IBM HTTP Server for WebSphere Application Server, Version 6.1
             Betriebssysteme: AIX, HP-UX, Linux, Solaris, Windows, z/OS

             Inhaltsverzeichnis und Suchergebnisse anpassen

SSL-Anweisungen

SSL-Anweisungen (Secure Sockets Layer) sind die Konfigurationsparameter, die das SSL-Feature in IBM HTTP Server steuern.

Die meisten SSL-Anweisungen in IBM HTTP Server weisen dasselbe Verhalten auf. Eine für eine bestimmte virtuelle Hostkonfiguration angegebene Anweisung überschreibt eine Anweisung, die in der Konfiguration des Basisservers definiert ist. Außerdem überschreibt eine für ein untergeordnetes Verzeichnis angegebene Anweisung eine Anweisung, die für das zugehörige übergeordnete Verzeichnis angegeben wurde. Es gibt jedoch Ausnahmen.

Wenn beispielsweise keine Anweisung für einen virtuellen Host angegeben ist, kann die Anweisung, die in der Konfiguration des Basisservers angegeben ist, in die Konfiguration des virtuellen Hosts kopiert werden. In diesem Fall überschreibt die Anweisung in der Konfiguration des Basisservers die Konfiguration des virtuellen Hosts.
Anmerkung: Die Anweisung "SSLEnable" darf nicht in der Konfiguration des Basisservers angegeben werden, wenn die Anweisung nicht automatisch in die Konfiguration eines bestimmten virtuellen Hosts kopiert werden soll.

Außerdem kann eine für ein untergeordnetes Verzeichnis angegebene Anweisung an die Anweisung, die für das zugehörige übergeordnete Verzeichnis angegeben wurde, angefügt werden. In diesem Fall überschreibt die Anweisung für das übergeordnete Verzeichnis die Anweisung für das untergeordnete Verzeichnis nicht, sondern wird an diese angehängt, und es werden beide Anweisungen auf das untergeordnete Verzeichnis angewendet.

Die folgende Liste enthält die SSL-Anweisungen für IBM HTTP Server.

SSLOCSPResponderURL

Ermöglicht die Überprüfung von Clientzertifikaten über einen statisch konfigurierten OCSP-Responder (Online Certificate Status Protocol).
Syntax

[AIX Solaris HP-UX Linux Windows] SSLOCSPResponderURL<URL>

Geltungsbereich Virtueller Host
Standardwert Inakiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Es sind mehrere Instanzen pro virtuellem Host zulässig.
Werte Ein vollständig qualifizierter URL, der auf einen OCSP-Responder verweist, z. B. http://hostname:2560/. Der Teil des URLs mit dem Pfad wird bei der Übergabe von OCSP-Anforderungen nicht verwendet.
Wenn SSLOCSPResponderURL gesetzt ist, verwendet IHS den angegebenen URL, um den Status des Zertifikatswiderrufs zu prüfen, wenn ein SSL-Clientzertifikat bereitgestellt wird.

Wenn die CRL-Prüfung konfiguriert ist, wird die CRL-Prüfung vor der OCSP-Prüfung durchgeführt. Die OCSP-Prüfung findet nur statt, wenn das Ergebnis der CRL-Prüfung unbekannt oder nicht schlüssig ist.

Wenn SSLOCSPEnable und SSLOCSPResponderURL konfiguriert sind, wird zuerst der mit SSLOCSPResponderURL definierte Responder geprüft. Falls der Widerrufstatus unbekannt oder nicht schlüssig ist, überprüft IHS die OCSP-Responder gemäß der Beschreibung von SSLOCSPEnable.

SSLOCSPEnable

Ermöglicht die Überprüfung von Clientzertifikaten über OCSP-Responder, die in der AIA-Erweiterung (Authority Information Access) ihres Zertfikats definiert sind.
Syntax

[AIX Solaris HP-UX Linux Windows] SSLOCSPEnable

Geltungsbereich Virtueller Host
Standardwert Inakiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Es sind eine Instanz pro virtuellem Host zulässig.
Werte Ohne
Wenn SSLOCSPEnable gesetzt ist und eine SSL-Clientzertifizierungskette eine AIA-Erweiterung enthält, wendet sich IHS an den in der AIA-Erweiterung angegebenen OCSP-Responder, um den Widerrufstatus des Clientzertifikats zu prüfen. Der Teil des URLs mit dem Pfad wird ignoriert.

Wenn die CRL-Prüfung konfiguriert ist, wird die CRL-Prüfung vor der OCSP-Prüfung durchgeführt. Die OCSP-Prüfung findet nur statt, wenn das Ergebnis der CRL-Prüfung unbekannt oder nicht schlüssig ist.

Wenn SSLOCSPEnable und SSLOCSPResponderURL konfiguriert sind, wird zuerst der mit SSLOCSPResponderURL definierte Responder geprüft. Falls der Widerrufstatus unbekannt oder nicht schlüssig ist, überprüft IHS die OCSP-Responder gemäß der Beschreibung von SSLOCSPEnable.

