22.9. 在 Apache HTTP 服务器中设置支持的密码
默认情况下,Apache HTTP 服务器使用定义了安全默认值的系统范围的加密策略,这些值也与最新的浏览器兼容。有关系统范围加密允许的密码列表,请查看/etc/crypto-policies/back-ends/openssl.config
文件。
您可以手动配置 my_company.idm.example.com Apache HTTP 服务器支持哪些密码。如果您的环境需要特定的加密系统,请按照以下步骤操作。
先决条件
- 在 my_company.idm.example.com 服务器上启用了 TLS 加密,如 向 Apache HTTP 服务器 添加 TLS 加密 中所述。
步骤
编辑
/etc/httpd/conf/httpd.conf
文件,并将SSLCipherSuite
参数添加到您要为其设置 TLS 密码的<VirtualHost>
指令中:SSLCipherSuite "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!SHA1:!SHA256"
这个示例只启用
EECDH+AESGCM
、EDH+AESGCM
、AES256+EECDH
和AES256+EDH
密码,并禁用所有使用SHA1
和SHA256
消息身份验证码(MAC)的密码。重启
httpd
服务:# systemctl restart httpd
验证
显示 Apache HTTP 服务器支持的密码列表:
安装
nmap
软件包:# dnf install nmap
使用
nmap
工具来显示支持的加密:# nmap --script ssl-enum-ciphers -p 443 example.com ... PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A ...
其他资源
-
您系统上的
update-crypto-policies (8)
手册页 - 使用系统范围的加密策略。
- 安装 Apache HTTP 服务器手册 - SSLCipherSuite