IBM HTTP Server for WebSphere Application Server, 버전 6.1
             운영 체제: AIX, HP-UX, Linux, Solaris, Windows, z/OS

             목차 및 검색 결과 개인화

SSL 지시문

SSL(Secure Sockets Layer) 지시문은 IBM HTTP Server의 SSL 기능을 제어하는 구성 매개변수입니다.

IBM HTTP Server에서 대부분의 SSL 지시문은 작동이 동일합니다. 제공된 가상 호스트 구성에 대해 지정된 지시문은 기본 서버 구성에 지정된 지시문을 대체합니다. 또한 하위 디렉토리에 대해 지정된 지시문은 상위 디렉토리에 대해 지정된 지시문을 대체합니다. 그러나 예외가 있습니다.

예를 들어, 지시문이 가상 호스트에 대해 지정된 경우 기본 서버 구성에 지정된 지시문은 가상 호스트 구성에 복사될 수도 있습니다. 이 경우, 기본 서버 구성의 지시문은 가상 호스트 구성을 대체합니다.
주: 지시문이 제공된 가상 호스트 구성에 자동으로 복사되지 않도록 하려면 기본 서버 구성에 SSLEnable 지시문을 지정하지 말아야 합니다.

또한 하위 디렉토리에 대해 지정된 지시문이 상위 디렉토리에 대해 지정된 지시문에 추가될 수도 있습니다. 이 경우, 상위 디렉토리에 대한 지시문은 하위 디렉토리에 대한 지시문을 대체하지는 않지만 그 대신 하위 디렉토리에 추가되며 두 지시문은 모두 하위 디렉토리에 적용됩니다.

다음 목록에는 IBM HTTP Server의 SSL 지시문이 들어 있습니다.

SSLOCSPResponderURL

정적으로 구성된 온라인 인증 상태 프로토콜(OCSP) 응답기를 통해 클라이언트 인증의 확인을 사용 가능하게 합니다.
구문

[AIX Solaris HP-UX Linux Windows] SSLOCSPResponderURL<URL>

범위 가상 호스트
기본값 사용 불가능
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트에 허용되는 다중 인스턴스
OCSP 응답기를 가리키는 완전한 URL(예: http://hostname:2560/). URL의 경로 부분은 OCSP 요청을 제출할 때 사용되지 않습니다.
SSLOCSPResponderURL이 설정된 경우, SSL 클라이언트 인증이 제공될 때 IHS에서는 제공된 URL를 사용해서 인증 취소 상태를 확인합니다.

CRL 확인이 구성된 경우, CRL 확인은 OCSP 확인 전에 수행됩니다. OCSP 확인은 CRL의 결과가 알 수 없거나 확정되지 않은 경우에만 이루어집니다.

SSLOCSPEnable 및 SSLOCSPResponderURL이 모두 구성된 경우, SSLOCSPResponderURL에 정의된 응답기를 먼저 확인합니다. 취소 상태를 알 수 없거나 확정되지 않은 경우, IHS에서는 SSLOCSPEnable에 대해 위에 설명된대로 OCSP 응답기를 확인합니다.

SSLOCSPEnable

해당 인증의 AIA(Authority Information Access) 확장에 정의된 OCSP 응답기를 통해 클라이언트 인증의 확인을 사용 가능하게 합니다.
구문

[AIX Solaris HP-UX Linux Windows] SSLOCSPEnable

범위 가상 호스트
기본값 사용 불가능
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트에 허용되는 하나의 인스턴스
없음
SSLOCSPEnable이 설정되고, SSL 클라이언트 인증 체인에 AIA 확장이 포함된 경우, IHS는 AIA 확장에 표시된 OCSP 응답기에 접속하여 클라이언트 인증의 취소 상태를 확인합니다. URL의 경로 부분은 무시합니다.

CRL 확인이 구성된 경우, CRL 확인은 OCSP 확인 전에 수행됩니다. OCSP 확인은 CRL의 결과가 알 수 없거나 확정되지 않은 경우에만 이루어집니다.

SSLOCSPEnable 및 SSLOCSPResponderURL이 모두 구성된 경우, SSLOCSPResponderURL에 정의된 응답기를 먼저 확인합니다. 취소 상태를 알 수 없거나 확정되지 않은 경우, IHS에서는 SSLOCSPEnable에 대해 위에 설명된대로 OCSP 응답기를 확인합니다.

