Las directivas SSL (Secure Sockets Layer) son los parámetros de configuración que controlan las características SSL en IBM HTTP Server.
La mayoría de las directivas SSL en IBM HTTP Server tienen el mismo comportamiento. Una directiva especificada para una configuración de host virtual dada altera temporalmente una directiva especificada en la base configuración del servidor base. Además, una directiva especificada para un directorio hijo altera temporalmente una directiva especificada para su directorio padre. No obstante, existen algunas excepciones.
Además, una directiva especificada para un directorio hijo puede adjuntarse a una directiva especificada para su directorio padre. En este caso, la directiva para el directorio padre no altera temporalmente la directiva para el directorio hijo, sino que se añade a la misma y las dos directivas se aplican al directorio hijo.
Sintaxis |
|
Ámbito | Host virtual |
Valor predeterminado | Inhabilitado |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Se permiten varias instancias para cada host virtual |
Valores | Un URL completo que apunta a un respondedor OCSP, por ejemplo, http://hostname:2560/. La parte de vía de acceso del URL no se utiliza al enviar las solicitudes de URL. |
Si se configura la comprobación CRL, dicha comprobación se realizará antes de cualquier comprobación OCSP. La comprobación OCSP sólo se produce si el resultado del CRL es desconocido o incierto.
Si se configuran SSLOCSPEnable y SSLOCSPResponderURL, el respondedor definido por SSLOCSPResponderURL se comprobará en primer lugar. Si el estado de revocación es desconocido o incierto, IHS comprueba los respondedores OCSP., tal como se describe a continuación.
Sintaxis |
|
Ámbito | Host virtual |
Valor predeterminado | Inhabilitado |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Se permite una instancia para cada host virtual |
Valores | Ninguno |
Si se configura la comprobación CRL, dicha comprobación se realizará antes de cualquier comprobación OCSP. La comprobación OCSP sólo se produce si el resultado del CRL es desconocido o incierto.
Si se configuran SSLOCSPEnable y SSLOCSPResponderURL, el respondedor definido por SSLOCSPResponderURL se comprobará en primer lugar. Si el estado de revocación es desconocido o incierto, IHS comprueba los respondedores OCSP., tal como se describe a continuación.
Sintaxis | ![]() ![]() ![]() ![]() ![]() ![]()
|
Ámbito | Host básico global y virtual |
Valor predeterminado | None |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global |
Valores | Nombre de archivo del archivo de claves.
|
Sintaxis | SSLAcceleratorDisable |
Ámbito | Virtual y global |
Valor predeterminado | El dispositivo acelerador está habilitado |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual. |
Valores | Ninguna. Incluya esta directiva en cualquier lugar dentro del archivo de configuración, incluido dentro de un host virtual. Durante la inicialización, si el sistema determina que hay un dispositivo acelerador instalado en la máquina, el sistema utiliza ese acelerador para aumentar el número de transacciones seguras. Esta directiva no acepta argumentos. |
Sintaxis | SSLAllowNonCriticalBasicConstraints on|off |
Ámbito | Servidor global o host virtual |
Valor predeterminado | Desactivado |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global |
Valores | Ninguna. Esta directiva cambia el comportamiento del algoritmo de validación de certificados de modo que una extensión de restricciones básicas no crítica sobre un certificado de entidad emisora de certificados (CA) del emisor no causará una anomalía en la validación.
Esto permite compatibilidad con un aspecto de la especificación GPKI del gobierno de Japón que está en conflicto con RFC3280. Nota: RFC3280 expone que esta extensión debe aparecer como extensión crítica en todos los certificados de CA que contienen claves públicas utilizadas para validar firmas digitales en certificados.
