IBM HTTP Server pour WebSphere Application Server, Version 6.1
             Systèmes d'exploitation : AIX, HP-UX, Linux, Solaris, Windows, z/OS

             Personnalisation de la table des matières et des résultats de la recherche

Directives SSL

Les directives SSL (Secure Sockets Layer) sont les paramètres de configuration qui contrôlent les fonctionnalités SSL dans IBM HTTP Server.

La plupart des directives SSL dans IBM HTTP Server ont le même comportement. Une directive spécifiée pour la configuration d'un hôte virtuel remplace une directive spécifiée dans la configuration d'un serveur de base. De même, une directive spécifiée pour un répertoire enfant remplace une directive spécifiée pour son répertoire parent. Il existe toutefois des exceptions.

Par exemple, si aucune directive n'est spécifiée pour un hôte virtuel, la directive spécifiée dans la configuration du serveur de base peut être copiée dans la configuration de l'hôte virtuel. Dans ce cas, la directive dans la configuration du serveur de base remplace la configuration de l'hôte virtuel.
Remarque : La directive SSLEnable ne doit pas être spécifiée dans la configuration du serveur de base si vous ne voulez pas qu'elle soit automatiquement copiée dans la configuration d'un hôte virtuel donné.

Par ailleurs, une directive spécifiée pour un répertoire enfant peut être ajoutée à la directive spécifiée pour son répertoire parent. Dans ce cas, la directive du répertoire parent ne remplace pas la directive du répertoire enfant, mais elle est ajoutée à celle-ci et l'une et l'autre s'appliquent au répertoire enfant.

La liste suivante contient les directives SSL pour IBM HTTP Server.

SSLOCSPResponderURL

Permet de vérifier les certificats client grâce à un répondeur OCSP (Online Certificate Status Protocol) configuré de manière statique.
Syntaxe

[AIX Solaris HP-UX Linux Windows] SSLOCSPResponderURL<URL>

Portée Hôte virtuel
Valeur par défaut Désactivée
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Plusieurs instances autorisées pour chacun des hôtes virtuels.
Valeurs URL qualifiée complète pointant sur un répondeur OCSP ; exemple : http://hostname:2560/. Il n'est pas fait usage de la partie chemin de l'URL lors de la soumission de demandes OCSP.
Si la directive SSLOCSPResponderURL est définie, IHS utilise l'URL indiquée pour vérifier la révocation éventuelle des certificats lorsqu'un certificate client SSLs est fourni.

Si la vérification CRL est configurée, cette vérification est effectuée avant les vérifications OCSP. Les vérifications OCSP n'interviennent que si le résultat de la vérification CRL est inconnu ou non concluant.

Si les directives SSLOCSPEnable et SSLOCSPResponderURL sont configurées toutes les deux, c'est le répondeur défini par SSLOCSPResponderURL qui est vérifié en premier. Si l'état de la révocation est inconnu ou peu concluant inconclusive, IHS vérifie les répondeurs OCSP de la manière expliquée ci-après pour SSLOCSPEnable.

SSLOCSPEnable

Permet la vérification des certificats client via les répondeurs OCSP définis dans l'extension AIA (Authority Information Access) de leur certificat.
Syntaxe

[AIX Solaris HP-UX Linux Windows] SSLOCSPEnable

Portée Hôte virtuel
Valeur par défaut Désactivée
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une seule instance autorisée pour chacun des hôtes virtuels.
Valeurs Néant
Si la directive SSLOCSPEnable est défini et qu'une chaîne de certificats client SSL contient une extension AIA, IHS contacte le répondeur OCSP indiqué par cette extension pour vérifier la révocation éventuelle du certificat. La partie chemin de l'URL est ignorée.

Si la vérification CRL est configurée, cette vérification est effectuée avant les vérifications OCSP. Les vérifications OCSP n'interviennent que si le résultat de la vérification CRL est inconnu ou non concluant.

Si les directives SSLOCSPEnable et SSLOCSPResponderURL sont configurées toutes les deux, c'est le répondeur défini par SSLOCSPResponderURL qui est vérifié en premier. Si l'état de la révocation est inconnu ou peu concluant inconclusive, IHS vérifie les répondeurs OCSP de la manière expliquée ci-après pour SSLOCSPEnable.

