¿Puede alguien indicarme que use los comandos de OpenSSL correctos para usar un determinado conjunto de cifrado? Por ejemplo, DHE-RSA-AES256-GCM-SHA384 (no estoy usando la suite ECDH debido a supuestas controversias / problemas de backback de la NSA). Como lo usaré en una red interna, me atendré a TLSv1.2 (usará Firefox 39.0 portable).
- intercambio de claves = Diffie-Hellman Efímero
- autenticación = RSA
- cifrado = AESGCM (256)
- Código de autenticación de mensaje = AEAD
(lo que las partes anteriores entran en juego en los comandos de openssl para generar clave y cert)
-
Crea tu propia clave de CA raíz y certificado:
- openssl genpkey -algorithm DH -out rootca.key ....
- openssl req -x509 -new -SHA512 -nodes -key rootca.key -days 1826 -out rootca.crt
-
Crear CSR.
- openssl req -new -SHA512 -key server.key -nodes -out server.csr
-
Cree la clave FQDN y cert con su propia CA raíz. (creó una cuenta DynDNS para que la prueba Qualys SSL la haya probado)
- openssl x509 -req -SHA512 -days 1826 -in server.csr -CA rootca.crt -CAkey rootca.key -CAcreateserial -out server.crt
parte de /etc/nginx/nginx.conf:
ssl_protocols TLSv1.2;
ssl_ciphers "DHE-RSA-AES256-GCM-SHA384";
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
utilizando:
- OpenSSL 1.0.1k
- Nginx 1.6.2
- Debian 8.1