<div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Oct 25, 2019 at 8:50 PM Matt Caswell <<a href="mailto:matt@openssl.org">matt@openssl.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
On 25/10/2019 09:39, Viktor Dukhovni wrote:<br>
> On Fri, Oct 25, 2019 at 03:33:43PM +0800, John Jiang wrote:<br>
> <br>
>> I'm using OpenSSL 1.1.1d.<br>
>> Just want to confirm if DHE_DSS cipher suites are not supported by this<br>
>> version.<br>
> <br>
> They are supported, but:<br>
> <br>
>     * DSS ciphersuites are disabled by DEFAULT.  You need to<br>
>       specify an explicit "-cipher" option to enable these,<br>
>       for example:<br>
> <br>
>         $ openssl s_server -accept 12345 \<br>
>           -tls1_2 -cipher DHE-DSS-AES256-GCM-SHA384 \<br>
>           -dhparam dhparam.pem -key dsakey.pem -cert dsacert.pem<br>
> <br>
>       or more typically:<br>
> <br>
>       -cipher 'ALL:!RC4:!aNULL'<br>
> <br>
>     * You should also supply DH parameters as above:<br>
<br>
This step is optional. It will work just fine with default parameters if<br>
you don't specify them.<br></blockquote><div>I only add option -cipher to s_server. That works for me.<br></div><div>Thanks!<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Matt<br>
<br>
<br>
<br>
> <br>
>       -dhparam dhparam.pem<br>
> <br>
>       I generated these with:<br>
> <br>
>       $ openssl genpkey -genparam -algorithm dh \<br>
>           -pkeyopt dh_paramgen_prime_len:2048 -out dhparam.pem<br>
> <br>
</blockquote></div></div>