|
Sintaxis | SSLCacheDisable |
Ámbito | Uno por instancia de Apache Server físico, sólo se permite fuera de las stanzas del host virtual. |
Valor predeterminado | None |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | No se permite. |
Valores | Ninguna. |
Sintaxis | SSLCacheEnable |
Ámbito | Uno por instancia de Apache Server físico, sólo se permite fuera de las stanzas del host virtual. |
Valor predeterminado | None |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | No se permite. |
Valores | Ninguno. |
Sintaxis | SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg |
Ámbito | Configuración del servidor fuera del host virtual |
Valor predeterminado | None |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | No se permite. |
Valores | Nombre de archivo válido. |
Sintaxis | SSLCachePath /usr/HTTPServer/bin/sidd |
Ámbito | Configuración del servidor fuera del host virtual |
Valor predeterminado | <raíz-servidor>/bin/sidd |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | No se permite. |
Valores | Nombre de vía de acceso válido. |
Sintaxis | SSLCachePath /usr/HTTPServer/logs/sidd |
Ámbito | Configuración del servidor fuera del host virtual |
Valor predeterminado | Si no se especifica esta directiva y está habilitada la memoria caché, el servidor intenta utilizar el archivo <raíz_servidor>/logs/siddport. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | No se permite. |
Valores | Nombre de vía de acceso válido. El servidor Web suprime este archivo durante el inicio; no lo nombra. |
Sintaxis | SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log |
Ámbito | Configuración del servidor fuera del host virtual |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | No se permite. |
Valores | Nombre de vía de acceso válido. |
Sintaxis | SSLCipherBan <especificación_cifrado> |
Ámbito | Varias instancias por stanza de directorio. |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Permitidas por stanza de directorio. El orden de preferencia es de arriba a abajo. |
Valores | Consulte Especificaciones de cifrado SSL de la versión 2 y Especificaciones de cifrado de SSL Versión 3 y TLS Versión 1. |
Sintaxis | SSLCipherRequire <especificación_cifrado> |
Ámbito | Varias instancias por stanza de directorio. |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Permitidas por stanza de directorio. |
Valores | Consulte Especificaciones de cifrado SSL de la versión 2 y Especificaciones de cifrado de SSL Versión 3 y TLS Versión 1. |
Sintaxis | SSLCipherSpec nombre abreviado o SSLCipherSpec nombre largo |
Ámbito | Host virtual. |
Valor predeterminado | Si no se especifica ninguno, el servidor utiliza todas las especificaciones cifradas disponibles de la biblioteca GSK instalada. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Permitido. El orden de preferencia es de arriba a abajo, del primero al último. Si el cliente no admite las especificaciones cifradas, se cierra la conexión. |
Valores | Consulte Especificaciones de cifrado SSL de la versión 2 y Especificaciones de cifrado de SSL Versión 3 y TLS Versión 1. |
Sintaxis | SSLClientAuth <nivel necesario> [crl] |
Ámbito | Host virtual. |
Valor predeterminado | SSLClientAuth none |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual. |
Valores |
Si especifica el valor 0/None, no puede utilizar la opción CRL. |
La directiva SSLClientAuthGroup define un grupo de expresión con nombre que contiene un conjunto concreto de pares de atributo y valor de certificado de cliente. Las directivas SSLClientAuthRequire pueden utilizar este grupo con nombre. El cliente debe proporcionar un certificado, que pasa esta expresión, antes de que el servidor permita el acceso al recurso protegido.
Sintaxis | SSLClientAuthGroup expresión de atributo de nombre de grupo |
Ámbito | Configuración del servidor, host virtual. |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Permitido. |
Alterar temporalmente | Ninguno. |
Valores | Expresión lógica que consta de comprobaciones de atributos enlazados con los operadores AND,
OR, NOT y paréntesis. Por ejemplo:SSLClientAuthGroup IBMpeople Org = IBM |
Descripción de expresiones lógicas válidas. El apartado siguiente proporciona una descripción de ejemplos con expresiones lógicas válidas. Por ejemplo: SSLClientAuthGroup (CommonName = "Federico Sanz" OR CommonName = "Juan Cuesta") AND Org = IBM significa que no se proporciona el objeto, a no ser que el certificado de cliente contenga el nombre común Federico Sanz o Juan Cuesta y la organización sea IBM. Las únicas comparaciones válidas de las comprobaciones de atributos son igual y distinto (= y !=). Puede enlazar cada comprobación de atributo con los operadores AND, OR o NOT (también &&, || y !). Utilice paréntesis para agrupar comparaciones. Si el valor del atributo contiene caracteres no alfanuméricos, debe delimitar el valor con comillas.