Directive Keyfile

La directive keyfile définit le fichier de clés à utiliser.
Remarque : Cette directive peut être remplacée par la configuration du serveur de base.
Syntaxe
[AIX] [Solaris] [Linux] [Windows] Keyfile [/prompt] /chemin d'accès complet au fichier de clés/keyfile.kdb
[z/OS] Remarque : La fonction /prompt n'est prise en charge que lors de l'exécution à partir d'un interpréteur de commandes USS et non à partir d'un travail démarré depuis JCL. Si vous tentez d'utiliser la fonction /prompt à partir d'un travail démarré depuis JCL, une erreur de configuration se produit.
[z/OS] Vous pouvez utiliser un fichier de clé stocké dans le système hiérarchique de fichiers ou dans le SAF (System Authorization Facility). Pour utiliser un fichier de clés stockés dans HFS :
  • Keyfile /chemin d'accès complet au fichier de clés/keyfile.kdb
Pour utiliser un fichier de clés stockés dans SAF :
  • Keyfile /saf WASKeyring
    Remarque : Avec des fichiers de clés SAF :
    • Il n'existe aucun fichier de dissimulation lors de l'utilisation de SAF et l'accès est contrôlé par les règles SAF. Par conséquent, si vous tentez d'utiliser l'argument Keyfile/prompt/saf, cet argument n'est pas pris en charge. Une tentative d'utilisation de cet argument se traduit par une erreur de configuration.
    • L'ID utilisé pour démarrer IBM HTTP Server doit bénéficier d'un accès au fichier de clés nommé dans cette directive. Si l'ID n'a pas d'accès, l'initialisation SSL échoue.
Portée Base globale et hôte virtuel
Valeur par défaut Néant
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global
Valeurs Nom du fichier de clés.

[AIX Solaris HP-UX Linux Windows] Utilisez l'option d'invite pour permettre au serveur HTTP de vous inviter à entrer le mot de passe du fichier de clés lors du démarrage.

[z/OS] La protection du système de fichier peut être utilisée pour limiter l'accès. Utilisez les fichiers de clés SAF (System Authorization Facility) pour limiter l'accès aux certificats SSL.

[z/OS] Important : Le système z/OS ne prend pas en charge les fichiers de base de données de clé créés sur d'autres plateformes. Les fichiers de base de données de clés utilisés pour les systèmes z/OS doivent être créés sur des plateformes z/OS.

La directive SSLAcceleratorDisable

La directive SSLAcceleratorDisable désactive l'unité d'accélérateur.
Syntaxe SSLAcceleratorDisable
Portée Virtuelle et globale
Valeur par défaut L'unité d'accélérateur est activée
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel.
Valeurs Aucun. Placez cette directive n'importe où dans le fichier de configuration, y compris à l'intérieur de l'hôte virtuel. Pendant l'initialisation, si le système détermine qu'une unité d'accélérateur est installée sur la machine, le système utilise cet accélérateur pour augmenter le nombre de transactions sécurisées. Cette directive n'accepte pas d'argument.

Directive SSLAllowNonCriticalBasicConstraints [AIX Solaris HP-UX Linux Windows]

La directive SSLAllowNonCriticalBasicConstraints permet une compatibilité avec un aspect de la spécification GPKI définie par le gouvernement japonais qui va à l'encontre de la norme RFC3280.
Syntaxe SSLAllowNonCriticalBasicConstraints on|off
Portée Serveur global ou hôte virtuel
Valeur par défaut Off
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global
Valeurs Aucun. Cette directive modifie le comportement de l'algorithme de validation de certificat, si bien que dans le cas d'une extension non critique des contraintes de base d'un certificat émis par une autorité de certification (CA), la validation n'échouera pas. Cela permet une compatibilité avec un aspect de la spécification GPKI définie par le gouvernement japonais qui va à l'encontre de la norme RFC3280.
Remarque : La norme RFC3280 spécifie que cette extension doit apparaître en tant qu'extension critique dans tous les certificats émis par des autorisés de certification qui contiennent des clés publiques utilisées pour valider les signatures numériques des certificats.

La directive SSLCacheDisable [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directive SSLCacheDisable désactive la mémoire cache des ID de session SSL externes.
Syntaxe SSLCacheDisable
Portée Un par instance de serveur Apache physique, autorisé uniquement en dehors des sections de l'hôte virtuel.
Valeur par défaut Néant
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Aucun.

