Apache httpd でランダムに生成された 2048 ビットの Diffie-Hellman グループを使用する方法
Environment
- Red Hat Enterprise Linux (RHEL)
- httpd
- mod_ssl
- openssl
Issue
- カスタム DH パラメーターを指定するにはどうすればよいですか?
- 独自にランダムに生成された 2048 ビットの Diffie-Hellman グループを使用するようにサーバーを設定するにはどうすればよいですか?
- Apache httpd で "The server is using the following commonly used Diffie-Hellman primes" と報告される脆弱性を解消するにはどうすればよいですか?
Resolution
-
次のコマンドを実行して、2048 ビットの Diffie-Hellman グループファイルを生成します。
$ openssl dhparam -out dhparams.pem 2048 -
新しいバージョンの Apache (2.4.8 以降から 2.4.51 まで) および OpenSSL 1.0.2 以降では、
/etc/httpd/conf.d/ssl.conf(およびセキュアな VirtualHost を定義するカスタムファイル) で次のようにDHParametersファイルを指定します。 注意: このメソッドは ASF BZ-65764 により 2.4.52 以降ではサポートされなくなりました。SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}" -
古いバージョンの Apache (< 2.4.8) as well as latest (> 2.4.52) で、生成された
DHparamsを証明書ファイルの末尾に追加します。$ cat dhparam.pem >> certificate.pem -
httpd を再起動すると、
/etc/httpd/conf.d/ssl.confでログレベルがdebugに設定されている場合は次のメッセージが記録されます。[Mon Jun 01 14:50:59 2015] [debug] ssl_engine_init.c(987): Custom DH parameters (2048 bits) for 127.0.0.1:443 loaded from /path/to/your/certfile.crtログレベルの設定の詳細は How to modify Apache httpd logging を参照してください。
Root Cause
Diagnostic Steps
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments