Openvpn
OpenVPN 禁用 DH
我正在閱讀有關如何設置和配置 OpenVPN 伺服器的教程。我注意到了一些我在其他任何地方都沒有見過的東西:
;dh dh2048.pem dh none
為什麼DH被禁用?優缺點都有什麼?
萬一這很重要,這裡是與密碼學相關的其餘配置:
tls-crypt ta.key cipher AES-256-GCM auth SHA512
他們在指南中正確回答:
接下來,找到包含 dh 指令的行,該指令定義了 Diffie-Hellman 參數。由於我們已將所有證書配置為使用橢圓曲線密碼術,因此不需要 Diffie-Hellman 種子文件。
OpenVPN 的手冊說類似的話:
–dh file 包含 .pem 格式的 Diffie Hellman 參數的文件(僅 –tls-server 需要)。設置 file=none 以禁用 Diffie Hellman 密鑰交換(並且僅使用 ECDH)。請注意,這要求對等方使用支持 ECDH TLS 密碼套件(例如 OpenSSL 1.0.1+ 或 mbed TLS 2.0+)的 SSL 庫。
對於指南告訴您使用的證書類型,不需要 Diffie-Hellman 參數。