La directive SSLCacheEnable [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directive SSLCacheEnable active la mémoire cache des ID de session SSL externes.
Syntaxe SSLCacheEnable
Portée Un par instance de serveur Apache physique, autorisé uniquement en dehors des sections de l'hôte virtuel.
Valeur par défaut Néant
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Aucun

La directive SSLCacheErrorLog [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directive SSLCacheErrorLog définit le nom du fichier pour la mise en cache des ID de session.
Syntaxe SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg
Portée Configuration du serveur en dehors de l'hôte virtuel.
Valeur par défaut Néant
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Nom de fichier valide.

La directive SSLCachePath [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directive SSLCachePath spécifie le chemin d'accès au démon de mise en cache des ID de session.
Syntaxe SSLCachePath /usr/HTTPServer/bin/sidd
Portée Configuration du serveur en dehors de l'hôte virtuel.
Valeur par défaut <racine-serveur>/bin/sidd
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Nom de chemin d'accès valide.

La directive SSLCachePortFilename [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directive SSLCachePortFilename définit le nom de fichier pour la socket de domaine UNIX utilisée pour communiquer entre les instances du serveur et le démon de la mémoire cache des ID de session. Vous devez définir cette directive si vous exécutez deux instances d'IBM HTTP Server à partir du même répertoire d'installation et si ces deux instances sont configurées pour SSL. Autrement, il n'est pas nécessaire de la définir.
Syntaxe SSLCachePath /usr/HTTPServer/logs/sidd
Portée Configuration du serveur en dehors de l'hôte virtuel.
Valeur par défaut Si cette directive n'est pas indiquée et que la mémoire cache est activée, le serveur tente d'utiliser le fichier <racine-serveur>/logs/siddport.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Nom de chemin d'accès valide. Le serveur Web supprime ce fichier au démarrage ; ne le nommez pas.

La directive SSLCacheTraceLog [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directive SSLCacheTraceLog spécifie le fichier dans lequel les messages de trace des ID de session sont écrits. Sans cette directive, la fonction de trace est désactivée.
Syntaxe SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log
Portée Configuration du serveur en dehors de l'hôte virtuel.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Nom de chemin d'accès valide.

La directive SSLCipherBan

La directive SSLCipherBan refuse l'accès à un objet si le client s'est connecté à l'aide de l'un des codes de chiffrement indiqués. La requête échoue avec un code d'état '403'.
Remarque : Cette directive, lorsqu'elle est spécifiée pour un répertoire enfant, ne remplace pas la directive spécifiée pour le répertoire parent. Au contraire, les deux directives sont appliquées au répertoire enfant.
Syntaxe SSLCipherBan <spécification_chiffrement>
Portée Plusieurs instances par section de répertoire.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé par section du répertoire. L'ordre de préférence est de haut en bas.
Valeurs Reportez-vous aux rubriques Spécifications de chiffrement de SSL version 2 et Spécifications de chiffrement de SSL version 3 et TLS version 1.

La directive SSLCipherRequire

La directive SSLCipherRequire limite l'accès aux objets aux clients qui se sont connectés à l'aide de l'un des codes de chiffrement spécifiés. Si l'accès est refusé, la requête échoue avec le code d'état '403'.
Remarque : Cette directive, lorsqu'elle est spécifiée pour un répertoire enfant, ne remplace pas la directive spécifiée pour le répertoire parent. Au contraire, les deux directives sont appliquées au répertoire enfant.
Syntaxe SSLCipherRequire <spécification_chiffrement>
Portée Plusieurs instances par section de répertoire.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé par section du répertoire.
Valeurs Reportez-vous aux rubriques Spécifications de chiffrement de SSL version 2 et Spécifications de chiffrement de SSL version 3 et TLS version 1.

