server-side/haproxy

HAProxy SSL dh(Diffie-Hellman) Parameters

C/H 2017. 7. 15. 17:40

코모도는 support.comono.com : Enabling Perfect Forward Secrecy페이지에 아파치와 Nginx 에서 DH Parameters 를 설정하는 방법이 기술 되어 있다.

Cipher Suites

ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

DH Parameters

Append the DH parameter file generated using OpenSSL to your certificate (crt file).
OpenSSL을 사용하여 생성 된 DH 매개 변수 파일을 인증서 (crt 파일)에 추가하십시오.

Note: while there is configuration option named tune.ssl.default-dh-param to set the maximum size of primes used for DHE, placing custom parameters in your certificate file overrides it.
참고 : DHE에 사용되는 소수의 최대 크기를 설정하려면 tune.ssl.default-dh-param이라는 구성 옵션이 있지만 인증서 파일에 사용자 지정 매개 변수를 추가하면 이를 재정의합니다.

Reload configuration
구성 다시로드

Comodo SSL

# dhpram.pem 생성
openssl dhparam -out dhparam.pem 2048


반응형