Dans le cadre de la version 11.6.3, la prise en charge des suites de chiffrement utilisant Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) a été ajoutée pour les échanges de clés suivants, ce qui représente une amélioration significative par rapport à la disponibilité de chiffrement existante :
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Avec ces modifications, il est désormais possible d'utiliser les touches de courbe elliptique (EC). Toutefois, la modification d'un certificat de récepteur pour utiliser une clé EC implique que toutes les connexions chiffrées à ce récepteur doivent utiliser des clés EC. Ce faisant, la rétrocompatibilité peut être perdue, entraînant une interruption de la collecte de données pour les clients.
Procédez comme suit :
- Pour activer les clés EC :
- ssh au récepteur en tant que root.
- Créez un répertoire pour sauvegarder la configuration actuelle à l'aide de la commande suivante :
mkdir /root/SSLBackup
- Sauvegardez le certificat et la clé existants à l'aide de la commande ci-dessous :
cp -a /etc/NitroGuard/SSL.* /root/SSLBackup/
- Sauvegardez le script de création de certificat à l'aide de la commande ci-dessous :
cp -a /usr/local/bin/nasgencrt /root/SSLBackup/
- Modifiez le script de création de certificat pour créer des clés EC :
sed -i 's/rsa:$req_bits/ec -pkeyopt ec_paramgen_curve:secp521r1/g' /usr/local/bin/nasgencrt
- Exécutez le script de création de certificat :
/usr/local/bin/nasgencrt
- Enfin, redémarrez tous les collecteurs ou redémarrez le récepteur.
- Pour revenir aux clés RSA :
- Restaurez votre script de création de certificat de sauvegarde à l'aide de la commande suivante :
cp -a /root/SSLBackup/nasgencrt /usr/local/bin/nasgencrt
- Restaurez vos certificats SSL de sauvegarde à l'aide de la commande ci-dessous :
cp -a /root/SSLBackup/SSL.* /etc/NitroGuard/
REMARQUE : Les étapes ci-dessus n'ont pas besoin d'être effectuées sur tous les récepteurs, uniquement sur ceux pour lesquels vous souhaitez passer à l'utilisation exclusive de chiffrements basés sur la clé EC.