certbot이있는 HTTP2, apache2

Question

apache2 및 certbot-auto로 HTTP2를 설정하는 것이 좋습니다. 사실 HTTP2 + Apache2 +와 함께 작동하는 다른 서버가 있습니다. letsencrypt cert를 사용하면 HTTP2가이 서버에서 완벽하게 작동합니다. 나는 두 서버에서이 있습니다

openssl dhparam -out /etc/ssl/private/dhparams_4096.pem 4096 

다시 시작 아파치, 동일한 문제, 서버 1이 작동하고, 서버 (2) 번호 :

SSLHonorCipherOrder  on 

SSLProtocol    all -SSLv3 
SSLCipherSuite   ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS 

SSLOpenSSLConfCmd DHParameters "/etc/ssl/private/dhparams_4096.pem" 

나는 모두와 키를 dhparams 재생성하는 tryed. 내가 함께 테스트하는 경우

Server negotiated HTTP/2 with blacklisted suite 

는 :

내가 크롬이 ssllabs.com에

, FF, ... 작업 서버에서

openssl s_client -host 127.0.0.1 -port 443 

내가 가진 :

Server Temp Key: ECDH, P-256, 256 bits 
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256 

작동하지 않는 서버에서 :

Server Temp Key: DH, 4096 bits 
Cipher : DHE-RSA-AES128-GCM-SHA256 

작동하는 데 ECDH 키가 있어야한다는 것을 알고 있지만 모든 서버가 정확히 동일한 구성을 가지고 있기 때문에 왜 작동하지 않는지 알 수 없습니다!

나는 항상 certbot-auto --apache -d mydomain.com을 사용하여 cert를 생성합니다. 두 번째 서버가 아닌 첫 번째 서버에서 HTTP2로 작업합니다 (오류가 적절하지 않은 보안 오류 및 http1.1로 대체).

도와 주시겠습니까? 나는 apache2와 SSL/HTTP2로 작동하는 설정을 원한다. 나는 아주 오래된 브라우저 호환성이 필요 없다. 아니면 당신이 아주 잘 작동 튜토리얼을 알고 있다면.

아파치 2.4.25 및 두 서버 모두에서 ssl 1.0.2k를 엽니 다.

Answer 1

정확히 같은 컴파일 플래그로 아파치 2.4.25가 등장했습니다. 이제 작동합니다! 어쩌면 일부 암호화 라이브러리가 새로운 openssl 전에 컴파일되었을 수도 있습니다. 나는 젠투하고있다.