我正在尝试使用FIPS模块(2.0.12)从源代码编译OpenSSL(1.0.2h),其中我需要另外限制所有ECDHE,DHE,DSA,DES和DH密码以及TLSV1和TLSV1.1协议。以下是我所做的步骤:
> root@cc3:/home/openssl#wget https://openssl.org/source/openssl-1.0.2h.tar.gz
> root@cc3:/home/openssl#wget https://openssl.org/source/openssl-fips-2.0.12.tar.gz
> root@cc3:/home/openssl#tar -xvf openssl-fips-2.0.12.tar.gz
> root@cc3:/home/openssl#tar -xvf openssl-1.0.2h.tar.gz
> root@cc3:/home/openssl#cd openssl-fips-2.0.12 && ./config -d && make && make install
> root@cc3:/home/openssl#cd /openssl-1.0.2h && ./config no-ssl2 no-ssl3
no-tls1 no-ecdhe no-dsa no-des no-dh --prefix=/home/openssl/local fips
&& make depend && make && make install
完成上述步骤后,openssl编译成功,我可以从/ home / openssl / local / bin访问它。但是,在检查可用密码列表时,我仍然可以在列表中看到ECDHE,DHE,DHA等,我甚至可以使用它们和TLSV1协议连接到使用s_client的任何网站。关键是配置OpenSSL的标志对我不起作用。
任何人都可以帮我弄清楚我在这里错过了什么?我做错了什么,如果是,那么可以做些什么来解决问题,以便密码套件和旧的TLS协议受到限制?我使用提供的方法here来获取config的所有可能参数的列表。
另外,有没有办法选择性地限制AES和RSA密码?例如,有没有办法禁用AES256-SHA但保持打开AES128-SHA?
谢谢!