IBM HTTP Server for WebSphere Application Server, Version 6.1
             オペレーティング・システム: AIX, HP-UX, Linux, Solaris, Windows, z/OS

             目次と検索結果のパーソナライズ化

SSL ディレクティブ

Secure Sockets Layer (SSL) ディレクティブは、IBM HTTP Server の SSL 機能を制御する構成パラメーターです。

IBM HTTP Server の大部分の SSL ディレクティブには、同じ振る舞いがあります。指定された仮想ホスト構成用に指定されたディレクティブは、基本サーバー構成で指定されたディレクティブをオーバーライドします。 また、子ディレクトリー用に指定されたディレクティブは、その親ディレクトリー用に指定されたディレクティブをオーバーライドします。 ただし、例外があります。

例えば、仮想ホストにディレクティブが指定されていない場合、基本サーバー構成で指定されたディレクティブは仮想ホスト構成にコピーされることがあります。 この場合、基本サーバー構成のディレクティブは仮想ホスト構成をオーバーライドします。
注: ディレクティブを、指定された仮想ホスト構成に自動的にコピーさせない場合は、SSLEnable ディレクティブを基本サーバー構成で指定しないでください。

また、子ディレクトリー用に指定されたディレクティブは、その親ディレクトリー用に指定されたディレクティブに追加されることがあります。 この場合、親ディレクトリー用のディレクティブは、子ディレクトリー用のディレクティブをオーバーライドしませんが、代わりに親ディレクトリー用のディレクティブが子ディレクトリー用のディレクティブに追加され、両方のディレクティブが子ディレクトリーに適用されます。

以下のリストには、IBM HTTP Server の SSL ディレクティブが含まれています。

SSLOCSPResponderURL

静的に構成されたオンライン証明書状態プロトコル (OCSP)・レスポンダーを介して、クライアント証明書を確認できるようにします。
構文

[AIX Solaris HP-UX Linux Windows] SSLOCSPResponderURL<URL>

有効範囲 仮想ホスト
デフォルト 使用不可
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストごとに複数のインスタンスが許可されています
OCSP レスポンダーを指す完全修飾 URL。例えば、http://hostname:2560/ のようになります。 URL のパス部分は、OCSP 要求の送信時に使用されません。
SSLOCSPResponderURL を設定している場合、IHS は指定の URL を使用して、SSL クライアント証明書の提供時に証明書の失効状況を検査します。

CRL 検査を構成している場合は、CRL 検査は OCSP 検査の前に実行されます。 OCSP 検査が実行されるのは、CRL 結果が不明または不確定な場合のみです。

SSLOCSPEnable および SSLOCSPResponderURL の両方を構成している場合は、SSLOCSPResponderURL で定義されたレスポンダーが先に検査されます。 失効状況が不明または不確定な場合、IHS は、前述の SSLOCSPEnable の場合と同様に、OCSP レスポンダーを検査します。

SSLOCSPEnable

クライアント証明書の権限情報アクセス (AIA) 拡張機能で定義された OCSP レスポンダーを介して、クライアント証明書を確認できるようにします。
構文

[AIX Solaris HP-UX Linux Windows] SSLOCSPEnable

有効範囲 仮想ホスト
デフォルト 使用不可
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストごとに 1 つのインスタンスが許可されています
なし
SSLOCSPEnable を設定している状態で、SSL クライアント証明書チェーンに AIA 拡張機能が含まれる場合は、IHS は AIA 拡張機能で示された OCSP レスポンダーに接続して、クライアント証明書の失効状況を検査します。 URL のパス部分は無視されます。

CRL 検査を構成している場合は、OCSP 検査の前に実行されます。 OCSP 検査が実行されるのは、CRL 結果が不明または不確定な場合のみです。

SSLOCSPEnable および SSLOCSPResponderURL の両方を構成している場合は、SSLOCSPResponderURL で定義されたレスポンダーが先に検査されます。 失効状況が不明または不確定な場合、IHS は、前述の SSLOCSPEnable の場合と同様に、OCSP レスポンダーを検査します。

Keyfile ディレクティブ

keyfile ディレクティブは、使用する鍵ファイルを設定します。
注: このディレクティブは、基本サーバー構成によりオーバーライドされる可能性があります。
構文
[AIX] [Solaris] [Linux] [Windows] Keyfile [/prompt] /鍵ファイルに対する完全修飾パス /keyfile.kdb
[z/OS] 注: /prompt 関数がサポートされるのは、JCL 開始ジョブからではなく、USS シェルから実行している場合のみです。 JCL 開始ジョブから /prompt 関数を使用しようとすると、構成エラーが発生します。
[z/OS] 階層ファイル・システム (HFS) または System Authorization Facility (SAF) に保管された鍵リングを使用できます。 HFS に保管された鍵リングを使用する場合:
  • Keyfile /鍵ファイルに対する完全修飾パス/keyfile.kdb
SAF に保管された鍵リングを使用する場合:
  • Keyfile /saf WASKeyring
    注: SAF 鍵リングを使用する場合:
    • SAF を使用する場合、stash ファイルはなく、アクセスは SAF ルールによって制御されます。 したがって、Keyfile/prompt/saf 引数を使用する場合は、引数はサポートされません。この引数を使用しようとすると、構成エラーが発生します。
    • IBM® HTTP Server を始動するために使用する ID には、このディレクティブで指定された鍵リングへのアクセス権が必要です。 ID にアクセス権がない場合、SSL 初期化は 失敗します。
有効範囲 グローバル・ベースおよび仮想ホスト
デフォルト なし
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
鍵ファイルのファイル名。

[AIX Solaris HP-UX Linux Windows] プロンプト・オプションを使用して、 鍵ファイルのパスワードを求めるプロンプトが HTTP サーバーによって始動時に出されるようにします。

[z/OS] ファイル・システム保護は、アクセスを制限するために使用できます。SSL 証明書へのアクセスを制限するために、 SAF (System Authorization Facility) 鍵リングを使用します。

[z/OS] 重要: z/OS® システムは、他のプラットフォームで作成された鍵データベース・ファイルをサポートしません。 z/OS システムで使用される鍵データベース・ファイルは、z/OS プラットフォームで作成する必要があります。

SSLAcceleratorDisable ディレクティブ

SSLAcceleratorDisable ディレクティブは、 アクセラレーター・デバイスを使用不可にします。
構文 SSLAcceleratorDisable
有効範囲 仮想およびグローバル
デフォルト アクセラレーター・デバイスは使用可能です。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストごとに 1 つのインスタンス。
なし。このディレクティブは、 仮想ホストの内部も含めて、構成ファイルの内の任意の場所に配置します。 初期設定中に、アクセラレーター・デバイスがマシン上にインストールされていることをシステムが判別した場合、 システムはそのアクセラレーターを使用して、セキュア・トランザクションの数を増やします。 このディレクティブは引数を取りません。

SSLAllowNonCriticalBasicConstraints ディレクティブ [AIX Solaris HP-UX Linux Windows]

SSLAllowNonCriticalBasicConstraints ディレクティブを使用すると、RFC3280 に準拠しない、日本政府による GPKI 指定との互換性が実現します。
構文 SSLAllowNonCriticalBasicConstraints on|off
有効範囲 グローバル・サーバーまたは仮想ホスト
デフォルト オフ
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
なし。このディレクティブは、発行者の認証局 (CA) 証明書で、非クリティカルの基本制約拡張によって認証は失敗しないという、証明書検証アルゴリズムの振る舞いを変更します。 これを使用すると、RFC3280 に準拠しない、日本政府による GPKI 指定との互換性が実現します。
注: RFC3280 では、「証明書のデジタル署名の検証に使用される公開鍵を含むすべての CA 証明書に、この拡張をクリティカルな拡張として使用しなければなりません」となっています。

SSLCacheDisable ディレクティブ [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheDisable ディレクティブは、外部 SSL セッション ID キャッシュを使用不可にします。
構文 SSLCacheDisable
有効範囲 物理 Apache サーバー・インスタンスごとに 1 つが、 仮想ホスト・スタンザの外部でのみ許可されます。
デフォルト なし
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されません。
なし。