La directive SSLCipherSpec

Si vous spécifiez des codes de chiffrement V3 ou TLS et non SSL V2, la prise en charge de SSL V2 est désactivée. De plus, si vous spécifiez des codes de chiffrement SSL V2 et non SSL V3 ou TLS, la prise en charge de SSL V3 et TLS est désactivée.
Syntaxe SSLCipherSpec nom abrégé ou SSLCipherSpec nom long
Portée Hôte virtuel.
Valeur par défaut Si rien n'est indiqué, le serveur utilise toutes les spécifications de chiffrement disponibles à partir de la bibliothèque GSK installée.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé. L'ordre de préférence est de haut en bas, du premier au dernier. Si le client ne prend pas en charge les spécifications de chiffrement, la connexion se ferme.
Valeurs Reportez-vous aux rubriques Spécifications de chiffrement de SSL version 2 et Spécifications de chiffrement de SSL version 3 et TLS version 1.

La directive SSLClientAuth

La directive SSLClientAuth définit le mode d'authentification client à utiliser (néant (0), facultatif (1), ou requis (2)).
Syntaxe SSLClientAuth <niveau requis> [crl]
Portée Hôte virtuel.
Valeur par défaut SSLClientAuth none
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel.
Valeurs
  • 0/None : Aucun certificat client requis.
  • 1/Optional : Certificat client demandé, mais pas requis.
  • 2/Required : Certificat client valide requis.
  • CRL : Active et désactive crl dans un hôte virtuel SSL. Si vous utilisez la liste CRL (Certificate Revocation List), vous devez indiquer crl comme deuxième argument pour SSLClientAuth. Par exemple : SSLClientAuth 2 crl. Si vous n'indiquez pas crl, vous ne pouvez pas effectuer une liste de retrait de certificats dans un hôte virtuel SSL.

Si vous indiquez la valeur 0/None, vous ne pouvez pas utiliser l'option CRL.

La directive SSLClientAuthGroup

La directive SSLClientAuthGroup définit un groupe d'expressions désigné contenant un ensemble de paires de valeurs et d'attributs de certificats clients spécifiques. Ce groupe désigné peut être utilisé par les directives SSLClientAuthRequire. Un certificat doit être fourni par le client, transmettant cette expression, pour que le serveur autorise l''accès à la ressource protégée.

Syntaxe SSLClientAuthGroup expression d'attribut du nom de groupe
Portée Configuration du serveur, hôte virtuel.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé.
Remplacer Aucun
Valeurs Une expression logique composée de vérifications d'attributs reliée par AND, OR, NOT, et les parenthèses. Par exemple :
SSLClientAuthGroup IBMpeople Org = IBM

Description des expression logiques valides. La section ci-après fournit une description d'exemples avec des expressions logiques valides. Par exemple : SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM signifie que l'objet n'est pas pris en charge, à moins que le certificat client ne contienne le nom commun Fred Smith ou John Deere et que l'organisation soit IBM. Les seules comparaisons valides pour les vérifications d'attributs sont égal et différent de (= et !=). Vous pouvez relier chaque vérification d'attribut avec AND, OR, ou NOT (également &&, ||, et !). Utilisez les parenthèses pour regrouper les comparaisons. Si la valeur de l'attribut contient un caractère non alphanumérique, vous devez délimiter la valeur avec des guillemets.

La liste suivante répertorie les valeurs d'attribut que vous pouvez spécifier pour cette directive :
Nom long Nom abrégé
CommonName CN
Pays C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
Localité L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

Le nom long ou le nom abrégé peut être utilisé dans cette directive.

L'utilisateur spécifie une expression logique des attributs de certificat client spécifique. Vous pouvez utiliser logiquement AND, OR ou NOT pour plusieurs expressions afin de spécifier le groupe souhaité de valeurs d'attributs de certificat client. Les opérateurs valides incluent '=' et '!='. Par exemple :
SSLClientAuthGroup IBMpeople Org = IBM 
ou
SSLClientAuthGroup NotMNIBM ST != MN && Org = IBM 

Un nom de groupe ne peut pas contenir d'espace. Pour plus d'informations, voir La directive SSLClientAuthRequire.

La directive SSLClientAuthRequire

La directive SSLClientAuthRequire spécifie des valeurs d'attribut, ou des groupes de valeurs d'attribut, qui doivent être validés par rapport à un certificat client pour que le serveur autorise l'accès à la ressource protégée.