Keyfile 지시문

keyfile 지시문은 사용할 키 파일을 설정합니다.
주: 이 지시문은 기본 서버 구성에 의해 대체될 수도 있습니다.
구문
[AIX] [Solaris] [Linux] [Windows] Keyfile [/prompt] /fully qualified path to key file/keyfile.kdb
[z/OS] 주: /prompt 함수는 JCL 시작 작업에서가 아니라 USS 쉘에서 실행 중일 때에만 지원됩니다. JCL 시작 작업에서 /prompt 함수를 사용하려는 경우에는 구성 오류가 발생합니다.
[z/OS] HFS(Hierarchical File System) 또는 SAF(System Authorization Facility)에 저장된 키 링을 사용할 수 있습니다. HFS에 저장된 키 링을 사용하려면 다음을 수행하십시오.
  • Keyfile /fully qualified path to key file/keyfile.kdb
SAF에 저장된 키 링을 사용하려면 다음을 수행하십시오.
  • Keyfile /saf WASKeyring
    주: SAF 키 링을 사용할 경우:
    • SAF를 사용할 때 숨김 파일이 없으며 액세스는 SAF 규칙에 의해 제어됩니다. 따라서 Keyfile/prompt/saf 인수를 사용하려는 경우에는 인수가 지원되지 않습니다. 이 인수 사용을 시도하면 구성 오류가 발생하게 됩니다.
    • IBM® HTTP Server를 시작하는 데 사용되는 ID가 해당 지시문에 이름 지정된 키 링에 액세스할 수 있어야 합니다. ID에 액세스 권한이 없을 경우, SSL 초기화가 실패합니다.
범위 글로벌 기본 및 가상 호스트.
기본값 없음
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
키 파일의 파일 이름.

[AIX Solaris HP-UX Linux Windows] Prompt 옵션을 사용하여 시작 중에 HTTP 서버가 키 파일 암호를 요구하도록 설정하십시오.

[z/OS] 파일 시스템 보호를 사용하여 액세스를 제한할 수 있습니다. SSL 인증에 대한 액세스를 제한하려면 SAF(System Authorization Facility) 키 링을 사용하십시오.

[z/OS] 중요사항: z/OS® 시스템은 다른 플랫폼에서 작성된 키 데이터베이스 파일을 지원하지 않습니다. z/OS 시스템에 사용되는 키 데이터베이스 파일은 z/OS 플랫폼에서 작성해야 합니다.

SSLAcceleratorDisable 지시문

SSLAcceleratorDisable 지시문에서는 단축키 장치가 사용 불가능합니다.
구문 SSLAcceleratorDisable
범위 가상 및 글로벌.
기본값 단축키 장치는 사용 가능합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트당 하나의 인스턴스.
없음. 가상 호스트 내부를 포함하여 구성 파일의 내부에 이 지시문을 포함시키십시오. 초기화 중에 시스템에 단축키 장치가 설치되어 있음이 발견되면 시스템이 설치된 단축키를 사용하여 보안 트랜잭션 수를 증가시킵니다. 이 지시문은 인수를 사용하지 않습니다.

SSLAllowNonCriticalBasicConstraints 지시문 [AIX Solaris HP-UX Linux Windows]

SSLAllowNonCriticalBasicConstraints 지시문을 사용하면 RFC3280과 충돌하는 일본의 GPKI 스펙 중 한 측면과 호환이 가능합니다.
구문 SSLAllowNonCriticalBasicConstraints on|off
범위 글로벌 서버 또는 가상 호스트
기본값 오프
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
없음. 이 지시문은 인증 유효성 검증 알고리즘의 작동을 변경하므로 발행자 CA(Certificate Authority) 인증에서 중요하지 않은 기본 제한조건 확장으로 인해 유효성 검증 오류가 발생하지 않습니다. 이 지시문을 사용하면 RFC3280과 충돌하는 일본의 GPKI 스펙 중 한 측면과 호환이 가능합니다.
주: RFC3280은 이 확장자가 인증에 있는 디지털 서명의 유효성을 검증하는 데 사용되는 공용 키가 포함된 모든 CA 인증에서 반드시 중요한 확장자로 표시되어야 함을 나타냅니다.