SSLCacheEnable ディレクティブ [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheEnable ディレクティブは、外部 SSL セッション ID キャッシュを使用可能にします。
構文 SSLCacheEnable
有効範囲 物理 Apache サーバー・インスタンスごとに 1 つが、 仮想ホスト・スタンザの外部でのみ許可されます。
デフォルト なし
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されません。
なし。

SSLCacheErrorLog ディレクティブ [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheErrorLog ディレクティブは、セッション ID キャッシュのファイル名を設定します。
構文 SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg
有効範囲 仮想ホスト外部でのサーバー構成
デフォルト なし
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されません。
有効なファイル名。

SSLCachePath ディレクティブ [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCachePath ディレクティブは、セッション ID キャッシング・デーモンへのパスを指定します。
構文 SSLCachePath /usr/HTTPServer/bin/sidd
有効範囲 仮想ホスト外部でのサーバー構成
デフォルト <server-root>/bin/sidd
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されません。
有効なパス名。

SSLCachePortFilename ディレクティブ [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCachePortFilename ディレクティブは、 サーバー・インスタンスとセッション ID キャッシュ・デーモンとの通信に使用される UNIX ドメイン・ソケットのファイル名を設定します。同一インストール・ディレクトリーから IBM HTTP Server の 2 つのインスタンスを実行し、それらのインスタンスがともに SSL 用に構成されている場合、このディレクティブを設定する必要があります。 それ以外の場合、このディレクティブを設定する必要はありません。
構文 SSLCachePath /usr/HTTPServer/logs/sidd
有効範囲 仮想ホスト外部でのサーバー構成
デフォルト このディレクティブが指定されないで、キャッシュが使用可能である場合、 サーバーは <server-root>/logs/siddport ファイルの使用を試行します。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されません。
有効なパス名。 Web サーバーは、始動時にこのファイルを削除します。 指定しないでください。

SSLCacheTraceLog ディレクティブ [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheTraceLog ディレクティブは、セッション ID トレース・メッセージが書き込まれるファイルを指定します。 このディレクティブがないと、トレースは使用不可になります。
構文 SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log
有効範囲 仮想ホスト外部でのサーバー構成
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されません。
有効なパス名。

SSLCipherBan ディレクティブ

SSLCipherBan ディレクティブは、指定された暗号の 1 つを使用して クライアントが接続した場合、オブジェクトへのアクセスを拒否します。 この要求は、状況コード 403 で失敗します。
注: このディレクティブは、子ディレクトリーを指定する際に、親ディレクトリー用に指定されたディレクティブをオーバーライドしません。 代わりに、両方のディレクトリーが子ディレクトリーに適用されます。
構文 SSLCipherBan <cipher_specification>
有効範囲 ディレクトリー・スタンザごとに複数インスタンス。
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス ディレクトリー・スタンザごとに許可されます。 優先順序は、上部から下部への順序です。
SSL バージョン 2 暗号仕様およびSSL バージョン 3 および TLS バージョン 1 暗号仕様を参照してください。

SSLCipherRequire ディレクティブ

SSLCipherRequire ディレクティブは、指定された暗号の 1 つを使用して接続したクライアントに対してオブジェクトへのアクセスを制限します。 アクセスが拒否されると、この要求は「403」の状況コードで失敗します。
注: このディレクティブは、子ディレクトリーを指定する際に、親ディレクトリー用に指定されたディレクティブをオーバーライドしません。 代わりに、両方のディレクトリーが子ディレクトリーに適用されます。
構文 SSLCipherRequire <cipher_specification>
有効範囲 ディレクトリー・スタンザごとに複数インスタンス。
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス ディレクトリー・スタンザごとに許可されます。
SSL バージョン 2 暗号仕様およびSSL バージョン 3 および TLS バージョン 1 暗号仕様を参照してください。