Syntaxe expression d'attribut SSLClientAuthRequire
Portée Configuration du serveur, hôte virtuel.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé. La fonction relie ces directives par "AND".
Remplacer AuthConfig
Valeurs Une expression logique composée de vérifications d'attributs reliée par AND, OR, NOT, et les parenthèses. Par exemple :
SSLClientAuthRequire group != IBMpeople && ST = M

Si le certificat que vous avez reçu ne comporte pas d'attribut particulier, dans ce cas il n'y a pas de vérification de concordance des attributs. Même si la valeur correspondante spécifiée est " ", cela peut être différent de ne pas y avoir d'attribut du tout. Tout attribut spécifié dans la directive SSLClientAuthRequire qui n'est pas disponible sur le certificat, entraîne le rejet de la requête.

La liste suivante répertorie les valeurs d'attribut que vous pouvez spécifier pour cette directive :
Nom long Nom abrégé
CommonName CN
Pays C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
Localité L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

Le nom long ou le nom abrégé peut être utilisé dans cette directive.

L'utilisateur spécifie une expression logique des attributs de certificat client spécifique. Vous pouvez utiliser logiquement AND, OR ou NOT pour plusieurs expressions afin de spécifier le groupe souhaité de valeurs d'attributs de certificat client. Les opérateurs valides incluent '=' et '!='. L'utilisateur peut également spécifier un nom de groupe configuré à l'aide de La directive SSLClientAuthGroup pour configurer un groupe d'attributs.

Vous pouvez spécifier plusieurs directives SSLClientAuthRequire dans la même portée. Les expressions logiques pour chaque directive sont utilisées pour évaluer les droits d'accès de chaque certificat et les résultats des évaluations individuelles sont logiquement liées par ET (AND). Par exemple :
SSLClientAuthRequire (CommonName="John Doe" || StateOrProvince=MN) && Org !=IBM 
ou
SSLClientAuthRequire group!=IBMpeople && ST=MN
Vous pouvez placer les noms longs et abrégés entre guillemets. Par exemple :
SSLClientAuthRequire group != IBMpeople && "ST= MN"
Pour plus d'informations, voir La directive SSLClientAuthGroup.

La directive SSLCRLHostname

La directive SSLCRLHostname spécifie le nom ou l'adresse TCP/IP du serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).

Syntaxe <SSLCRLHostName <nom ou adresse TCP/IP>
Portée Serveur global ou hôte virtuel.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Nom ou adresse TCP/IP du serveur LDAP

Utilisez la directive SSLCRLHostname, conjointement aux directives SSLCRLPort, SSLCRLUserID et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).

Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives.

La directive SSLCRLPort

La directive SSLCRLPort spécifie le port du serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).

Syntaxe SSLCRL<port>
Portée Serveur global ou hôte virtuel.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Port du serveur LDAP par défaut = 389.

Utilisez la directive SSLCRLPort, conjointement aux directives SSLCRLUserID, SSLCRLHostname et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).

Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..

La directive SSLCRLUserID

La directive SSLCRLUserID spécifie l'ID utilisateur à envoyer au serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).

Syntaxe SSLCRLUserID <[message] <IDutil>
Portée Serveur global ou hôte virtuel.
Valeur par défaut La valeur par défaut est anonyme si un ID utilisateur n'est pas indiqué.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs ID utilisateur du serveur LDAP. Utilisez l'option d'invite pour permettre au serveur HTTP de vous inviter à entrer le mot de passe requis pour accéder au serveur LDAP lors du démarrage.

Utilisez la directive SSLCRLUserID, conjointement aux directives SSLCRLPort, SSLCRLHostname et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).

Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..

La directive SSLDisable

La directive SSLDisable désactive SSL pour l'hôte virtuel.
Syntaxe SSLDisable
Portée Serveur global ou hôte virtuel.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Aucun

La directive SSLEnable

La directive SSLEnable active SSL pour l'hôte virtuel.
Remarque : Cette directive ne doit pas être spécifiée dans la configuration du serveur de base si vous ne voulez pas qu'elle soit automatiquement copiée dans la configuration d'un hôte virtuel donné.
Syntaxe SSLEnable
Portée Serveur global ou hôte virtuel.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Aucun

La directive SSLFakeBasicAuth

La directive SSLFakeBasicAuth active la prise en charge de l'authentification factice de base.