SSLCacheDisable 지시문 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheDisable 지시문에서는 외부 SSL 세션 ID 캐시가 사용 불가능합니다.
구문 SSLCacheDisable
범위 각 물리적 Apache 서버 인스턴스에 대해 하나씩 가상 호스트 스탠자의 외부에서만 허용됩니다.
기본값 없음
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용되지 않습니다.
없음.

SSLCacheEnable 지시문 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheEnable 지시문에서는 외부 SSL 세션 ID 캐시가 사용 가능합니다.
구문 SSLCacheEnable
범위 각 물리적 Apache 서버 인스턴스에 대해 하나씩 가상 호스트 스탠자의 외부에서만 허용됩니다.
기본값 없음
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용되지 않습니다.
없음.

SSLCacheErrorLog 지시문 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheErrorLog 지시문은 세션 ID 캐시의 파일 이름을 설정합니다.
구문 SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg
범위 가상 호스트 밖에서의 서버 구성.
기본값 없음
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용되지 않습니다.
유효한 파일 이름.

SSLCachePath 지시문 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCachePath 지시문은 세션 ID 캐싱 디먼의 경로를 지정합니다.
구문 SSLCachePath /usr/HTTPServer/bin/sidd
범위 가상 호스트 밖에서의 서버 구성.
기본값 <server-root>/bin/sidd
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용되지 않습니다.
유효한 경로 이름.

SSLCachePortFilename 지시문 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCachePortFilename 지시문은 서버 인스턴스와 세션 ID 캐시 디먼 간의 통신에 사용되는 UNIX 도메인 소켓의 파일 이름을 설정합니다. 동일한 설치 디렉토리에서 IBM HTTP Server의 인스턴스 두 개를 실행하고 인스턴스가 둘 다 SSL에 대해 구성되어 있는 경우 이러한 지시문을 설정해야 합니다. 그렇지 않으면 이러한 지시문을 설정할 필요가 없습니다.
구문 SSLCachePath /usr/HTTPServer/logs/sidd
범위 가상 호스트 밖에서의 서버 구성.
기본값 이 지시문을 지정하지 않았으며 캐시가 사용 가능한 경우, 서버는 <server-root>/logs/siddport 파일을 사용합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용되지 않습니다.
유효한 경로 이름. 웹 서버가 시작 중에 이 파일을 삭제하므로, 이름을 지정하지 마십시오.

SSLCacheTraceLog 지시문 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheTraceLog 지시문은 세션 ID 추적 메시지를 기록할 파일을 지정합니다. 이 지시문이 없으면 추적이 사용 불가능합니다.
구문 SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log
범위 가상 호스트 밖에서의 서버 구성.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용되지 않습니다.
유효한 경로 이름.

SSLCipherBan 지시문

클라이언트가 지정된 암호 중 하나를 사용하여 연결한 경우 SSLCipherBan 지시문은 오브젝트에 대한 액세스를 거부합니다. 요청은 403 상태 코드로 실패합니다.
주: 이 지시문은 하위 디렉토리에 대해 지정된 경우 상위 디렉토리에 대해 지정된 지시문을 대체하지 않습니다. 그 대신, 두 디렉토리 모두 하위 디렉토리에 적용됩니다.
구문 SSLCipherBan <cipher_specification>
범위 각 디렉토리 스탠자에 대해 다중 인스턴스.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 디렉토리 스탠자에 대해 허용됩니다. 환경 설정의 순서는 맨 위에서부터 맨 아래순입니다.
SSL 버전 2 암호 스펙SSL 버전 3 및 TLS 버전 1 Cipher 스펙의 내용을 참조하십시오.

SSLCipherRequire 지시문

SSLCipherRequire 지시문은 오브젝트에 대한 액세스를 지정된 암호 중 하나를 사용하여 연결된 클라이언트로 제한합니다. 액세스가 거부될 경우 요청은 '403' 상태 코드로 실패합니다.
주: 이 지시문은 하위 디렉토리에 대해 지정된 경우 상위 디렉토리에 대해 지정된 지시문을 대체하지 않습니다. 그 대신, 두 디렉토리 모두 하위 디렉토리에 적용됩니다.
구문 SSLCipherRequire <cipher_specification>
범위 각 디렉토리 스탠자에 대해 다중 인스턴스.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 디렉토리 스탠자에 대해 허용됩니다.
SSL 버전 2 암호 스펙SSL 버전 3 및 TLS 버전 1 Cipher 스펙의 내용을 참조하십시오.