SSLCipherSpec ディレクティブ

V3 または TLS 暗号を指定し、SSL V2 暗号を指定しなかった場合、SSL V2 サポートは使用不可になります。また、SSL V2 暗号を指定し、SSL V3 または TLS 暗号を指定しなかった場合、SSL V3 および TLS サポートは使用不可になります。
構文 SSLCipherSpec short name or SSLCipherSpec long name
有効範囲 仮想ホスト。
デフォルト 何も指定されないと、 サーバーは、インストールされた GSK ライブラリーから使用可能なすべての暗号仕様を使用します。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されます。 優先順序は、上部から下部へ、最初から最後への順序です。 クライアントが暗号仕様をサポートしない場合、接続は閉じられます。
SSL バージョン 2 暗号仕様およびSSL バージョン 3 および TLS バージョン 1 暗号仕様を参照してください。

SSLClientAuth ディレクティブ

SSLClientAuth ディレクティブは、 使用するクライアント認証のモード (なし (0)、オプション (1)、または必須 (2)) を設定します。
構文 SSLClientAuth <level required> [crl]
有効範囲 仮想ホスト。
デフォルト SSLClientAuth none
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストごとに 1 つのインスタンス。
  • 0/None: クライアント証明書は要求されていません。
  • 1/Optional: クライアント証明書は要求されていますが、必要ではありません。
  • 2/Required: 有効なクライアント証明書が必要です。
  • CRL: SSL 仮想ホスト内で crl をオン/オフに切り替えます。 証明書取り消しリスト (CRL) を使用する場合は、 crl を SSLClientAuth の 2 番目の引数として指定する必要があります。 例えば、SSLClientAuth 2 crl のようにします。 crl を指定しなければ、SSL 仮想ホスト内で CRL を実行することができません。

値 0/None を指定すると、CRL オプションを使用できません。

SSLClientAuthGroup ディレクティブ

SSLClientAuthGroup ディレクティブでは、 特定のクライアント証明書の属性および値のペアのセットを含む名前付き式グループを定義します。 この名前付きグループは、SSLClientAuthRequire ディレクティブが使用できます。 証明書は、サーバーが保護されたリソースへのアクセスを許可する前に、 クライアント (この式を渡す) によって提供される必要があります。

構文 SSLClientAuthGroup グループ名属性表現
有効範囲 サーバー構成、仮想ホスト
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されます。
オーバーライド なし。
AND、OR、NOT、および括弧を用いてリンクされた属性検査で構成された論理式。以下に例を示します。
SSLClientAuthGroup IBMpeople Org = IBM

有効な論理式の説明。 次のセクションでは、 有効な論理式を用いた例の説明を提供します。 例えば、SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM は、 クライアント証明書に Fred Smith または John Deere のいずれかの共通名が含まれず、 かつ組織が IBM でない限り、オブジェクトがサービスを提供されないということを意味しています。 属性検査のための唯一の有効な比較は、「等しい」および「等しくない」(= および !=) です。 各属性検査を AND、OR、 または NOT (さらに &&、||、および !) を用いてリンクすることができます . 比較をグループ化するには、括弧を使用します。 属性の値に非英数字が含まれる場合、 値を引用符で区切る必要があります。

以下は、このディレクティブに指定できる属性値のリストです。
ロング・ネーム ショート・ネーム
CommonName CN
C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
場所 L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

ロング・ネームまたはショート・ネームは、このディレクティブで使用できます。

ユーザーは、特定クライアント証明書の属性の論理式を指定します。 複数の式に AND、OR、NOT を論理的に使用して、必要なクライアント証明書の属性値のグループを指定することができます。 有効な演算子には、「=」と「!=」があります。以下に例を示します。
SSLClientAuthGroup IBMpeople Org = IBM 
または
SSLClientAuthGroup NotMNIBM ST != MN && Org = IBM 

グループ名には、スペースを入れることはできません。詳しくは、SSLClientAuthRequire ディレクティブを参照してください。

SSLClientAuthRequire ディレクティブ

SSLClientAuthRequire ディレクティブでは、 サーバーが保護リソースへのアクセスを許可する前に、属性値、または属性値のグループを指定します。これらは、クライアント証明書に対して検証される必要があります。

