apache - HTTP2、apache2、带 certbot

Question

我正在尝试使用 apache2 和 certbot-auto 设置 HTTP2，事实是我有另一个使用 HTTP2+ Apache2 + 和 letsencrypt 证书的工作服务器，HTTP2 在这个服务器上运行良好。我在两台服务器上都有这个:

SSLHonorCipherOrder     on

SSLProtocol             all -SSLv3
SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

SSLOpenSSLConfCmd DHParameters "/etc/ssl/private/dhparams_4096.pem"

我尝试重新生成两个 dhparams key :

openssl dhparam -out /etc/ssl/private/dhparams_4096.pem 4096

重新启动apache，同样的问题，服务器1在工作，服务器2没有。

在 ssllabs.com 上我有 chrome，FF，......:

Server negotiated HTTP/2 with blacklisted suite

如果我测试:

openssl s_client -host 127.0.0.1 -port 443

在我的工作服务器上:

Server Temp Key: ECDH, P-256, 256 bits
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256

在不工作的服务器上:

Server Temp Key: DH, 4096 bits
Cipher    : DHE-RSA-AES128-GCM-SHA256

我知道它应该是一个 ECDH key 才能工作，但我不知道为什么它不能工作，因为所有服务器都具有完全相同的配置!

我总是使用:certbot-auto --apache -d mydomain.com 来生成证书，我在第一台服务器上使用 HTTP2，而不是在第二台服务器上使用(错误安全性不足，并回退到 http1.1)

你能帮帮我吗？我想要一个使用 apache2 和 SSL/HTTP2 的工作配置，我不需要非常旧的浏览器兼容性。或者，如果您知道一个非常好的工作教程可以做到这一点。

Apache 2.4.25 并在两台服务器上打开 ssl 1.0.2k。

Answer 1

我刚刚(重新)出现了具有完全相同的编译标志的 apache 2.4.25，它现在可以工作了!也许一些密码库是在较新的 openssl 之前编译的。我在 gentoo 上。