Anweisung Keyfile

Die Anweisung "Keyfile" legt die zu verwendende Schlüsseldatei fest.
Anmerkung: Diese Anweisung kann von der Konfiguration des Basisservers überschrieben werden.
Syntax
[AIX] [Solaris] [Linux] [Windows] Keyfile [/prompt] /vollständig qualifizierter Pfad der Schlüsseldatei/keyfile.kdb
[z/OS] Anmerkung: Die Funktion /prompt wird nur bei der Ausführung über eine USS-Shell und nicht bei der Ausführung über einen gestarteten JCL-Job unterstützt. Wenn Sie die Funktion /prompt über einen gestarteten JCL-Job verwenden, tritt ein Konfigurationsfehler auf.
[z/OS] Sie können einen im HFS (Hierarchical File System) oder im SAF (System Authorization Facility) gespeicherten Schlüsselring verwenden. Geben Sie zur Verwendung eines in HFS gespeicherten Schlüsselrings Folgendes ein:
  • Keyfile /vollständig qualifizierter Pfad der Schlüsseldatei/keyfile.kdb
Geben Sie zur Verwendung eines in SAF gespeicherten Schlüsselrings Folgendes ein:
  • Keyfile /saf WASKeyring
    Anmerkung: Bei SAF-Schlüsselringen gilt Folgendes:
    • Bei der Verwendung von SAF gibt es keine verdeckte Datei, und der Zugriff wird durch dei SAF-Regeln gesteuert. Wenn Sie versuchen, das Argument Keyfile/prompt/saf zu verwenden, wird das Argument deshalb nicht unterstützt. Die Verwendung dieses Arguments führt zu einem Konfigurationsfehler.
    • Die ID, die zum Starten von IBM HTTP Server verwendet wird, muss auf den in dieser Anweisung genannten Schlüsselring zugreifen können. Ist dies nicht möglich, schlägt die SSL-Initialisierung fehl.
Geltungsbereich Globaler Server oder virtueller Host
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Dateiname der Schlüsseldatei.

[AIX Solaris HP-UX Linux Windows] Wenn Sie die Option prompt verwenden, fordert IBM HTTP Server Sie beim Start auf, das Kennwort für die Schlüsseldatei anzugeben.

[z/OS] Verwenden Sie Zugriffschutz für das Dateisystem für die Einschränkung von Zugriffen. Mit den SAF-Schlüsselringen (System Authorization Facility) können Sie den Zugriff auf SSL-Zertifikate einschränken.

[z/OS] Wichtig: Das z/OS-System unterstützt keine Schlüsseldateien, die auf anderen Plattformen erstellt wurden. Schlüsseldateien, die für z/OS-Systeme verwendet werden, müssen auf der Plattform z/OS erstellt werden.

Anweisung SSLAcceleratorDisable

Die Anweisung "SSLAcceleratorDisable" inaktiviert die Beschleunigereinheit.
Syntax SSLAcceleratorDisable
Geltungsbereich Virtuell und global
Standardwert Beschleunigereinheit ist aktiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host
Werte Ohne. Sie können die Anweisung an jeder Stelle in der Konfigurationsdatei einfügen, auch in der Zeilengruppe eines virtuellen Hosts. Wenn das System während der Initialisierung feststellt, dass eine Beschleunigereinheit auf der Maschine installiert ist, verwendet das System diesen Beschleuniger, um die Anzahl sicherer Transaktionen zu erhöhen. Für diese Anweisung sind keine Argumente verfügbar.

Anweisung SSLAllowNonCriticalBasicConstraints [AIX Solaris HP-UX Linux Windows]

Die Anweisung "SSLAllowNonCriticalBasicConstraints" unterstützt die Kompatibilität mit einem Aspekt der von der japanischen Regierung ausgegebenen Spezifikation "GPKI", der mit RFC3280 in Konflikt steht.
Syntax SSLAllowNonCriticalBasicConstraints on|off
Geltungsbereich Globaler Server oder virtueller Server
Standardwert Off
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Ohne. Diese Anweisung ändert das Verhalten des Algorithmus für Zertifikatvalidierung so, dass eine nicht kritische Basic-Constraints-Erweiterung in einem CA-Ausstellerzertifikat keinen Validierungsfehler verursacht. Dies unterstützt die Kompatibilität mit einem Aspekt der von der japanischen Regierung ausgegebenen Spezifikation "GPKI", der mit RFC3280 in Konflikt steht.
Anmerkung: RFC3280 legt fest, dass diese Erweiterung als kritische Erweiterung in allen CA-Zertifikaten erscheinen muss, die öffentliche Schlüssel für die Validierung digitaler Signaturen in Zertifikaten enthalten.

Anweisung SSLCacheDisable [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

Die Anweisung "SSLCacheDisable" inaktiviert den Cache für externe SSL-Sitzungs-IDs.
Syntax SSLCacheDisable
Geltungsbereich Eine Anweisung pro physischer Serverinstanz; nur zulässig außerhalb der Zeilengruppen für virtuelle Hosts
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Nicht zulässig
Werte Ohne.

Anweisung SSLCacheEnable [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

Die Anweisung "SSLCacheEnable" aktiviert den Cache für externe SSL-Sitzungs-IDs.
Syntax SSLCacheEnable
Geltungsbereich Eine Anweisung pro physischer Serverinstanz; nur zulässig außerhalb der Zeilengruppen für virtuelle Hosts
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Nicht zulässig
Werte Ohne.

Anweisung SSLCacheErrorLog [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

Die Anweisung "SSLCacheErrorLog" legt den Dateinamen für den Sitzungs-ID-Cache fest.
Syntax SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg
Geltungsbereich Serverkonfiguration außerhalb des virtuellen Hosts.
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Nicht zulässig
Werte Ein gültiger Dateiname.

Anweisung SSLCachePath [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

Die Anweisung "SSLCachePath" gibt den Pfad der ausführbaren Datei des Dämons für das Caching von Sitzungs-IDs an.
Syntax SSLCachePath /usr/HTTPServer/bin/sidd
Geltungsbereich Serverkonfiguration außerhalb des virtuellen Hosts.
Standardwert <Serverstammverzeichnis>/bin/sidd
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Nicht zulässig
Werte Ein gültiger Pfadname.

Anweisung SSLCachePortFilename [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

Die Anweisung "SSLCachePortFilename" legt den Dateinamen für den UNIX-Domänen-Socket fest, der für die Kommunikation zwischen Serverinstanzen und dem Dämon für das Caching von Sitzungs-IDs verwendet wird. Sie müssen diese Anweisung definieren, wenn Sie beide Instanzen von IBM HTTP Server aus demselben Installationsverzeichnis ausführen und beide Instanzen für SSL konfiguriert sind. Andernfalls müssen Sie diese Anweisung nicht definieren.
Syntax SSLCachePath /usr/HTTPServer/logs/sidd
Geltungsbereich Serverkonfiguration außerhalb des virtuellen Hosts.
Standardwert Wenn diese Anweisung nicht definiert, aber der Cache aktiviert ist, versucht der Server, die Datei <Serverstammverzeichnis>/logs/siddport zu verwenden.
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Nicht zulässig
Werte Ein gültiger Pfadname. Der Webserver löscht diese Datei beim Starten.

Anweisung SSLCacheTraceLog [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

Die Anweisung "SSLCacheTraceLog" gibt die Datei an, in die die Trace-Nachrichten für Sitzungs-IDs geschrieben werden. Ohne diese Anweisung ist der Trace inaktiviert.
Syntax SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log
Geltungsbereich Serverkonfiguration außerhalb des virtuellen Hosts.
Standardwert Ohne.
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Nicht zulässig
Werte Ein gültiger Pfadname.

Anweisung SSLCipherBan

Die Anweisung "SSLCipherBan" verweigert den Zugriff auf ein Objekt, wenn der Client für die Verbindungsherstellung einen der angegebenen Chiffrierwerte verwendet. Die Anforderung schlägt mit dem Statuscode 403 fehl.
Anmerkung: Wenn diese Anweisung für ein untergeordnetes Verzeichnis angegeben wird, wird die für das übergeordnete Verzeichnis angegebene Anweisung nicht überschrieben. Stattdessen werden beide Anweisungen auf das untergeordnete Verzeichnis angewendet.
Syntax SSLCipherBan <Verschlüsselungsspezifikation>
Geltungsbereich Mehrere Instanzen pro Verzeichniszeilengruppen
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine pro Verzeichniszeilengruppe. Die Prioritätsreihenfolge ist absteigend.
Werte Nähere Informationen hierzu finden Sie in den Artikeln Verschlüsselungsspezifikationen der SSL Version 2 und Verschlüsselungsspezifikationen SSL Version 3 und TLS Version 1.

Anweisung SSLCipherRequire

Die Anweisung "SSLCipherRequire" beschränkt den Zugriff auf Objekte auf Clients, die ihre Verbindung mit einem der angegebenen Chiffrierwerte hergestellt haben. Wenn der Zugriff verweigert wird, schlägt die Anforderung mit dem Statuscode '403' fehl.
Anmerkung: Wenn diese Anweisung für ein untergeordnetes Verzeichnis angegeben wird, wird die für das übergeordnete Verzeichnis angegebene Anweisung nicht überschrieben. Stattdessen werden beide Anweisungen auf das untergeordnete Verzeichnis angewendet.
Syntax SSLCipherRequire <Verschlüsselungsspezifikation>
Geltungsbereich Mehrere Instanzen pro Verzeichniszeilengruppen
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine pro Verzeichniszeilengruppe.
Werte Nähere Informationen hierzu finden Sie in den Artikeln Verschlüsselungsspezifikationen der SSL Version 2 und Verschlüsselungsspezifikationen SSL Version 3 und TLS Version 1.

Anweisung SSLCipherSpec

Wenn Sie V3- oder TLS-Verschlüsselungen und keine SSL-V2-Verschlüsselungen angeben, ist die Unterstützung von SSL V2 inaktiviert. Wenn Sie SSL-V2-Verschlüsselungen und keine SSL-V3- oder TLS-Verschlüsselungen angeben, ist die Unterstützung für SSL V3 und TLS inaktiviert.
Syntax SSLCipherSpec Kurzname oder SSLCipherSpec vollständiger_Name
Geltungsbereich Virtueller Host
Standardwert Wenn Sie keine Angabe machen, verwendet der Server alle verfügbaren Verschlüsselungsspezifikationen aus der installierten GSK-Bibliothek.
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Zulässig. Die Prioritätsreihenfolge ist absteigend. Falls der Client die Verschlüsselungsspezifikationen nicht unterstützt, wird die Verbindung geschlossen.
Werte Nähere Informationen hierzu finden Sie in den Artikeln Verschlüsselungsspezifikationen der SSL Version 2 und Verschlüsselungsspezifikationen SSL Version 3 und TLS Version 1.

Anweisung SSLClientAuth

Die Anweisung "SSLClientAuth" legt den zu verwendenden Modus für die Clientauthentifizierung fest. Die gültigen Werte sind 0/none, 1/optional und 2/erforderlich.
Syntax SSLClientAuth <erforderliche Stufe> [crl]
Geltungsbereich Virtueller Host
Standardwert SSLClientAuth none
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host
Werte
  • 0/None: Es wird kein Clientzertifikat angefordert.
  • 1/Optional: Es wird zwar ein Clientzertifikat angefordert, aber es ist keins erforderlich.
  • 2/Required: Es ist ein gültiges Clientzertifikat erforderlich.
  • CRL: Aktiviert oder inaktiviert die Verwendung einer Zertifikatwiderrufliste in einem virtuellen SSL-Host. Wenn Sie eine Zertifikatwiderrufliste verwenden, müssen Sie crl als zweites Argument für SSLClientAuth angeben. Beispiel: SSLClientAuth 2 crl. Wenn Sie crl nicht angeben, können Sie keine Zertifikatwiderrufliste in einem virtuellen SSL-Host verwenden.

Die Angabe von 0/None schließt die Angabe der Option crl aus.

Anweisung SSLClientAuthGroup

Die Anweisung "SSLClientAuthGroup" definiert eine benannte Ausdrucksgruppe mit spezifischen Attribut/Wert-Paaren für Clientzertifikate. Diese benannte Gruppe kann von den SSLClientAuthRequire-Anweisungen verwendet werden. Der Client muss ein Zertifikat, das diesen Ausdruck übergibt, bereitstellen, bevor der Server den Zugriff auf die geschützte Ressource zulässt.

Syntax SSLClientAuthGroup Attributausdruck für Gruppennamen
Geltungsbereich Serverkonfiguration, virtueller Host.
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Zulässig.
Überschreiben Ohne
Werte Logischer Ausdruck, der aus Attributprüfungen besteht, die mit AND, OR, NOT und runden Klammern verknüpft sind. Beispiel:
SSLClientAuthGroup IBMpeople Org = IBM

Beschreibung gültiger logischer Ausdrücke. Der folgende Abschnitt beschreibt Beispiele mit gültigen logischen Ausdrücken. Beispiel: SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM bedeutet, dass das Objekt nur dann bereitgestellt wird, wenn das Clientzertifikat einen allgemeinen Namen mit dem Wert Fred Smith oder John Deere und die Organisation IBM enthält. Die einzigen gültigen Vergleichsoperatoren für Attributprüfungen sind gleich und ungleich (= und !=). Sie können die Attributprüfungen mit AND, OR oder NOT (auch &&, || und !) miteinander verknüpfen. Verwenden Sie für die Gruppierung von Vergleichen runde Klammern. Wenn der Wert des Attributs ein nicht alphanumerisches Zeichen enthält, müssen Sie den Wert mit Anführungszeichen begrenzen.

Die folgende Liste enthält die Attributwerte, die Sie für diese Anweisung angeben können:
Vollständiger Name Kurzname
CommonName CN
Land C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
Ort L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

Sie können mit dieser Anweisung den vollständigen oder den Kurznamen angeben.