SSLCipherSpec 지시문

V3 또는 TLS 암호만 지정하고 SSL V2 암호를 지정하지 않은 경우, SSL V2 지원이 사용 불가능합니다. 또한 SSL V2 암호를 지정하고 SSL V3 또는 TLS 암호를 지정하지 않으면 SSL V3 및 TLS 지원이 사용 불가능합니다.
구문 SSLCipherSpec short name 또는 SSLCipherSpec long name
범위 가상 호스트.
기본값 아무 값도 지정하지 않으면, 서버가 설치된 GSK 라이브러리에서 사용 가능한 모든 Cipher 스펙을 사용합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용됨. 환경 설정의 순서는 맨 위에서부터 맨 아래, 첫 번째부터 마지막순입니다. 클라이언트가 Cipher 스펙을 지원하지 않으면 연결이 닫힙니다.
SSL 버전 2 암호 스펙SSL 버전 3 및 TLS 버전 1 Cipher 스펙의 내용을 참조하십시오.

SSLClientAuth 지시문

SSLClientAuth 지시문은 사용할 클라이언트 인증 모드를 설정합니다(none (0), optional (1) 또는 required (2)).
구문 SSLClientAuth <level required> [crl]
범위 가상 호스트.
기본값 SSLClientAuth none
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트당 하나의 인스턴스.
  • 0/None: 클라이언트 인증이 요청되지 않습니다.
  • 1/Optional: 클라이언트 인증이 요청되지만 필수가 아닙니다.
  • 2/Required: 유효한 클라이언트 인증이 필요합니다.
  • CRL: SSL 가상 호스트 내에서 CRL을 설정하거나 해제합니다. CRL(Certificate Revocation List)을 사용하는 경우, SSLClientAuth의 두 번째 인수로 crl을 지정해야 합니다. 예: SSLClientAuth 2 crl. crl을 지정하지 않으면, SSL 가상 호스트에서 CRL을 수행할 수 없습니다.

값 0/None을 지정하는 경우, CRL 옵션을 사용할 수 없습니다.

SSLClientAuthGroup 지시문

SSLClientAuthGroup 지시문은 특정 클라이언트 인증서 속성 및 값 쌍을 포함하는 이름 지정된 표현식 그룹을 정의합니다. 이 이름 지정된 그룹은 SSLClientAuthRequire 지시문에서 사용할 수 있습니다. 인증서는 클라이언트가 제공해야 하며, 서버가 보호 설정된 자원에 대한 액세스를 허용하기 전에 이 표현식을 전달합니다.

구문 SSLClientAuthGroup 그룹 이름 속성 표현식
범위 서버 구성, 가상 호스트.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용됨.
대체 없음.
AND, OR, NOT 및 괄호로 링크된 속성 검사로 구성되는 논리식. 예제:
SSLClientAuthGroup IBMpeople Org = IBM

유효한 논리식 설명다음 섹션에서는 유효한 논리식의 예에 대해 설명합니다. 예를 들어, SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM 은 클라이언트 인증에 공통 이름 Fred Smith 또는 John Deere가 포함되어 있지 않고 조직이 IBM이 아니면 오브젝트를 처리하지 않음을 의미합니다. 속성 검사의 유효한 비교는 같음 및 같지 않음(= 및 !=)뿐입니다. 각 속성 검사를 AND, OR 또는 NOT(또한 &&, ||, !)으로 링크할 수 있습니다. 비교를 그룹화하려면 괄호를 사용하십시오. 속성 값에 영숫자 문자가 아닌 문자가 있는 경우, 값을 따옴표로 분리해야 합니다.

다음은 이 지시문에 대해 지정할 수 있는 속성 값 목록입니다.
긴 이름 축약 이름
CommonName CN
국가 C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
구/군/시 L
Org  
OrgUnit OU
PostalCode PC
StateOrProvince ST

이 지시문에서는 긴 이름과 축약 이름을 사용할 수 있습니다.

사용자는 특정 클라이언트 인증서 속성의 논리식을 지정합니다. 여러 표현식에 대해 논리적으로 AND , OR 또는 NOT를 사용하여 원하는 클라이언트 인증서 속성 값 그룹을 지정할 수 있습니다. 유효한 연산자는 '=' 및 '!='입니다. 예제:
SSLClientAuthGroup IBMpeople Org = IBM 
또는
SSLClientAuthGroup NotMNIBM ST != MN && Org = IBM 

그룹 이름에는 공백을 포함할 수 없습니다. 자세한 정보는 SSLClientAuthRequire 지시문의 내용을 참조하십시오.

