如何在路由器（用於 Nginx）上獲取 IETF RFC7919 推薦的 DH 參數文件？

根據Mozilla 伺服器端 TLS 應該使用預定義的 DH 組ffdhe2048，ffdhe3072或者ffdhe4096由 IETF 在RFC 7919中推薦。

我的路由器正在執行 Nginx（和 Linux），因此ssl_dhparam應該設置。

沒有 gnutls 包

但是，路由器的（Entware-NG）包管理系統缺少系統管理員 Adamgnutls建議安裝的包。

DH 參數文件

在通過 SSH 執行 padavan（openwrt 派生）分發的路由器上獲取 DH 參數文件的簡單方法是什麼？

以下是 2048（中）和 3072（高）DH 參數的一些可複制和可粘貼的 shell one 襯墊。

Ffdhe2048（推薦兼容性）

$ { echo -----BEGIN\ DH\ PARAMETERS-----; echo MIIBDAKCAQEA//////////+t+FRYortKmq/cViAnPTzx2LnFg84tNpWp4TZBFGQz; echo +8yTnc4kmz75fS/jY2MMddj2gbICrsRhetPfHtXV/WVhJDP1H18GbtCFY2VVPe0a;echo 87VXE15/V8k1mE8McODmi3fipona8+/och3xWKE2rec1MKzKT0g6eXq8CrGCsyT7; echo YdEIqUuyyOP7uWrat2DX9GgdT0Kj3jlN9K5W7edjcrsZCwenyO4KbXCeAvzhzffi; echo 7MA0BM0oNC9hkXL+nOmFg/+OTxIy7vKBg8P+OxtMb61zO7X8vC7CIAXFjvGDfRaD; echo ssbzSibBsu/6iGtCOGEoXJf//////////wIBAgICAQA=; echo -----END\ DH\ PARAMETERS-----;  } > /opt/etc/nginx/ssl/dhparam_2048.pem && chmod 600 /opt/etc/nginx/ssl/dhparam_2048.pem

在 nginx.conf 中，當它不存在時，添加：

ssl_dhparam          ssl/dhparam_2048.pem;

或者使用 ffdhe3072

$ { echo -----BEGIN\ DH\ PARAMETERS-----; echo MIIBjAKCAYEA//////////+t+FRYortKmq/cViAnPTzx2LnFg84tNpWp4TZBFGQz; echo +8yTnc4kmz75fS/jY2MMddj2gbICrsRhetPfHtXV/WVhJDP1H18GbtCFY2VVPe0a; echo 87VXE15/V8k1mE8McODmi3fipona8+/och3xWKE2rec1MKzKT0g6eXq8CrGCsyT7; echo YdEIqUuyyOP7uWrat2DX9GgdT0Kj3jlN9K5W7edjcrsZCwenyO4KbXCeAvzhzffi; echo 7MA0BM0oNC9hkXL+nOmFg/+OTxIy7vKBg8P+OxtMb61zO7X8vC7CIAXFjvGDfRaD; echo ssbzSibBsu/6iGtCOGEfz9zeNVs7ZRkDW7w09N75nAI4YbRvydbmyQd62R0mkff3; echo 7lmMsPrBhtkcrv4TCYUTknC0EwyTvEN5RPT9RFLi103TZPLiHnH1S/9croKrnJ32; echo nuhtK8UiNjoNq8Uhl5sN6todv5pC1cRITgq80Gv6U93vPBsg7j/VnXwl5B0rZsYu; echo N///////////AgECAgIBFA==; echo -----END\ DH\ PARAMETERS-----;  } > /opt/etc/nginx/ssl/dhparam_3072.pem && chmod 600 /opt/etc/nginx/ssl/dhparam_3072.pem

在 nginx.conf 中，當它不存在時，添加：

ssl_dhparam          ssl/dhparam_3072.pem;

引用自：https://unix.stackexchange.com/questions/430212