我有一个用作 NTP 服务器的 Debian 系统。它查询互联网上的几台服务器,还有一个带有 PPS 输出的 GPS 接收器,用于精确计时。
如果我不使用 GPS 接收器,NTP 会逐渐将轮询间隔从初始间隔 64 秒增加到默认最大值 1024 秒,通常在一两个小时内。这是正常行为,通常被认为是礼貌的,因为它最大限度地减少了对 Internet 服务器的查询量,同时仍保持本地时钟同步。
但是,当我连接 GPS 接收器并向文件添加适当的行以ntp.conf允许 NTP 将其用作源时,行为会发生变化:即使我没有更改serverInternet 服务器的任何单个条目,它们的轮询间隔也会发生变化不会增加并且即使在几天过去后仍保持固定在 64 秒。
PPS 信号使本地时钟保持良好的纪律(ntpq -p报告偏移量为 0.000 毫秒,抖动为 0.002 毫秒,所有互联网服务器都在大约 2 毫秒内),而计数代码ntpq -p确认 PPS 纪律并显示,如预期的那样大多数互联网服务器被选为“真实嵌合体”,而偶尔也会有一些异常值。
简而言之:一切似乎都按预期正常工作,但 Internet 服务器的轮询间隔没有增加。为什么不?
我可以手动强制延长轮询间隔,例如,minpoll 10在serverInternet 服务器的行中,但我更希望在启用 PPS 时让 NTP 自动管理 Internet 服务器的轮询间隔,就像在 PPS 时一样未使用。
我现在有NTP设置与检查PPS驱动程序minpoll和maxpoll的4(16秒)。但是,我已经在没有强制minpoll或maxpoll任何server行的情况下测试了配置,包括 PPS …
我在 Ubuntu 14.04(“Trusty”)服务器上运行 Apache 2.4.7。Ubuntu 特定的包标识符是“2.4.7-1ubuntu4.1”。
如果没有明确指定 DH/ECDH 参数(见下文),Apache 使用来自RFC 3526的标准 DH 参数进行离散对数 DH。参数的长度与RSA公钥的长度匹配(例如2048位RSA密钥得到2048位DH参数,4096位RSA密钥得到4096位DH参数等)。
无论 RSA 或 ECDSA 公钥的大小如何,似乎只有 NIST P-256 cuve 用于 ECDH。
在Apache文档指出,除了网站的SSL证书,可以手动将引用的文件中指定DH或ECDH参数SSLCertificateFile在站点的配置文件指令。
文档中相关条目的确切文本是:
其他可选元素是 DH 参数和/或临时密钥的 EC 曲线名称,分别由
openssl dhparam和生成openssl ecparam(在 2.4.7 或更高版本中支持)以及最终实体证书的私钥。
但是,Apache 似乎只读取以这种方式声明的第一个 DH 和第一个 ECDH 参数。忽略该文件中声明的其他参数集。
是否可以声明多组参数,以便客户可以选择将哪一组用于 DH/ECDH?
具体来说,我想为 ECDH 声明多个可接受的椭圆曲线。
例如,secp256r1出于兼容性原因,我希望有可用的,但也提供secp384r1和secp521r1支持此类曲线的客户。
此外,为旧客户端提供 1024 位 DH 参数会很好,但为支持更长质数的新客户端提供 2048 位或更高的参数。
是否可以声明多组 DH 和 ECDH 参数而我只是遗漏了一些东西,或者是否只能分别明确声明一组 DH 和 ECDH 参数?