问题
之前能正常运行openvpn的Debian server,在Debian从版本9升级到版本10之后不能正常启动了。手工运行发现如下报错信息:
|
1 2 3 |
... OpenSSL: error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small |
这应该如何解决?
分析与解决
通过搜索发现其实是新版本的OpenSSL对于老旧的长度不够长的DH key会拒绝使用,有两种方式可以生效。一种是重新生成2048bit的DH key。另一个方法是在/etc/ssl/openssl.cnf中注释掉这一行
|
1 2 3 |
... #CipherString = DEFAULT@SECLEVEL=2 |