SSLClientAuthRequire 지시문

SSLClientAuthRequire 지시문은 서버가 보호 설정된 자원에 대한 액세스를 허용하기 전에 클라이언트 인증서에 대해 유효성을 검증해야 하는 속성 값 또는 속성 값 그룹을 지정합니다.

구문 SSLClientAuthRequire 속성 표현식
범위 서버 구성, 가상 호스트.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 허용됨. 이 기능은 이러한 지시문을 "AND"로 결합합니다.
대체 AuthConfig
AND, OR, NOT 및 괄호로 링크된 속성 검사로 구성되는 논리식. 예제:
SSLClientAuthRequire group != IBMpeople && ST = M

사용자가 받은 인증에 특정 속성이 없을 경우, 속성 일치에 대한 확인이 없습니다. 지정한 일치 값이 " "여도, 이는 속성을 가지고 있지 않는 것과는 다릅니다. SSLClientAuthRequire 지시문에 인증에서 사용할 수 없는 속성이 지정되면 요청이 거부됩니다.

다음은 이 지시문에 대해 지정할 수 있는 속성 값 목록입니다.
긴 이름 축약 이름
CommonName CN
국가 C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
구/군/시 L
Org  
OrgUnit OU
PostalCode PC
StateOrProvince ST

이 지시문에서는 긴 이름과 축약 이름을 사용할 수 있습니다.

사용자는 특정 클라이언트 인증서 속성의 논리식을 지정합니다. 여러 표현식에 대해 논리적으로 AND , OR 또는 NOT를 사용하여 원하는 클라이언트 인증서 속성 값 그룹을 지정할 수 있습니다. 유효한 연산자는 '=' 및 '!='입니다. 사용자는 속성 그룹을 구성하기 위해 SSLClientAuthGroup 지시문를 사용하여 구성된 그룹 이름도 지정할 수 있습니다.

동일 범위 내에 여러 개의 SSLClientAuthRequire 지시문을 지정할 수 있습니다. 각 지시문의 논리식을 사용하여 각 인증의 액세스 권한을 평가하고 개별 평가 결과는 논리적으로 함께 AND 처리됩니다. 예제:
SSLClientAuthRequire (CommonName="John Doe" || StateOrProvince=MN) && Org !=IBM 
또는
SSLClientAuthRequire group!=IBMpeople && ST=MN
축약형 이름과 긴 이름은 따옴표(')로 묶을 수 있습니다. 예제:
SSLClientAuthRequire group != IBMpeople && "ST= MN"
자세한 정보는 SSLClientAuthGroup 지시문의 내용을 참조하십시오.

SSLCRLHostname 지시문

SSLCRLHostname 지시문은 CRL(Certificate Revocation List) 데이터베이스가 위치한 LDAP 서버의 TCP/IP 이름 또는 주소를 지정합니다.

구문 <SSLCRLHostName <TCP/IP name or address>
범위 글로벌 서버 또는 가상 호스트.
기본값 기본값으로 사용 불가능합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
LDAP 서버의 TCP/IP 이름 또는 주소

LDAP 기반 CRL 저장소의 정적 구성을 위해 SSLCRLPort, SSLCRLUserID 및 SSLStashfile 지시문과 함께 SSLCRLHostname 지시문을 사용하십시오. 명시적 CRLDistributionPoint X.509v3 인증 확장자가 없거나 확장자에 지정된 서버가 응답하지 않는(사용 불가능한) 경우에만 이러한 지시문을 사용하여 LDAP 기반 CRL 저장소를 조회해야 합니다.

CRLDistributionPoint 확장자가 인증에 있고 확장자에 지정된 서버가 응답 가능한(사용 가능한) 경우에는 이러한 지시문을 사용하지 않고 CRLDistributionPoint에 지정된 LDAP 서버가 익명으로 조회됩니다.

SSLCRLPort 지시문

SSLCRLPort 지시문은 CRL(Certificate Revocation List) 데이터베이스가 위치하는 LDAP 서버의 포트를 지정합니다.

구문 SSLCRL<port>
범위 글로벌 서버 또는 가상 호스트.
기본값 기본값으로 사용 불가능합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
LDAP 서버의 포트. 기본값 = 389.

