如何使用讨厌的diffie-hellmen算法为服务器生成证书或密钥库

Question

我想创建证书使用匿名diffie Hellman算法，因为需要创建HTTPS web服务，没有身份验证来执行。需要帮助如何为服务器配置证书，以及设置tomcat服务器的步骤。

Answer 1

根据定义，匿名DH密码套件不需要任何一方的身份验证。因此，他们根本不使用证书。在这种情况下，您不需要设置密钥库。为匿名DH创建证书没有任何意义。

(实际上，当您不使用匿名DH密码套件时，缺少密钥库是导致出现"no cipher suites in common“消息的原因之一，默认情况下，匿名DH密码套件被合理地禁用。)

如果您想使用匿名DH密码套件，则需要配置密码套件(请参阅list of cipher suites disabled by default中带有anon的名称)。

请注意，默认情况下禁用它们的原因很充分:它们使连接容易受到MITM攻击。如果您希望连接是安全的，则至少应该始终让客户端验证服务器的身份(通过在服务器上配置证书)。