Nombre largo | Nombre abreviado |
---|---|
CommonName | CN |
País | C |
E | |
IssuerCommonName | ICN |
IssuerEmail | IE |
IssuerLocality | IL |
IssuerOrg | IO |
IssuerOrgUnit | IOU |
IssuerPostalCode | IPC |
IssuerStateOrProvince | IST |
Localidad | L |
Org | O |
OrgUnit | OU |
PostalCode | PC |
StateOrProvince | ST |
En esta directiva, se puede utilizar el nombre largo o el abreviado.
SSLClientAuthGroup IBMpeople Org = IBMo
SSLClientAuthGroup NotMNIBM ST != MN && Org = IBM
Los nombres de grupo no pueden incluir espacios. Para obtener más información, consulte el apartado Directiva SSLClientAuthRequire.
La directiva SSLClientAuthRequire especifica valores de atributo o grupos de valores de atributo, que deben validarse con un certificado de cliente antes de que el servidor permita el acceso al recurso protegido.
Sintaxis | SSLClientAuthRequire expresión de atributo |
Ámbito | Configuración del servidor, host virtual |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Permitido. La función une estas directivas mediante el operador "AND". |
Alterar temporalmente | AuthConfig |
Valores | Expresión lógica que consta de comprobaciones de atributos enlazados con los operadores AND,
OR, NOT y paréntesis. Por ejemplo:SSLClientAuthRequire group != IBMpeople && ST = M |
Si el certificado recibido no tiene un atributo concreto, entonces no se verifica la coincidencia de atributos. Aún cuando el valor coincidente especificado sea " ", quizá esto aún no sea lo mismo que no tener ahí ningún atributo. Cualquier atributo especificado en la directiva SSLClientAuthRequire que no esté disponible en el certificado, provocará que se rechace la petición.
Nombre largo | Nombre abreviado |
---|---|
CommonName | CN |
País | C |
E | |
IssuerCommonName | ICN |
IssuerEmail | IE |
IssuerLocality | IL |
IssuerOrg | IO |
IssuerOrgUnit | IOU |
IssuerPostalCode | IPC |
IssuerStateOrProvince | IST |
Localidad | L |
Org | O |
OrgUnit | OU |
PostalCode | PC |
StateOrProvince | ST |
En esta directiva, se puede utilizar el nombre largo o el abreviado.
El usuario especifica una expresión lógica de atributos de certificado de cliente concretos. Puede utilizar las operaciones lógicas AND , OR o NOT de varias expresiones para especificar la agrupación deseada de valores de atributo de certificado de cliente. Entre los operadores válidos se incluyen '=' y '!='. El usuario también puede especificar un nombre de grupo, que se configura utilizando Directiva SSLClientAuthGroup, para configurar un grupo de atributos.
SSLClientAuthRequire (CommonName="John Doe" || StateOrProvince=MN) && Org !=IBMo bien
SSLClientAuthRequire group!=IBMpeople && ST=MN
SSLClientAuthRequire group != IBMpeople && "ST= MN"Para obtener más información, consulte el apartado Directiva SSLClientAuthGroup.
La directiva SSLCRLHostname especifica el nombre de TCP/IP o la dirección del servidor LDAP donde reside la base de datos CRL (lista de revocación de certificados).
Sintaxis | <SSLCRLHostName <nombre o dirección TCP/IP> |
Ámbito | Servidor global o host virtual. |
Valor predeterminado | Está inhabilitada por omisión. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Nombre o dirección TCP/IP del servidor LDAP |
Utilice la directiva SSLCRLHostname, junto con las directivas SSLCRLPort, SSLCRLUserID y SSLStashfile, para la configuración estática de un repositorio CRL basado en LDAP. Sólo es necesario utilizar estas directivas para consultar el repositorio CRL basado en LDAP si falta una extensión de certificado CRLDistributionPoint X.509v3 explícita o el servidor especificado en la extensión no responde (no está disponible).
Si hay una extensión CRLDistributionPoint en el certificado y el servidor especificado en la extensión responde (está disponible), el servidor LDAP especificado en CRLDistributionPoint se consulta de forma anónima, sin utilizar estas directivas.
La directiva SSLCRLPort especifica el puerto del servidor LDAP donde reside la base de datos CRL (lista de revocación de certificados).