Der Benutzer gibt einen logischen Ausdruck bestimmter Attribute für das Clientzertifikat an. Sie können die logischen Operatoren AND, OR und NOT für mehrere Ausdrücke verwenden, um die gewünschte Gruppe von Attributwerten für das Clientzertifikat anzugeben. Zu den gültigen Operatoren gehören '=' und '!='. Beispiel:
SSLClientAuthGroup IBMpeople Org = IBM 
oder
SSLClientAuthGroup NotMNIBM ST != MN && Org = IBM 

Ein Gruppenname darf keine Leerzeichen enthalten. Nähere Informationen enthält der Artikel Anweisung SSLClientAuthRequire.

Anweisung SSLClientAuthRequire

Die Anweisung "SSLClientAuthRequire" gibt Attribute oder Gruppen von Attributwerten an, die auf der Basis eines Clientzertifikats validiert werden müssen, bevor der Server den Zugriff auf die geschützte Ressource zulässt.

Syntax SSLClientAuthRequire Attribut Ausdruck
Geltungsbereich Serverkonfiguration, virtueller Host
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Zulässig. Die Funktion verknüpft diese Anweisungen mit "AND".
Überschreiben AuthConfig
Werte Logischer Ausdruck, der aus Attributprüfungen besteht, die mit AND, OR, NOT und runden Klammern verknüpft sind. Beispiel:
SSLClientAuthRequire group != IBMpeople && ST = M

Wenn das Zertifikat, das Sie erhalten haben, kein bestimmtes Attribut hat, wird nicht geprüft, ob eine Attributübereinstimmung vorliegt. Selbst wenn der angegebene Abgleichwert " " ist, ist dies nicht unbedingt dasselbe, als wäre kein Attribut angegeben. Jedes mit der Anweisung SSLClientAuthRequire angegebene Attribut, das nicht im Zertifikat enthalten ist, führt dazu, dass die Anforderung zurückgewiesen wird.

Die folgende Liste enthält die Attributwerte, die Sie für diese Anweisung angeben können:
Vollständiger Name Kurzname
CommonName CN
Land C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
Ort L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

Sie können mit dieser Anweisung den vollständigen oder den Kurznamen angeben.

Der Benutzer gibt einen logischen Ausdruck bestimmter Attribute für das Clientzertifikat an. Sie können die logischen Operatoren AND, OR und NOT für mehrere Ausdrücke verwenden, um die gewünschte Gruppe von Attributwerten für das Clientzertifikat anzugeben. Zu den gültigen Operatoren gehören '=' und '!='. Sie können auch einen Gruppennamen angeben, der mit Anweisung SSLClientAuthGroup konfiguriert wurde, um eine Gruppe von Attributen zu konfigurieren.

Sie können mehrere SSLClientAuthRequire-Anweisungen für denselben Bereich angeben. Die logischen Ausdrücke der einzelnen Anweisungen werden verwendet, um die Zugriffsberechtigungen für die einzelnen Zertifikate auszuwerten, und die Ergebnisse der einzelnen Auswertungen werden durch ein logisches UND miteinander verknüpft. Beispiel:
SSLClientAuthRequire (CommonName="John Doe" || StateOrProvince=MN) && Org !=IBM 
oder
SSLClientAuthRequire group!=IBMpeople && ST=MN
Kurznamen und ausgeschriebene Namen können in Anführungszeichen gesetzt werden. Beispiel:
SSLClientAuthRequire group != IBMpeople && "ST= MN"
Nähere Informationen enthält der Artikel Anweisung SSLClientAuthGroup.

Anweisung SSLCRLHostname

Die Anweisung "SSLCRLHostname" gibt den TCP/IP-Namen oder die TCP/IP-Adresse des LDAP-Servers an, auf dem die CRL-Datenbank (Certificate Revocation List, Zertifikatswiderrufsliste) gespeichert ist.

Syntax <SSLCRLHostName <TCP/IP-Name oder -Adresse>
Geltungsbereich Globaler Server oder virtueller Host
Standardwert Inaktiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte TCP/IP-Name oder -Adresse des LDAP-Servers

Verwenden Sie die Anweisung "SSLCRLHostname" zusammen mit den Anweisungen "SSLCRLPort", "SSLCRLUserID" und "SSLStashfile" für die statische Konfiguration eines LDAP-basierten CRL-Repositorys. Diese Anweisungen müssen für die Abfrage des LDAP-basierten CRL-Repositorys nur verwendet werden, wenn eine explizite "CRLDistributionPoint X.509v3"-Zertifikatserweiterung fehlt oder wenn der in der Erweiterung angegebene Server nicht reagiert (nicht verfügbar ist).

Wenn eine "CRLDistributionPoint"-Erweiterung im Zertifikat enthalten ist und der in der Erweiterung angegebene Server reagiert (verfügbar ist), wird der mit "CRLDistributionPoint" angegebene LDAP-Server anonym, ohne Verwendung dieser Anweisungen, abgefragt.

Anweisung SSLCRLPort

Die Anweisung "SSLCRLPort" gibt den Port des LDAP-Servers an, in dem die CRL-Datenbank gespeichert ist.