構文 SSLClientAuthRequire 属性表現
有効範囲 サーバー構成、仮想ホスト
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 許可されます。 この関数は、これらのディレクティブを「AND」で結合します。
オーバーライド AuthConfig
AND、OR、NOT、および括弧を用いてリンクされた属性検査で構成された論理式。以下に例を示します。
SSLClientAuthRequire group != IBMpeople && ST = M

受け取った証明書に特定の属性がない場合は、 属性の一致に対する検証がありません。指定された一致する値が " "でも、属性がまったくない場合と同じであるとはかぎりません。 SSLClientAuthRequire ディレクティブで指定された属性はすべて、 証明書で利用できません。要求が拒否される原因となります。

以下は、このディレクティブに指定できる属性値のリストです。
ロング・ネーム ショート・ネーム
CommonName CN
C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
場所 L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

ロング・ネームまたはショート・ネームは、このディレクティブで使用できます。

ユーザーは、特定クライアント証明書の属性の論理式を指定します。 複数の式に AND、OR、NOT を論理的に使用して、必要なクライアント証明書の属性値のグループを指定することができます。 有効な演算子には、「=」と「!=」があります。また、 ユーザーは、属性のグループを構成するために、グループ名を指定することもできます。 このグループ名は、 SSLClientAuthGroup ディレクティブを使用して構成します。

同じスコープ内で、複数の SSLClientAuthRequire ディレクティブを指定できます。 各ディレクティブの論理式は、証明書別にアクセス権の評価に使用され、個々の評価の結果は論理的に AND で結ばれます。 以下に例を示します。
SSLClientAuthRequire (CommonName="John Doe" || StateOrProvince=MN) && Org !=IBM
または
SSLClientAuthRequire group!=IBMpeople && ST=MN
ショート・ネームとロング・ネームは、引用符で囲むことができます。以下に例を示します。
SSLClientAuthRequire group != IBMpeople && "ST= MN"
詳しくは、SSLClientAuthGroup ディレクティブを参照してください。

SSLCRLHostname ディレクティブ

SSLCRLHostname ディレクティブは、 TCP/IP 名、または証明書取り消しリスト (CRL) のデータベースが存在している LDAP サーバーのアドレスを指定します。

構文 <SSLCRLHostName <TCP/IP name or address>
有効範囲 グローバル・サーバーまたは仮想ホスト。
デフォルト デフォルトで使用不可です。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
TCP/IP 名、または LDAP サーバーのアドレス

LDAP-based CRL リポジトリーを静的に構成するには、SSLCRLHostname ディレクティブを SSLCRLPort ディレクティブ、SSLCRLUserID ディレクティブ、および SSLStashfile ディレクティブと共に使用します。 明示的 CRLDistributionPoint X.509v3 証明書の拡張子がないか、または拡張子で指定されたサーバーが応答しない (使用不可) 場合にのみ、LDAP-based CRL リポジトリーを照会するために、これらのディレクティブを使用することが必要です。

CRLDistributionPoint 拡張子が証明書にあり、拡張子で指定されたサーバーが反応する (使用可能な) 場合、CRLDistributionPoint で指定された LDAP サーバーはこれらのディレクティブを使用せずに匿名で照会されます。

SSLCRLPort ディレクティブ

SSLCRLPort ディレクティブは、証明書取り消しリスト (CRL) のデータベースがある場合、LDAP サーバーのポートを指定します。

構文 SSLCRL<port>
有効範囲 グローバル・サーバーまたは仮想ホスト。
デフォルト デフォルトで使用不可です。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
LDAP サーバーのポート。デフォルトは 389 です。

LDAP-based CRL リポジトリーを静的に構成するには、SSLCRLPort ディレクティブを SSLCRLUserID ディレクティブ、SSLCRLHostname ディレクティブ、および SSLStashfile ディレクティブと共に使用します。 明示的 CRLDistributionPoint X.509v3 証明書の拡張子がないか、または拡張子で指定されたサーバーが応答しない (使用不可) 場合にのみ、LDAP-based CRL リポジトリーを照会するために、これらのディレクティブを使用することが必要です。