La prise en charge permet au nom distinctif du certificat client de devenir la partie utilisateur de la combinaison utilisateur et mot de passe utilisée pour l'authentification de base. Utilisez password comme mot de passe.
Remarque : Cette directive peut être remplacée par la configuration du serveur de base.
Syntaxe SSLFakeBasicAuth
Portée Au sein d'une section de répertoire, utilisée avec AuthName, AuthType, et les directives requises.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par section du répertoire.
Valeurs Aucun

La directive SSLFIPSDisable [AIX Solaris HP-UX Linux Windows]

La directive SSLFIPSDisable désactive les normes FIPS (Federal Information Processing Standards).
Syntaxe SSLFIPSDisable
Portée Virtuelle et globale.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Aucun

La directive SSLFIPSEnable [AIX Solaris HP-UX Linux Windows]

La directive SSLFIPSEnable active les normes FIPS (Federal Information Processing Standards).
Syntaxe SSLFIPSEnable
Portée Virtuelle et globale.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Aucun

La directive SSLPKCSDriver [AIX Solaris HP-UX Linux Windows]

La directive SSLPKCSDriver identifie le nom qualifié complet au module ou le pilote utilisé pour accéder à l'unité PKCS11.

Syntaxe Nom qualifié complet au module utilisé pour accéder à l'unité PKCS11>. Si le module existe dans le chemin d'accès de l'utilisateur, indiquez uniquement le nom du module.
Portée Serveur global ou hôte virtuel.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Chemin d'accès et nom du pilote ou du module PKCS11.
Voici les emplacements des modules par défaut pour chaque unité PKCS11, plateforme :
  • nCipher
    • AIX : /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP : /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Solaris : /opt/nfast/toolkits/pkcs11/libcknfast.so
    • Windows : C:\nfast\toolkits\pkcs11\cknfast.dll
  • IBM 4758
    • AIX : /usr/lib/pkcs11/PKCS11_API.so
    • Windows : $PKCS11_HOME\bin\nt\cryptoki.dll
  • IBM e-business Cryptographic Accelerator
    • AIX : /usr/lib/pkcs11/PKCS11_API.so

Directive SSLProtocolDisable [AIX Solaris HP-UX Linux Windows]

La directive SSLProtocolDisable vous permet de spécifier un ou plusieurs protocoles SSL qui ne peuvent pas être utilisés par le client pour un hôte virtuel donné. Cette directive doit être située dans un conteneur <HôteVirtuel>.

Les protocoles pris en charge pour un hôte virtuel le sont de façon indépendante. Si tous les protocoles pris en charge sont désactivés, les clients ne peuvent pas établir de liaison SSL.
Syntaxe SSLProtocolDisable <nomprotocole>
Portée Hôte virtuel
Valeur par défaut Désactivée
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Plusieurs instances autorisées par hôte virtuel.
Valeurs Les possibles valeurs suivantes sont disponibles pour cette directive.
  • SSLv2
  • SSLv3
  • TLSv1
L'exemple suivant désactive la prise en charge de plusieurs protocoles sur un hôte virtuel.
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable	SSLv2 SSLv3
(tout autre directive)
</VirtualHost>
Remarque : SSL0230I est journalisé pour chaque tentative de connexion SSL si le client et le serveur ne partagent pas au moins un protocole et une combinaison de code de chiffrement.

Directive SSLProxyEngine

SSLProxyEngine bascule si le serveur utilise SSL pour les connexions traitées par proxy. SSLProxyEngine on si votre serveur agit en tant que proxy inverse pour une ressource SSL.
Syntaxe SSLProxyEngine on|off
Portée Hôtes virtuels basés sur l'IP
Valeur par défaut Off
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une par hôte virtuel et par serveur global
Valeurs on|off

La directive SSLServerCert

La directive SSLServerCert définit le certificat de serveur à utiliser pour cet hôte virtuel.
Syntaxe SSLServerCert [message] mon_label_de_certificat; sur le l'unité PKCS11 - SSLServerCert monjeton:maclef
Portée Hôtes virtuels basés sur l'IP.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Libellé de certificat. Utilisez l'option /prompt pour permettre au serveur HTTP de vous inviter à entrer le mot de passe du jeton cryptographique lors du démarrage. N'utilisez pas de délimiteurs autour du libellé de certificat. Vérifiez que le libellé est indiqué sur une seule ligne ; les espaces en début et en fin de ligne sont ignorés.