LDAP 기반 CRL 저장소의 정적 구성을 위해 SSLCRLUserID, SSLCRLHostname 및 SSLStashfile 지시문과 함께 SSLCRLPort 지시문을 사용하십시오. 명시적 CRLDistributionPoint X.509v3 인증 확장자가 없거나 확장자에 지정된 서버가 응답하지 않는(사용 불가능한) 경우에만 이러한 지시문을 사용하여 LDAP 기반 CRL 저장소를 조회해야 합니다.

CRLDistributionPoint 확장자가 인증에 있고 확장자에 지정된 서버가 응답 가능한(사용 가능한) 경우에는 이러한 지시문을 사용하지 않고 CRLDistributionPoint에 지정된 LDAP 서버가 익명으로 조회됩니다.

SSLCRLUserID 지시문

SSLCRLUserID 지시문은 CRL(Certificate Revocation List) 데이터베이스가 위치하는 LDAP 서버로 전송할 사용자 ID를 지정합니다.

구문 SSLCRLUserID <[prompt] <userid>
범위 글로벌 서버 또는 가상 호스트.
기본값 사용자 ID를 지정하지 않는 경우, 기본값 anonymous로 설정됩니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
LDAP 서버의 사용자 ID. Prompt 옵션을 사용하여 시작 중에 HTTP 서버가 LDAP 서버 액세스에 필요한 암호를 요구하도록 설정하십시오.

LDAP 기반 CRL 저장소의 정적 구성을 위해 SSLCRLPort, SSLCRLHostname 및 SSLStashfile 지시문과 함께 SSLCRLUserID 지시문을 사용하십시오. 명시적 CRLDistributionPoint X.509v3 인증 확장자가 없거나 확장자에 지정된 서버가 응답하지 않는(사용 불가능한) 경우에만 이러한 지시문을 사용하여 LDAP 기반 CRL 저장소를 조회해야 합니다.

CRLDistributionPoint 확장자가 인증에 있고 확장자에 지정된 서버가 응답 가능한(사용 가능한) 경우에는 이러한 지시문을 사용하지 않고 CRLDistributionPoint에 지정된 LDAP 서버가 익명으로 조회됩니다.

SSLDisable 지시문

SSLDisable 지시문에서는 가상 호스트의 SSL이 사용 불가능합니다.
구문 SSLDisable
범위 글로벌 서버 또는 가상 호스트.
기본값 기본값으로 사용 불가능합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
없음.

SSLEnable 지시문

SSLEnable 지시문에서는 가상 호스트의 SSL이 사용 가능합니다.
주: 지시문이 제공된 가상 호스트 구성에 자동으로 복사되지 않도록 하려면 기본 서버 구성에 이 지시문을 지정하지 말아야 합니다.
구문 SSLEnable
범위 글로벌 서버 또는 가상 호스트.
기본값 기본값으로 사용 불가능합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
없음.

SSLFakeBasicAuth 지시문

SSLFakeBasicAuth 지시문을 통해 위조 기본 인증 지원을 사용할 수 있습니다.

이 지원을 통해 클라이언트 인증 식별 이름이 사용자와 암호 기본 인증 쌍의 사용자 부분이 될 수 있습니다. 암호로 password를 사용하십시오.
주: 이 지시문은 기본 서버 구성에 의해 대체될 수도 있습니다.
구문 SSLFakeBasicAuth
범위 디렉토리 스탠자 내에서 AuthName, AuthType과 함께 사용되며 지시문이 필요합니다.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 디렉토리 스탠자당 하나의 인스턴스
없음.

SSLFIPSDisable 지시문 [AIX Solaris HP-UX Linux Windows]

SSLFIPSDisable 지시문은 FIPS(Federal Information Processing Standards)를 사용 불가능하게 합니다.
구문 SSLFIPSDisable
범위 가상 및 글로벌.
기본값 기본값으로 사용 불가능합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
없음.

SSLFIPSEnable 지시문 [AIX Solaris HP-UX Linux Windows]

SSLFIPSEnable 지시문은 FIPS(Federal Information Processing Standards)를 사용 가능하게 합니다.
구문 SSLFIPSEnable
범위 가상 및 글로벌.
기본값 기본값으로 사용 불가능합니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
없음.
주: 또한 SSL 버전 3 및 TLS 버전 1 Cipher 스펙도 참조하십시오.

