / letsencrypt / live / openbuildinginstitute.org / fullchain.pem` && перезапустил apache.
Но как мне проверить на стороне клиента (в моем браузере), что эта конфигурация действует?
Это особенно проблема, поскольку мы используем Let's Encrypt, поэтому мы хотим, чтобы наши 90-дневные обновления сертификатов включали этот шаг, и я хочу иметь возможность проверить его в браузере.
Я уже пытался загрузить сертификат с помощью firefox «Просмотр сертификата» -> «Подробности» -> «Экспорт ...» и подтвердил, что «----- НАЧАЛО ПАРАМЕТРОВ DH -----» было отсутствует из полученного файла.
Этот вопрос SuperUser обеспечивает openssl команда, которая выведет ServerKeyExchange в шестнадцатеричном формате, и из нее вы можете рассчитать размер бит.
Это полезно, но я бы предпочел команду, которая могла бы извлекать соответствующие данные из шестнадцатеричной кодировки и просто печатать размер base-10.