您正在使用错误的密钥
openssl genrsa -out ca-key.pem 4096
您需要使用ecparam
openssl ecparam -name secp521r1 -out ca-key.pem -genkey
和
openssl ecparam -name secp521r1 -out client-key.pem -genkey
genrsa生成一个RSA密钥,该密钥与ECDHE一起使用时可对椭圆曲线Diffie Hellman密钥交换(ECDHE)进行身份验证。
ECDHE-ECDSA-AES128-GCM-
SHA256中的ECDSA意味着您需要椭圆曲线数字签名算法来验证该密钥。因为您没有那种键,所以命令失败。但是,ECDHE-RSA-AES256-GCM-
SHA384可以工作,因为它使用了您拥有的RSA密钥。
之所以会得到sha384,是因为openssl选择了最强大的密码套件,并且所有相等的事物sha384比sha256更好。您可以覆盖它,就像您使用那样
--cipher。
请注意,您可能要使用其他曲线。您可以通过以下方式获取完整列表
openssl ecparam -list_curves
出于好奇,为什么要使用特定的密码套件?ECDHE和ECDSA是最先进的技术,但是sha256只是标准的,AES
128当然足够好,如果人们对ECDHE和ECDSA表示出谨慎的态度,则倾向于使用256。