SSLPKCSDriver 지시문 [AIX Solaris HP-UX Linux Windows]

SSLPKCSDriver 지시문은 PKCS11 장치에 액세스하는 데 사용되는 모듈 또는 드라이버의 완전한 이름을 지정합니다.

구문 PKCS11 장치에 액세스하는 데 사용되는 모듈의 완전한 이름>. 사용자 경로에 모듈이 있는 경우, 모듈의 이름을 지정하십시오.
범위 글로벌 서버 또는 가상 호스트.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
PKCS11 모듈 또는 드라이버의 경로 및 이름
플랫폼 다음에 각 PKCS11 장치에 대한 모듈의 기본 위치가 표시됩니다.
  • nCipher
    • AIX: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP: /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Solaris: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • Windows: c:\nfast\toolkits\pkcs11\cknfast.dll
  • IBM 4758
    • AIX: /usr/lib/pkcs11/PKCS11_API.so
    • Windows: $PKCS11_HOME\bin\nt\cryptoki.dll
  • IBM e-business Cryptographic Accelerator
    • AIX: /usr/lib/pkcs11/PKCS11_API.so

SSLProtocolDisable 지시문 [AIX Solaris HP-UX Linux Windows]

SSLProtocolDisable 지시문을 사용하면 특정 가상 호스트에 대해 클라이언트가 사용할 수 없는 하나 이상의 SSL 프로토콜을 지정할 수 있습니다. 이 지시문은 <VirtualHost> 컨테이너에 있어야 합니다.

가상 호스트에 대해 지원되는 프로토콜은 별도로 지원됩니다. 지원되는 프로토콜이 모두 사용 불가능한 경우, 클라이언트는 SSL 핸드쉐이크를 완료할 수 없습니다.
구문 SSLProtocolDisable <protocolname>
범위 가상 호스트
기본값 사용 불가능
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 가상 호스트당 허용되는 다중 인스턴스
이 지시문에는 다음 가능한 값을 사용할 수 있습니다.
  • SSLv2
  • SSLv3
  • TLSv1
다음 예제는 가상 호스트에서 다중 프로토콜에 대한 지원을 사용 불가능으로 설정합니다.
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable	SSLv2 SSLv3
(기타 지시문)
</VirtualHost> 
주: SSL0230I은 클라이언트 및 서버가 최소한 하나의 프로토콜과 암호 조합을 공유하지 않는 경우 각 SSL 연결 시도에 대해 로그됩니다.

SSLProxyEngine directive

SSLProxyEngine은 서버가 프록시 연결에 대해 SSL을 사용할 것인지 여부를 토글합니다. 사용자 서버가 SSL 자원에 역방향 프록시로 작동할 경우 SSLProxyEngine on을 지정해야 합니다.
구문 SSLProxyEngine on|off
범위 IP 기반 가상 호스트
기본값 오프
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 가상 호스트 및 글로벌 서버마나 하나씩
on|off

SSLServerCert 지시문

SSLServerCert 지시문은 가상 호스트에 사용할 서버 인증을 설정합니다.
구문 SSLServerCert [prompt] my_certificate_label; on PKCS11 device - SSLServerCert mytokenlabel:mykeylabel
범위 IP 기반 가상 호스트.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
레이블 인증. /prompt 옵션을 사용하여 시작 중에 HTTP 서버가 Crypto 토큰 암호를 요구하도록 하십시오. 인증 레이블 주변에 분리문자를 사용하지 마십시오. 레이블이 한 행에 포함되었는지 확인하십시오. 앞뒤 공백은 무시됩니다.

SSLStashfile 지시문

SSLStashfile 지시문은 PKCS11 장치를 여는 데 필요한 암호화된 암호가 들어 있는 파일의 경로를 파일 이름과 함께 지정합니다.

구문 SSLStashFile /usr/HTTPServer/mystashfile.sth
범위 가상 호스트 및 글로벌 서버.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
sslstash 명령을 사용하여 작성된 LDAP 및/또는 PKCS11 숨김 파일의 파일 이름

SSLStashFile은 사용 중인 KeyFile의 숨김 파일을 가리키지 않습니다. 왜냐하면 이 파일은 KeyFile의 이름을 기본으로 자동으로 계산되며 숨김 파일과 유형이 다르기 때문입니다.