La directive SSLStashfile

La directive SSLStashfile indique le chemin d'accès au fichier avec le nom du fichier contenant le mot de passe chiffré pour l'ouverture de l'unité PKCS1.

Syntaxe SSLStashFile /usr/HTTPServer/mystashfile.sth
Portée Hôte virtuel et serveur global.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Nom de fichier d'un fichier de dissimulation LDAP et/ou PKCS11 créé à l'aide de la commande sslstash.

La directive SSLStashFile ne fait pas référence à un fichier de dissimulation du fichier de clés utilisé, car il est calculé automatiquement en se basant sur le nom du fichier de clés et constitue un type de fichier de dissimulation différent.

Utilisez la commande sslstash, située dans le répertoire bin d'IBM HTTP Server, afin de créer votre fichier de stockage de mots de passe CRL. Le mot de passe indiqué à l'aide la commande sslstash doit correspondre à celui que vous avez utilisé pour vous connecter au serveur LDAP.

Syntaxe : sslstash [-c] <répertoire_du_fichier_des_mots_de_passe_et_nom_du_fichier> <nom_de_fonction> <mot_de_passe>

où :
  • -c: crée un fichier de stockage. Si rien n'est indiqué, un fichier existant est mis à jour.
  • Fichier : représente le nom complet du fichier à créer ou à mettre à jour.
  • Fonction : indique la fonction pour laquelle utiliser le mot de passe. Les valeurs valides sont crl, ou crypto.
  • Mot de passe : représente le mot de passe à stocker.
Remarque : Voir aussi Liste de retrait de certificats SSL.

Utilisez la directive SSLStashFile, conjointement avec les directives SSLCRLPort, SSLCRLHostname et SSLCRLUserID, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).

Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..

Directive SSLTrace

La directive SSLTrace permet la journalisation du débogage dans mod_ibm_ssl. Elle est utilisée en association avec la directive LogLevel. Pour activer la journalisation du débogage dans mod_ibm_ssl, définissez LogLevel pour le débogage et ajoutez la directive SSLTrace à la portée globale dans le fichier de configuration d'IBM HTTP Server, après la directive LoadModule pour mod_ibm_ssl. Cette directive est généralement utilisée à la demande du support technique d'IBM lors de la recherches liées à un problème suspecté avec mod_ibm_ssl. Il n'est pas recommandé d'activer cette directive dans des conditions de travail normales.

Syntaxe SSLTrace
Portée Globale
Valeur par défaut La journalisation du débogage mod_ibm_ssl n'est pas activée
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Ignoré
Valeurs Néant
Remarque : Voir aussi LogLevel Directive.

La directive SSLV2Timeout

La directive SSLV2Timeout définit le délai pour les ID de la session SSL version 2.

Syntaxe SSLV2Timeout 60
Portée Base globale et hôte virtuel.
Valeur par défaut 40
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs 0 à 100 secondes.

La directive SSLV3Timeout

La directive SSLV3Timeout définit le délai pour les ID de session SSL version 3 et de session TLS.

Syntaxe SSLV3Timeout 1000
Portée Base globale et hôte virtuel.

[Windows] La portée de l'hôte virtuel ou la portée globale s'applique.

[AIX] [HP-UX] [Linux] [Solaris] La portée de l'hôte virtuel est applicable si la directive SSLCacheDisable est également utilisée. Sinon, seule la portée globale est autorisée.

Valeur par défaut 120
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs 0 à 86400 secondes.

La directive SSLVersion

La directive SSLVersion active le refus d'accès aux objets, si le client tente de se connecter avec une version du protocole SSL autre que celle indiquée.

Syntaxe SSLVersion ALL
Portée Un par section du répertoire.
Valeur par défaut Aucun
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par section <Répertoire> ou <Emplacement>.
Valeurs SSLV2|SSLV3|TLSV1|ALL



Concepts associés
Liste de retrait de certificats SSL
Tâches associées
Choix du niveau de l'authentification client
Choix du type de protection d'authentification client
Sécurisation au moyen de communications SSL
Rubrique de référence    

Conditions d'utilisation | Commentaires

Dernière mise à jour : Feb 22, 2009 5:16:05 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ssldirs.html