HTTP2，Apache2和certbot

Question

我正在嘗試使用apache2和certbot-auto來設置HTTP2，事實是我有另一個使用HTTP2 + Apache2 +的具有letencrypt cert的工作服務器，HTTP2在此服務器上運行良好。 我在兩個服務器上都有這個：

SSLHonorCipherOrder     on

SSLProtocol             all -SSLv3
SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

SSLOpenSSLConfCmd DHParameters "/etc/ssl/private/dhparams_4096.pem"

我試圖用以下命令重新生成兩個dhparams鍵：

openssl dhparam -out /etc/ssl/private/dhparams_4096.pem 4096

重新啟動apache，同樣的問題，服務器1正在工作，服務器2沒有。

在ssllabs.com上，我使用的是chrome，FF，...：

Server negotiated HTTP/2 with blacklisted suite

如果我測試：

openssl s_client -host 127.0.0.1 -port 443

在工作的服務器上，我有：

Server Temp Key: ECDH, P-256, 256 bits
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256

在無法正常工作的服務器上：

Server Temp Key: DH, 4096 bits
Cipher    : DHE-RSA-AES128-GCM-SHA256

我知道它應該是ECDH密鑰，但是我不知道為什么它不起作用，因為所有服務器都具有完全相同的配置！

我總是使用：certbot-auto --apache -d mydomain.com生成證書，我在第一台服務器上使用HTTP2，而不是在第二台服務器上使用（錯誤安全性不足，並且回退到http1.1）

你能幫助我嗎 ？ 我想要使​​用apache2和SSL / HTTP2的有效配置，我不需要非常舊的瀏覽器兼容性。 或者，如果您知道一個很好的工作教程可以做到這一點。

兩台服務器上均使用Apache 2.4.25和ssl 1.0.2k。

Answer 1

我剛剛（重新）出現了帶有完全相同的編譯標志的Apache 2.4.25，它現在可以工作了！ 也許一些密碼庫是在較新的openssl之前編譯的。 我在gentoo上。