IBM HTTP Server의 bin 디렉토리에 있는 sslstash 명령을 사용하여 CRL 암호 숨김 파일을 작성하십시오. sslstash 명령을 사용하여 지정하는 암호는 LDAP 서버에 로그인할 때 사용하는 암호와 같아야 합니다.

사용법: sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>

여기서:
  • -c: 새 숨김 파일을 작성합니다. 지정하지 않았다면, 기존 파일이 갱신됩니다.
  • File: 작성하거나 갱신할 파일의 완전한 이름을 나타냅니다.
  • Function: 암호를 사용할 기능을 나타냅니다. 유효값은 crl, 또는 crypto를 포함합니다.
  • Password: 숨길 암호를 나타냅니다.
주: 또한 SSL 인증 철회 목록도 참조하십시오.

LDAP 기반 CRL 저장소의 정적 구성을 위해 SSLCRLPort, SSLCRLHostname 및 SSLCRLUserID 지시문과 함께 SSLStashFile 지시문을 사용하십시오. 명시적 CRLDistributionPoint X.509v3 인증 확장자가 없거나 확장자에 지정된 서버가 응답하지 않는(사용 불가능한) 경우에만 이러한 지시문을 사용하여 LDAP 기반 CRL 저장소를 조회해야 합니다.

CRLDistributionPoint 확장자가 인증에 있고 확장자에 지정된 서버가 응답 가능한(사용 가능한) 경우에는 이러한 지시문을 사용하지 않고 CRLDistributionPoint에 지정된 LDAP 서버가 익명으로 조회됩니다.

SSLTrace 지시문

SSLTrace 지시문으로 mod_ibm_ssl에서 디버그 로깅을 사용할 수 있습니다. 이 지시문은 LogLevel 지시문과 함께 사용됩니다. mod_ibm_ssl에서 디버그 로깅을 사용하려면 LogLevel을 debug로 설정하고 IBM HTTP Server 구성 파일에서 글로벌 범위에 SSLTrace 지시문을 추가하십시오(mod_ibm_ssl의 LoadModule 지시문 다음에). 이 지시문은 일반적으로 mod_ibm_ssl 문제점을 조사하는 동안 IBM 지원부의 요청이 있을 때 사용됩니다. 정상적인 작동 상태에서는 이 지시문을 사용하지 않을 것을 권장합니다.

구문 SSLTrace
범위 글로벌
기본값 mod_ibm_ssl 디버그 로깅이 사용되지 않습니다.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 무시
없음
주: 또한 LogLevel 지시문도 참조하십시오.

SSLV2Timeout 지시문

SSLV2Timeout 지시문은 SSL 버전 2 세션 ID 제한시한을 설정합니다.

구문 SSLV2Timeout 60
범위 글로벌 기본 및 가상 호스트.
기본값 40
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
0 - 100초.

SSLV3Timeout 지시문

SSLV3Timeout 지시문은 SSL 버전 3 및 TLS 세션 ID 제한시간을 설정합니다.

구문 SSLV3Timeout 1000
범위 글로벌 기본 및 가상 호스트.

[Windows] 가상 호스트 범위 또는 글로벌 범위가 적용됩니다.

[AIX] [HP-UX] [Linux] [Solaris] 가상 호스트 범위는 SSLCacheDisable 지시문을 또한 사용 중인 경우 적용됩니다. 그렇지 않으면 글로벌 범위만 허용됩니다.

기본값 120
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 가상 호스트 및 글로벌 서버에 대해 하나의 인스턴스.
0 - 86400초.

SSLVersion 지시문

클라이언트가 지정된 버전이 아닌 다른 SSL 프로토콜 버전을 사용하여 연결하는 경우, SSLVersion 지시문을 사용하여 오브젝트 액세스를 거부할 수 있습니다.

구문 SSLVersion ALL
범위 디렉토리 스탠자당 하나.
기본값 없음.
모듈 mod_ibm_ssl
구성 파일에서 다중 인스턴스 각 <Directory> 또는 <Location> 스탠자에 대한 하나의 인스턴스
SSLV2|SSLV3|TLSV1|ALL



관련 개념
SSL 인증 철회 목록
관련 태스크
클라이언트 인증 레벨 선택
클라이언트 인증 보호 유형 선택
SSL 통신을 사용하여 보안
참조 주제    

이용약관 | 피드백

마지막 갱신 날짜: Feb 24, 2009 1:17:31 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ssldirs.html