我build立并安装了openssl 1.0.1。 我如何强制Apache使用TLS 1.2密码?
TLS 1.2包含在这两个文件中;
http://tools.ietf.org/html/rfc5246
http://tools.ietf.org/html/rfc6176
基本上后者文档是禁止SSL 2.0由TLS1.2协商,这是Fedora附带的httpd 2.2默认; 例如SSLProtocol all -SSLv2
然而,你的问题是关于这些文档中也包含的CipherSuites。 从外观上看,TLS 1.2的唯一强制密码套件是TLS_RSA_WITH_AES_128_CBC_SHA
Appendix C. Cipher Suite Definitions Cipher Suite Key Cipher Mac Exchange TLS_RSA_WITH_AES_128_CBC_SHA RSA AES_128_CBC SHA
这表示服务器必须提供用于密钥交换的RSA证书,并且密码应该是AES_128_CBC和Mac SHA。
从httpd mod_ssl文档,这转化为;
SSLCipherSuite aRSA:kRSA:AES128-CBC:SHA
这是在这里logging;
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslciphersuite