Red Hat Training

A Red Hat training course is available for RHEL 8

60.9. 在 Apache HTTP 服务器中设置支持的密码

默认情况下,RHEL 8 上的 Apache HTTP 服务器使用系统范围的加密策略来定义安全默认值,这些默认值与当前的浏览器兼容。有关系统范围加密允许的密码列表,请查看 /etc/crypto-policies/back-ends/openssl.config 文件。

这部分论述了如何手动配置 my_company.idm.example.com Apache HTTP 服务器支持的密码。如果您的环境需要特定的加密系统,请按照以下步骤操作。

先决条件

流程

  1. 编辑 /etc/httpd/conf/httpd.conf 文件,并将 SSLCipherSuite 参数添加到您要为其设置 TLS 密码的 <VirtualHost> 指令中

    SSLCipherSuite "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!SHA1:!SHA256"

    这个示例只启用 EECDH+AESGCMEDH+AESGCMAES256+EECDHAES256+EDH 密码,并禁用使用 SHA1 和 SHA 256 消息身份验证代码(MAC)的所有密码。

  2. 重启 httpd 服务:

    # systemctl restart httpd

验证步骤

  1. 显示 Apache HTTP 服务器支持的密码列表:

    1. 安装 nmap 软件包:

      # yum install nmap
    2. 使用 nmap 工具显示支持的加密:

      # nmap --script ssl-enum-ciphers -p 443 example.com
      ...
      PORT    STATE SERVICE
      443/tcp open  https
      | ssl-enum-ciphers:
      |   TLSv1.2:
      |     ciphers:
      |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
      |       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
      |       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
      ...

其它资源