Syntax SSLCRL<Port>
Geltungsbereich Globaler Server oder virtueller Host
Standardwert Inaktiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Port des LDAP-Servers, Standardeinstellung = 389

Verwenden Sie die Anweisung "SSLCRLPort" zusammen mit den Anweisungen "SSLCRLUserID", "SSLCRLHostname" und "SSLStashfile" für die statische Konfiguration eines LDAP-basierten CRL-Repositorys. Diese Anweisungen müssen für die Abfrage des LDAP-basierten CRL-Repositorys nur verwendet werden, wenn eine explizite "CRLDistributionPoint X.509v3"-Zertifikatserweiterung fehlt oder wenn der in der Erweiterung angegebene Server nicht reagiert (nicht verfügbar ist).

Wenn eine "CRLDistributionPoint"-Erweiterung im Zertifikat enthalten ist und der in der Erweiterung angegebene Server reagiert (verfügbar ist), wird der mit "CRLDistributionPoint" angegebene LDAP-Server anonym, ohne Verwendung dieser Anweisungen, abgefragt.

Anweisung SSLCRLUserID

Die Anweisung "SSLCRLUserID" gibt die Benutzer-ID an, die an den LDAP-Server mit der CRL-Datenbank gesendet wird.

Syntax SSLCRLUserID <[prompt] <Benutzer-ID>
Geltungsbereich Globaler Server oder virtueller Host
Standardwert Wenn Sie keine Benutzer-ID angeben, wird standardmäßig anonymous verwendet.
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Benutzer-ID des LDAP-Servers. Wenn Sie die Option prompt verwenden, fordert der HTTP-Server Sie beim Start auf, das Kennwort für den Zugriff auf den LDAP-Server einzugeben.

Verwenden Sie die Anweisung "SSLCRLUserID" zusammen mit den Anweisungen "SSLCRLPort", "SSLCRLHostname" und "SSLStashfile" für die statische Konfiguration eines LDAP-basierten CRL-Repositorys. Diese Anweisungen müssen für die Abfrage des LDAP-basierten CRL-Repositorys nur verwendet werden, wenn eine explizite "CRLDistributionPoint X.509v3"-Zertifikatserweiterung fehlt oder wenn der in der Erweiterung angegebene Server nicht reagiert (nicht verfügbar ist).

Wenn eine "CRLDistributionPoint"-Erweiterung im Zertifikat enthalten ist und der in der Erweiterung angegebene Server reagiert (verfügbar ist), wird der mit "CRLDistributionPoint" angegebene LDAP-Server anonym, ohne Verwendung dieser Anweisungen, abgefragt.

Anweisung SSLDisable

Mit der Anweisung SSLDisable können Sie SSL für den virtuellen Host inaktivieren.
Syntax SSLDisable
Geltungsbereich Globaler Server oder virtueller Host
Standardwert Inaktiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Ohne

Anweisung SSLEnable

Mit der Anweisung SSLEnable können Sie SSL für den virtuellen Host aktivieren.
Anmerkung: Diese Anweisung darf nicht in der Konfiguration des Basisservers angegeben werden, wenn die Anweisung nicht automatisch in die Konfiguration eines bestimmten virtuellen Hosts kopiert werden soll.
Syntax SSLEnable
Geltungsbereich Globaler Server oder virtueller Host
Standardwert Inaktiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Ohne

Anweisung SSLFakeBasicAuth

Die Anweisung "SSLFakeBasicAuth" aktiviert die Unterstützung für manipulierte Basisauthentifizierung.

Wenn diese Unterstützung aktiviert ist, kann der DN des Clientzertifikats als Benutzerteil in das Benutzer/Kennwort-Paar für die Basisauthentifizierung aufgenommen werden. Verwenden Sie für das Kennwort password.
Anmerkung: Diese Anweisung kann von der Konfiguration des Basisservers überschrieben werden.
Syntax SSLFakeBasicAuth
Geltungsbereich In einer Verzeichniszeilengruppe zusammen mit den Anweisungen AuthName, AuthType und require verwendet.
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro Verzeichniszeilengruppe.
Werte Ohne

Anweisung SSLFIPSDisable [AIX Solaris HP-UX Linux Windows]

Die Anweisung "SSLFIPSDisable" inaktiviert Federal Information Processing Standards (FIPS).
Syntax SSLFIPSDisable
Geltungsbereich Virtuell und global
Standardwert Inaktiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Ohne

Anweisung SSLFIPSEnable [AIX Solaris HP-UX Linux Windows]

Die Anweisung "SSLFIPSEnable" aktiviert Federal Information Processing Standards (FIPS).
Syntax SSLFIPSEnable
Geltungsbereich Virtuell und global
Standardwert Inaktiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Ohne
Anmerkung: Lesen Sie hierzu auch den Artikel Verschlüsselungsspezifikationen SSL Version 3 und TLS Version 1.

