使用 SSL 伪指令时,应考虑下列操作:将加密限制为 128 位或更高、将 HTTP(端口 80)请求重写至 HTTPS(端口 443)、将 SSL 请求信息记录在访问日志中以及启用证书撤销列表(CRL)。
如果要在 IBM HTTP Server
httpd.conf 配置文件中启用 SSL 伪指令,那么应当考虑下列事项:
- 将 IBM HTTP Server 限制为仅以 128 位或更多位数进行加密。有多种方法可用于配置 IBM HTTP Server,以便将 SSL 约束和限制为仅允许 128 位浏览器和 128,168 位密码来对 Web 内容进行访问。有关的完整信息,请参阅将 IBM HTTP Server 限制为仅以 128 位或更多位数进行加密。
- 如何将 HTTP(端口 80)请求重写到 HTTPS(端口 443)。随 IBM HTTP Server 提供的 mod_rewrite.c 重写模块可用作一种将所有 HTTP 请求自动重写到 HTTPS 的有效方法。有关完整的信息,请参阅如何将 HTTP(端口 80)请求重写到 HTTPS(端口 443)。
- 将 SSL 请求信息记录在 IBM HTTP Server 的访问日志中。IBM HTTP Server 实现提供了安全套接字层(SSL)环境变量,这些变量是使用 httpd.conf 配置文件中的 LogFormat 伪指令进行配置的。有关完整的信息,请参阅将 SSL 请求信息记录在 IBM HTTP Server 的访问日志中。
- 在 IBM HTTP Server 中启用证书撤销列表(CRL)。当键受损或对键的访问许可权被撤销时,证书撤销就可以撤销浏览器给予 IBM HTTP Server 的客户机证书。CRL 表示一个数据库,该数据库包含在计划的截止日期之前被撤销的证书的列表。有关完整的信息,请参阅SSL 证书撤销列表
。