Sintaxis | SSLCRL<port> |
Ámbito | Servidor global o host virtual. |
Valor predeterminado | Está inhabilitada por omisión. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Puerto de servidor LDAP; valor predeterminado = 389. |
Utilice la directiva SSLCRLPort, junto con las directivas SSLCRLUserID, SSLCRLHostname y SSLStashfile, para la configuración estática de un repositorio CRL basado en LDAP. Sólo es necesario utilizar estas directivas para consultar el repositorio CRL basado en LDAP si falta una extensión de certificado CRLDistributionPoint X.509v3 explícita o el servidor especificado en la extensión no responde (no está disponible).
Si hay una extensión CRLDistributionPoint en el certificado y el servidor especificado en la extensión responde (está disponible), el servidor LDAP especificado en CRLDistributionPoint se consulta de forma anónima, sin utilizar estas directivas.
La directiva SSLCRLUserID especifica el ID de usuario que se va a enviar al servidor LDAP, donde reside la base de datos CRL (lista de revocación de certificados).
Sintaxis | SSLCRLUserID <[prompt] <idusuario> |
Ámbito | Servidor global o host virtual. |
Valor predeterminado | Toma por omisión el valor anónimo si no especifica ningún ID de usuario. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | ID de usuario y servidor LDAP. Utilice la opción de solicitud para permitir que el servidor HTTP le solicite la contraseña necesaria para acceder al servidor LDAP durante el arranque. |
Utilice la directiva SSLCRLUserID, junto con las directivas SSLCRLPort, SSLCRLHostname y SSLStashfile, para la configuración estática de un repositorio CRL basado en LDAP. Sólo es necesario utilizar estas directivas para consultar el repositorio CRL basado en LDAP si falta una extensión de certificado CRLDistributionPoint X.509v3 explícita o el servidor especificado en la extensión no responde (no está disponible).
Si hay una extensión CRLDistributionPoint en el certificado y el servidor especificado en la extensión responde (está disponible), el servidor LDAP especificado en CRLDistributionPoint se consulta de forma anónima, sin utilizar estas directivas.
Sintaxis | SSLDisable |
Ámbito | Servidor global o host virtual. |
Valor predeterminado | Está inhabilitada por omisión. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Ninguno. |
Sintaxis | SSLEnable |
Ámbito | Servidor global o host virtual. |
Valor predeterminado | Está inhabilitada por omisión. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Ninguno. |
La directiva SSLFakeBasicAuth habilita el soporte de autenticación básica contra la falsificación.
Sintaxis | SSLFakeBasicAuth |
Ámbito | Dentro de la stanza de directorio, se utiliza junto con AuthName, AuthType y las directivas necesarias. |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por stanza de directorio. |
Valores | Ninguno. |
Sintaxis | SSLFIPSDisable |
Ámbito | Virtual y global. |
Valor predeterminado | Está inhabilitada por omisión. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Ninguno. |
Sintaxis | SSLFIPSEnable |
Ámbito | Virtual y global. |
Valor predeterminado | Está inhabilitada por omisión. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Ninguno. |
La directiva SSLPKCSDriver identifica el nombre totalmente calificado en el módulo o el controlador utilizado para acceder al dispositivo PKCS11.
Sintaxis | Nombre plenamente cualificado al módulo utilizado para acceder al dispositivo PKCS11>. Si existe el módulo en la vía de acceso del usuario, especifique sólo el nombre del módulo. |
Ámbito | Servidor global o host virtual. |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Vía de acceso y nombre del módulo o controlador de PKCS11. |
La directiva SSLProtocolDisable permite especificar uno o más protocolos SSL que el cliente no puede utilizar para un host virtual específico. Esta directiva debe localizarse en un contenedor <HostVirtual>.