Anweisung SSLPKCSDriver [AIX Solaris HP-UX Linux Windows]

Die Anweisung "SSLPKCSDriver" gibt den vollständig qualifizierten Namen des Moduls oder Treibers für den Zugriff auf die PKCS11-Einheit an.

Syntax Vollständig qualifizierter Name des Moduls für den Zugriff auf die PKCS11-Einheit. Falls das Modul im Benutzerpfad enthalten ist, geben Sie einfach den Namen des Moduls an.
Geltungsbereich Globaler Server oder virtueller Host
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Pfad und Name des PKCS11-Moduls oder -Treibers.
Im Folgenden sind die Standardpositionen der Module für die PKCS11-Einheiten nach Plattform aufgelistet:
  • nCipher
    • AIX: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP: /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Solaris: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • Windows: c:\nfast\toolkits\pkcs11\cknfast.dll
  • IBM 4758
    • AIX: /usr/lib/pkcs11/PKCS11_API.so
    • Windows: $PKCS11_HOME\bin\nt\cryptoki.dll
  • IBM e-business Cryptographic Accelerator
    • AIX: /usr/lib/pkcs11/PKCS11_API.so

Anweisung SSLProtocolDisable [AIX Solaris HP-UX Linux Windows]

Mit der Anweisung "SSLProtocolDisable" können Sie SSL-Protokolle angeben, die der Client für einen bestimmten virtuellen Host nicht verwenden darf. Diese Anweisung muss im Container <VirtualHost> enthalten sein.

Die unterstützten Protokolle für einen virtuellen Host werden unabhängig voneinander unterstützt. Wenn alle unterstützten Protokolle inaktiviert sind, können Clients keinen SSL-Handshake durchführen.
Syntax SSLProtocolDisable <Protokollname>
Geltungsbereich Virtueller Host
Standardwert Inakiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Es sind mehrere Instanzen pro virtuellem Host zulässig.
Werte Die folgenden Werte sind für diese Anweisung verfügbar:
  • SSLv2
  • SSLv3
  • TLSv1
Im folgenden Beispiel wird die Unterstützung für mehrere Protokolle in einem virtuellen Host inaktiviert.
<VirtualHost *:443>
SSLEnable
  SSLProtocolDisable	SSLv2 SSLv3
(alle anderen Anweisungen)
</VirtualHost>
Anmerkung: Für jedne Versuch, eine SSL-Verbindung aufzubauen, wird SSL0230I protokolliert, wenn der Client und der Server nicht mindestens eine Protokoll/Verschlüsselung-Kombination gemeinsam haben.

Anweisung SSLProxyEngine

Die Anweisung "SSLProxyEngine" steuert, ob der Server SSL für Proxy-Verbindungen verwendet. Sie müssen SSLProxyEngine on einstellen, wenn Ihr Server als Reverse Proxy für eine SSL-Ressource eingesetzt wird.
Syntax SSLProxyEngine on|off
Geltungsbereich IP-basierte virtuelle Hosts
Standardwert Off
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte on|off

Anweisung SSLServerCert

Die Anweisung "SSLServerCert" legt das für diesen virtuellen Host zu verwendende Serverzertifikat fest.
Syntax SSLServerCert [prompt] Kennsatz_des_Zertifikats; für PKCS11-Einheit - SSLServerCert TokenKennsatz:Schlüsselkennsatz
Geltungsbereich IP-basierte virtuelle Hosts
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Zertifikatkennsatz. Wenn Sie die Option /prompt verwenden, fordert der HTTP-Server Sie beim Start zur Eingabe des Kennworts für das Verschlüsselungs-Token auf. Schließen Sie den Zertifikatkennsatz nicht in Trennzeichen ein. Der Kennsatz muss in einer Zeile angegeben werden. Führende und abschließende Leerzeichen werden ignoriert.

Anweisung SSLStashfile

Die Anweisung "SSLStashfile" gibt den Pfad und den Dateinamen der Datei an, die das verschlüsselte Kennwort zum Öffnen der PKCS11-Einheit enthält.

Syntax SSLStashFile /usr/HTTPServer/mystashfile.sth
Geltungsbereich Virtueller Host und globaler Server
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte Dateiname einer verdeckten LDAP- und/oder PKCS11-Datei, die mit dem Befehl sslstash erstellt wurde.

Die SSLStashFile zeigt nicht auf eine verdeckte Datei für die verwendete Schlüsseldatei, da diese automatisch basierend auf dem Namen der Schlüsseldatei ermittelt wird und einen anderen Typ hat als die verdeckte Datei.

Verwenden Sie den Befehl sslstash im Verzeichnis bin von IBM HTTP Server, um die verdeckte Datei mit dem CRL-Kennwort zu erstellen. Das Kennwort, das Sie mit dem Befehl sslstash angeben, muss dasselbe sein, dass Sie für die Anmeldung am LDAP-Server verwenden.