CRLDistributionPoint 拡張子が証明書にあり、拡張子で指定されたサーバーが反応する (使用可能な) 場合、CRLDistributionPoint で指定された LDAP サーバーはこれらのディレクティブを使用せずに匿名で照会されます。

SSLCRLUserID ディレクティブ

SSLCRLUserID ディレクティブは、 証明書取り消しリスト (CRL) のデータベースがある LDAP サーバーへ送信するユーザー ID を指定します。

構文 SSLCRLUserID <[prompt] <userid>
有効範囲 グローバル・サーバーまたは仮想ホスト。
デフォルト ユーザー ID を指定しないと、 デフォルトで anonymous に設定されます。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
LDAP サーバーのユーザー ID。 プロンプト・オプションを使用して、 LDAP サーバーへのアクセスに必要なパスワードを求めるプロンプトが HTTP サーバーによって始動時に出されるようにします。

LDAP-based CRL リポジトリーを静的に構成するには、SSLCRLUserID ディレクティブを SSLCRLPort ディレクティブ、SSLCRLHostname ディレクティブ、および SSLStashfile ディレクティブと共に使用します。 明示的 CRLDistributionPoint X.509v3 証明書の拡張子がないか、または拡張子で指定されたサーバーが応答しない (使用不可) 場合にのみ、LDAP-based CRL リポジトリーを照会するために、これらのディレクティブを使用することが必要です。

CRLDistributionPoint 拡張子が証明書にあり、拡張子で指定されたサーバーが反応する (使用可能な) 場合、CRLDistributionPoint で指定された LDAP サーバーはこれらのディレクティブを使用せずに匿名で照会されます。

SSLDisable ディレクティブ

SSLDisable ディレクティブは、 仮想ホストの SSL を使用不可にします。
構文 SSLDisable
有効範囲 グローバル・サーバーまたは仮想ホスト。
デフォルト デフォルトで使用不可です。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
なし。

SSLEnable ディレクティブ

SSLEnable ディレクティブは、 仮想ホストの SSL を使用可能にします。
注: ディレクティブを指定された仮想ホスト構成に自動的にコピーさせない場合は、このディレクティブを基本サーバー構成で指定しないでください。
構文 SSLEnable
有効範囲 グローバル・サーバーまたは仮想ホスト。
デフォルト デフォルトで使用不可です。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
なし。

SSLFakeBasicAuth ディレクティブ

SSLFakeBasicAuth ディレクティブは、 偽の基本認証のサポートを使用可能にします。

このサポートにより、クライアント証明書の識別名がユーザーおよびパスワード基本認証ペアのユーザ ー部分となることができます。 password をパスワードとして使用します。
注: このディレクティブは、基本サーバー構成によりオーバーライド可能性があります。
構文 SSLFakeBasicAuth
有効範囲 AuthName、AuthType、および必要なディレクティブと共に使用されるディレクトリー・スタンザ内。
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス ディレクトリー・スタンザごとに 1 つのインスタンス。
なし。

SSLFIPSDisable ディレクティブ [AIX Solaris HP-UX Linux Windows]

SSLFIPSDisable ディレクティブは、 連邦情報処理標準 (FIPS) を使用不可にします。
構文 SSLFIPSDisable
有効範囲 仮想およびグローバル。
デフォルト デフォルトで使用不可です。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
なし。

SSLFIPSEnable ディレクティブ [AIX Solaris HP-UX Linux Windows]

SSLFIPSEnable ディレクティブは、 連邦情報処理標準 (FIPS) を使用可能にします。
構文 SSLFIPSEnable
有効範囲 仮想およびグローバル。
デフォルト デフォルトで使用不可です。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
なし。

SSLPKCSDriver ディレクティブ [AIX Solaris HP-UX Linux Windows]

