在apache配置ecdsa加密套件
阿新 • • 發佈:2018-11-19
之前在apache配置ssl的時候用openssl生成的證書用的是rsa,這直接導致了不能使用包含ecdsa的加密套件,之前一直想不明白為什麼不能使用包含ecdsa的加密套件,明明瀏覽器和openssl支援的tls 1.2 加密套件中都包含有ecdsa的。 後來從頭開始仔細梳理了一遍思路覺得還是證書的問題。用rsa簽發的證書,能使用包含rsa的加密套件;同理,用ecc簽發的證書能使用包含ecdsa的加密套件。
明確問題所在以後,就可以開始解決問題了。
首先,是用openssl 建立ecc的自簽證書(參考: https://msol.io/blog/tech/create-a-self-signed-ecc-certificate/)
1、openssl ecparam -genkey -name prime256v1 -out key.pem
2、openssl req -new -sha256 -key key.kem -out csr.csr
3、openssl req -x509 -sha256 -days 365 -key key.pem -in csr.csr -out certificate.pem
檢視生成的證書:
openssl x509 -text -noout -in /private/etc/apache2/ssl_ecdsa/certificate.pem
建好證書以後,從apache預設檔案裡面拷貝一份 https-ssl.conf 檔案,再把 https-ssl.conf 檔案中 SSLCertificateFile 和 SSLCertificateKeyFile 的路徑給改了
重啟apache,ok