Syntax: sslstash [-c] <Verzeichnis_mit_Kennwortdatei_und_Dateiname> <Funktionsname> <Kennwort>

Für diese Angaben gilt Folgendes:
  • -c: Erstellt eine neue verdeckte Datei. Falls Sie diese Option nicht angeben, wird eine vorhandene Datei aktualisiert.
  • Datei: Steht für den vollständig qualifizierten Namen der zu erstellenden bzw. zu aktualisierenden Datei.
  • Funktion: Gibt die Funktion an, für die das Kennwort verwendet werden soll. Die gültigen Werte sind crl und crypto.
  • Kennwort: Steht für das verdeckt zu speichernde Kennwort.
Anmerkung: Lesen Sie hierzu auch den Artikel SSL-Zertifikatwiderruflisten.

Verwenden Sie die Anweisung "SSLStashFile" zusammen mit den Anweisungen "SSLCRLPort", "SSLCRLHostname" und "SSLCRLUserID" für die statische Konfiguration eines LDAP-basierten CRL-Repositorys. Diese Anweisungen müssen für die Abfrage des LDAP-basierten CRL-Repositorys nur verwendet werden, wenn eine explizite "CRLDistributionPoint X.509v3"-Zertifikatserweiterung fehlt oder wenn der in der Erweiterung angegebene Server nicht reagiert (nicht verfügbar ist).

Wenn eine "CRLDistributionPoint"-Erweiterung im Zertifikat enthalten ist und der in der Erweiterung angegebene Server reagiert (verfügbar ist), wird der mit "CRLDistributionPoint" angegebene LDAP-Server anonym, ohne Verwendung dieser Anweisungen, abgefragt.

Anweisung SSLTrace

Die Anweisung "SSLTrace" aktiviert die Debugprotokollierung in mod_ibm_ssl. Sie wird zusammen mit der Anweisung LogLevel verwendet. Zum Aktivieren der Debug-Protokollierung in mod_ibm_ssl setzen Sie die Anweisung LogLevel auf debug, und fügen Sie die Anweisung SSLTrace dem globalen Bereich in der Konfigurationsdatei von IBM HTTP Server hinter der Anweisung LoadModule für mod_ibm_ssl hinzu. Diese Anweisung wird normalerweise auf Anforderung der IBM Unterstützungsfunktion zum Untersuchen eines potenziellen Problems in "mod_ibm_ssl" verwendet. Von der Aktivierung dieser Anweisung während des normalen Betriebs wird abgeraten.

Syntax SSLTrace
Geltungsbereich Global
Standardwert Debug-Protokollierung für mod_ibm_ssl ist nicht aktiviert
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Ignoriert
Werte Ohne
Anmerkung: Weitere Informationen finden Sie auch auf der Webseite LogLevel Directive.

Anweisung SSLV2Timeout

Mit der Anweisung SSLV2Timeout können Sie das Zeitlimit für Session-IDs der SSL Version 2 festlegen.

Syntax SSLV2Timeout 60
Geltungsbereich Globaler Server oder virtueller Host
Standardwert 40
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte 0 bis 100 Sekunden

Anweisung SSLV3Timeout

Mit der Anweisung SSLV3Timeout können Sie das Zeitlimit für Sitzungs-ID der SSL Version 3 und TLS-Sitzungs-IDs festlegen.

Syntax SSLV3Timeout 1000
Geltungsbereich Globaler Server oder virtueller Host

[Windows] Sie können die Anweisung auf einen virtuellen Host oder global anwenden.

[AIX] [HP-UX] [Linux] [Solaris] Ein virtueller Host als Geltungsbereich ist nur gültig, wenn auch die Anweisung SSLCacheDisable verwendet wird. Andernfalls ist nur der globale Geltungsbereich zulässig.

Standardwert 120
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Instanz pro virtuellem Host und globalem Server
Werte 0 bis 86400 Sekunden

Anweisung SSLVersion

Mit der Anweisung SSLVersion können Sie die Zurückweisung von Objektzugriffen aktivieren, wenn der Client versucht, mit einer anderen Version des SSL-Protokolls als der angegebenen eine Verbindung herzustellen.

Syntax SSLVersion ALL
Geltungsbereich Eine pro Verzeichniszeilengruppe.
Standardwert Ohne
Modul mod_ibm_ssl
Mehrere Instanzen in der Konfigurationsdatei Eine Zeilengruppe pro <Directory>- oder <Location>-Zeilengruppe.
Werte SSLV2|SSLV3|TLSV1|ALL



Zugehörige Konzepte
SSL-Zertifikatwiderruflisten
Zugehörige Tasks
Stufe der Clientauthentifizierung auswählen
Typ für den Zugriffsschutz mit Clientauthentifizierung auswählen
Sichere Kommunikation mit SSL
Referenzartikel    

Nutzungsbedingungen | Feedback

Letzte Aktualisierung: Feb 20, 2009 1:36:28 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ssldirs.html