SSLPKCSDriver ディレクティブは、 モジュールに対する完全修飾名、 または PKCS11 デバイスへのアクセスに使用されるドライバーを識別します。

構文 <PKCS11 デバイスへのアクセスに使用されるモジュールに対する完全修飾名>。 モジュールがユーザーのパス内に存在する場合は、 そのモジュールの名前のみを指定します。
有効範囲 グローバル・サーバーまたは仮想ホスト。
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
PKCS11 モジュールまたはドライバーのパスと名前。
以下は、各 PKCS11 デバイス用モジュールのデフォルトの場所とプラットフォームです。
  • nCipher
    • AIX: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP: /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Solaris: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • Windows: c:¥nfast¥toolkits¥pkcs11¥cknfast.dll
  • IBM 4758
    • AIX: /usr/lib/pkcs11/PKCS11_API.so
    • Windows: $PKCS11_HOME¥bin¥nt¥cryptoki.dll
  • IBM e-business Cryptographic Accelerator
    • AIX: /usr/lib/pkcs11/PKCS11_API.so

SSLProtocolDisable ディレクティブ [AIX Solaris HP-UX Linux Windows]

SSLProtocolDisable ディレクティブを使用すると、1 つ以上の SSL プロトコルを指定することができます。SSL プロトコルは、特定の仮想ホストのクライアントは使用できません。 このディレクティブは、<VirtualHost> コンテナーに存在している必要があります。

仮想ホスト用にサポートされたプロトコルは、別個にサポートされます。 サポートされたプロトコルがすべて使用不可の場合、クライアントは SSL ハンドシェークを完了することができません。
構文 SSLProtocolDisable <protocolname>
有効範囲 仮想ホスト
デフォルト 使用不可
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストごとに複数のインスタンスが許可されています。
以下の値は、このディレクティブに使用できます。
  • SSLv2
  • SSLv3
  • TLSv1
以下の例では、仮想ホスト上で複数のプロトコルを使用不可にしています。
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable	SSLv2 SSLv3
(その他のディレクティブ)
</VirtualHost>
注: クライアントおよびサーバーが、少なくとも 1 つのプロトコルと暗号の組み合わせを共有しない場合、SSL0230I は各 SSL 接続の試行としてログされます。

SSLProxyEngine ディレクティブ

SSLProxyEngine は、サーバーがプロキシー接続に SSL を使用するかどうかを設定します。 SSLProxyEngine on は、 ご使用のサーバーが SSL リソースにリバース・プロキシーとして機能している場合には必須です。
構文 SSLProxyEngine on|off
有効範囲 IP ベースの仮想ホスト。
デフォルト オフ
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つ
on|off

SSLServerCert ディレクティブ

SSLServerCert ディレクティブは、 この仮想ホストで使用するサーバー証明書を設定します。
構文 SSLServerCert [prompt] my_certificate_label; on PKCS11 device - SSLServerCert mytokenlabel:mykeylabel
有効範囲 IP ベースの仮想ホスト。
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
証明書ラベル。 /prompt オプションを使用して、 Crypto トークン・パスワードを求めるプロンプトが HTTP サーバーによって始動時に出されるようにします。 証明書ラベルの周囲では、区切り文字を使用しないでください。 ラベルが 1 行に収められていることを確認してください。 先行および後続の空白は無視されます。

SSLStashfile ディレクティブ

SSLStashfile ディレクティブは、PKCS11 デバイスを開くための暗号化されたパスワードを格納しているファイルへのパスをファイル名と共に示します。

構文 SSLStashFile /usr/HTTPServer/mystashfile.sth
有効範囲 仮想ホストおよびグローバル・サーバー。
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
sslstash コマンドで作成される LDAP stash ファイルまたは PKCS11 stash ファイル (あるいはその両方) のファイル名。

SSLStashFile は、使用中の KeyFile の stash ファイルを指しません。この stash ファイルは、KeyFile の名前に基づいて自動的に計算され、異なるタイプの stash ファイルだからです。

IBM HTTP Server の bin ディレクトリーに配置されている sslstash コマンドを使用して CRL パスワード・スタッシュ・ファイルを作成します。sslstash コマンドを使用して指定するパスワードは、LDAP サーバーにログインするために使用するパスワードと同じです。

