Como parte da versão 11.6.3, o suporte para Cipher Suites usando Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) foi adicionado para as seguintes trocas de chaves, o que é uma melhoria significativa na disponibilidade de cifra existente:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Com essas alterações, agora é possível usar chaves de Curva Elíptica (EC). Porém, alterar um certificado Receptor para usar uma chave EC implica que todas as conexões criptografadas para esse Receptor devem usar chaves EC. Ao fazer isso, a compatibilidade com versões anteriores pode ser perdida, causando a interrupção da coleta de dados para os clientes.
Execute as seguintes etapas:
- Para ativar as chaves EC:
- ssh para o receptor como root.
- Crie um diretório para fazer backup da configuração atual usando o seguinte comando:
mkdir /root/SSLBackup
- Faça backup do certificado e da chave existentes usando o comando abaixo:
cp -a /etc/NitroGuard/SSL.* /root/SSLBackup/
- Faça backup do script de criação do certificado usando o comando abaixo:
cp -a /usr/local/bin/nasgencrt /root/SSLBackup/
- Edite o script de criação de certificado para criar chaves EC:
sed -i 's/rsa:$req_bits/ec -pkeyopt ec_paramgen_curve:secp521r1/g' /usr/local/bin/nasgencrt
- Execute o script de criação do certificado:
/usr/local/bin/nasgencrt
- Por fim, reinicie todos os coletores ou reinicie o Receptor.
- Para retornar às chaves RSA:
- Restaure seu script de criação de certificado de backup usando o seguinte comando:
cp -a /root/SSLBackup/nasgencrt /usr/local/bin/nasgencrt
- Restaure seus certificados SSL de backup usando o comando abaixo:
cp -a /root/SSLBackup/SSL.* /etc/NitroGuard/
NOTA: As etapas acima não precisam ser concluídas em todos os Receptores, apenas naqueles em que você deseja mudar para usar exclusivamente cifras baseadas em chave EC.