具有新SSL证书的Java错误的1024位DH参数

我使用一个运行EZProxy软件的服务器，这是一个类似Apache的服务器，代理web活动，学院图书馆通常使用它来验证校外用户对图书馆资源的身份。对于我所在的机构，EZProxy作为一个伪CAS服务器运行，用于运行DSpace的独立服务器，DSpace是一个基于Java的文档存储库软件。用户使用EZproxy向DSpace进行身份验证，EZproxy以类似CAS的方式将身份验证信息传递给DSpace客户端

我们之前在设置中遇到了一个问题，我们发现这个问题与使用大于1024位编码的证书有关，我们通过生成DH参数并将其附加到证书和中介来解决这个问题，这非常有效。现在我们有了一个新的安全证书。我安装了新的证书，使用

openssl dhparam 1024

正如我之前所做的那样，将DH参数附加到新安装的证书中，并重新启动EZProxy服务器。但是，当我激活新证书和DH参数时，我在DSpace中得到了相同的错误：

javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate   
DH keypair

我想我需要更清楚地了解在握手过程中生成密钥对时会发生什么。是否可能在DSpace/Java服务器上缓存了某些内容？当我们以前解决这个问题时，我们的DSpace管理员多次重置了我们的CAS身份验证设置配置，我们将在非工作时间尝试，但我只是试图从概念上理解为什么这会产生影响

从外观上看，当设置这种握手时，服务器之间会传递一个共享的秘密，但是当我们第一次使用它时，我们从未在DSpace端安装任何东西-我们只是重置了几次身份验证配置

在初始设置EZProxy服务器作为CAS身份验证源时，DSpace服务器是否可能缓存来自DH参数的信息？我是否在生成DH参数并将其附加到证书中时出错？是否需要执行另一个步骤来清除附加到旧证书中的旧DH参数？为什么我不能在新证书中重用旧的DH参数？我试过了，同样的错误发生了——无法生成DH密钥对。但是，如果我将证书切换回旧证书（包括附加到x509证书和中介的旧DH密钥对），身份验证将再次工作

---

感谢您提供的任何故障排除建议

这已解决。解决方案是将DH参数直接附加到位于EZProxy应用程序的/ssl目录中的ssl证书文件中，并将其附加到出现在EZProxy Admin中Manage ssl下的证书中。将参数附加到证书时，请找到活动证书的编号（例如，00000015.crt，并添加参数，其中必须包括开始DH参数和结束DH参数行。保存并重新启动EZProxy，您应该可以开始了。

要将其标记为解决方案，请单击左侧的勾号，使其变为绿色。