使用法: sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>

各部の意味は、次のとおりです。
  • -c: 新規 stash ファイルを作成します。指定しない場合、既存のファイルが更新されます。
  • File: 作成または更新するファイルの完全修飾名を表します。
  • Function: パスワードを使用する関数を示します。 有効な値には、crl または crypto があります。
  • Password: stash へのパスワードを表します。
注: SSL 証明書取り消しリスト も参照してください。

LDAP-based CRL リポジトリーを静的に構成するには、SSLStashFile ディレクティブを SSLCRLPort ディレクティブ、SSLCRLHostname ディレクティブ、および SSLCRLUserID ディレクティブと共に使用します。 明示的 CRLDistributionPoint X.509v3 証明書の拡張子がないか、または拡張子で指定されたサーバーが応答しない (使用不可) 場合にのみ、LDAP-based CRL リポジトリーを照会するために、これらのディレクティブを使用することが必要です。

CRLDistributionPoint 拡張子が証明書にあり、拡張子で指定されたサーバーが反応する (使用可能な) 場合、CRLDistributionPoint で指定された LDAP サーバーはこれらのディレクティブを使用せずに匿名で照会されます。

SSLTrace ディレクティブ

SSLTrace ディレクティブは、 mod_ibm_ssl のデバッグ・ログインを使用可能にします。 LogLevel ディレクティブと一緒に使用します。 mod_ibm_ssl のデバッグ・ログインを使用可能にするには、mod_ibm_ssl に対する LoadModule ディレクティブの後ろで LogLevel をデバッグするように設定し、 SSLTrace ディレクティブを、IBM HTTP Server 構成ファイルのグローバル・スコープに 追加します。 このディレクティブが通常使用されるのは、mod_ibm_ssl の問題箇所を 調査している間に、IBM サポートの要求時です。 通常の作動状態でこのディレクティブを使用可能にすることは推奨されていません。

構文 SSLTrace
有効範囲 グローバル
デフォルト mod_ibm_ssl のデバッグ・ログインは使用不可になっています
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 無視
なし
注: LogLevel ディレクティブも参照してください。

SSLV2Timeout ディレクティブ

SSLV2Timeout ディレクティブは、 SSL バージョン 2 セッション ID のタイムアウトを設定します。

構文 SSLV2Timeout 60
有効範囲 グローバル・ベースおよび仮想ホスト。
デフォルト 40
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
0 から 100 (秒)。

SSLV3Timeout ディレクティブ

SSLV3Timeout ディレクティブは、SSL バージョン 3 および TLS のセッション ID のタイムアウトを設定します。

構文 SSLV3Timeout 1000
有効範囲 グローバル・ベースおよび仮想ホスト。

[Windows] 仮想ホストの有効範囲またはグローバル有効範囲が適用されます。

[AIX] [HP-UX] [Linux] [Solaris] SSLCacheDisable ディレクティブも使用されている場合、仮想ホストの有効範囲が適用されます。 それ以外の場合は、グローバル有効範囲のみが使用されます。

デフォルト 120
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
0 から 86400 (秒)。

SSLVersion ディレクティブ

SSLVersion ディレクティブは、 クライアントが、指定されたバージョン以外の SSL プロトコル・バージョンとの接続を試行した場合に、 オブジェクト・アクセスの拒否を使用可能にします。

構文 SSLVersion ALL
有効範囲 ディレクトリー・スタンザごとに 1 つ。
デフォルト なし。
モジュール mod_ibm_ssl
構成ファイル内の複数インスタンス <Directory> または <Location> スタンザごとに 1 つのインスタンス。
SSLV2|SSLV3|TLSV1|ALL



関連概念
SSL 証明書取り消しリスト
関連タスク
クライアント認証レベルの選択
クライアント認証保護のタイプの選択
SSL 通信による保護
参照トピック    

ご利用条件 | フィードバック

最終更新: Feb 19, 2009 11:52:36 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ssldirs.html