Sintaxis | SSLProtocolDisable <nombreprotocolo> |
Ámbito | Host virtual |
Valor predeterminado | Inhabilitado |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Se permiten varias instancias para el host virtual. |
Valores | Para esta directiva están disponibles los siguientes valores posibles.
|
<VirtualHost *:443> SSLEnable SSLProtocolDisable SSLv2 SSLv3 (y otras directivas) </VirtualHost>
Sintaxis | SSLProxyEngine on|off |
Ámbito | Hosts virtuales basados en IP |
Valor predeterminado | Desactivado |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una por host virtual y servidor global |
Valores | on|off |
Sintaxis | SSLServerCert [prompt] mi_etiqueta_certificado; on PKCS11 device - SSLServerCert mitetiquetaseñal:mietiquetaclave |
Ámbito | Hosts virtuales basados en IP. |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Etiqueta del certificado. Utilice la opción /prompt para habilitar a HTTP Server para que solicite la contraseña de la señal cifrada durante el inicio. No incluya la etiqueta de certificado entre delimitadores. Asegúrese de que la etiqueta está contenida en una línea; se ignorarán los espacios iniciales y finales. |
La directiva SSLStashfile indica la vía de acceso al archivo con el nombre de archivo que contiene la contraseña cifrada para abrir el dispositivo PKCS11.
Sintaxis | SSLStashFile /usr/HTTPServer/mystashfile.sth |
Ámbito | Host virtual y servidor global. |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | Nombre de un archivo stash LDAP y/o PKCS11 que se crea con el mandato sslstash. |
SSLStashFile no apunta a un archivo stash para el archivo de claves que se está utilizando, porque esto se calcula automáticamente basándose en el nombre del archivo de claves y es un tipo diferente de archivo stash.
Utilice el mandato sslstash, que se encuentra en el directorio bin de IBM HTTP Server, para crear el archivo stash de contraseña de CRL. La contraseña que se especifica utilizando el mandato sslstash debe ser igual a la que se utiliza para conectarse al servidor LDAP.
Utilización: sslstash [-c] <directorio_de_archivo_contraseña_y_nombre_archivo> <nombre_función> <contraseña>
Utilice la directiva SSLStashFile, junto con las directivas SSLCRLPort, SSLCRLHostname y SSLCRLUserID, para la configuración estática de un repositorio CRL basado en LDAP. Sólo es necesario utilizar estas directivas para consultar el repositorio CRL basado en LDAP si falta una extensión de certificado CRLDistributionPoint X.509v3 explícita o el servidor especificado en la extensión no responde (no está disponible).
Si hay una extensión CRLDistributionPoint en el certificado y el servidor especificado en la extensión responde (está disponible), el servidor LDAP especificado en CRLDistributionPoint se consulta de forma anónima, sin utilizar estas directivas.
La directiva SSLTrace habilita el registro de depuración en mod_ibm_ssl. Se utiliza junto con la directiva LogLevel. Para habilitar el registro de depuración en mod_ibm_ssl, establezca LogLevel en debug y añada la directiva SSLTrace al ámbito global en el archivo de configuración de IBM HTTP Server, después de la directiva LoadModule para mod_ibm_ssl. Esta directiva se suele utilizar en la petición de servicio de soporte de IBM cuando se investiga la causa de un problema con mod_ibm_ssl. No recomendamos habilitar esta directiva en condiciones de funcionamiento normales.
Sintaxis | SSLTrace |
Ámbito | Global |
Valor predeterminado | No está habilitado el registro de depuración mod_ibm_ssl |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Se ignora |
Valores | None |
La directiva SSLV2Timeout establece el tiempo de espera de los ID de sesión de la versión 2 de SSL.
Sintaxis | SSLV2Timeout 60 |
Ámbito | Host básico global y virtual. |
Valor predeterminado | 40 |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | De 0 a 100 segundos. |
La directiva SSLV3Timeout establece el tiempo de espera de los ID de sesión de SSL versión 3 y TLS.
Sintaxis | SSLV3Timeout 1000 |
Ámbito | Host básico global y virtual.
|
Valor predeterminado | 120 |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por host virtual y servidor global. |
Valores | De 0 a 86400 segundos. |
La directiva SSLVersion habilita el rechazo de acceso a objetos, si el cliente intenta conectar con una versión del protocolo SSL que no es la especificada.
Sintaxis | SSLVersion ALL |
Ámbito | Uno por stanza de directorio. |
Valor predeterminado | Ninguno. |
Module | mod_ibm_ssl |
Varias instancias del archivo de configuración | Una instancia por stanza <Directory> o <Location>. |
Valores | SSLV2|SSLV3|TLSV1|ALL |