IBM HTTP Server for WebSphere Application Server, V6.1
             操作系统: AIX, HP-UX, Linux, Solaris, Windows, z/OS

             使目录和搜索结果个性化

SSL 伪指令

安全套接字层(SSL)伪指令是用于控制 IBM HTTP Server 中的 SSL 功能部件的配置参数。

IBM HTTP Server 中的大多数 SSL 伪指令都具有相同的行为。为给定虚拟主机配置指定的伪指令会覆盖在服务器基本部件配置中指定的伪指令。另外,为子目录指定的伪指令会覆盖为其父目录指定的伪指令。但是,存在例外。

例如,当没有为虚拟主机指定伪指令时,在服务器基本部件配置中指定的伪指令可能被复制到虚拟主机配置中。在此情况下,服务器基本部件配置中的伪指令会覆盖虚拟主机配置。
注: 如果不希望 SSLEnable 伪指令自动复制到给定的虚拟主机配置中,那么不应该在服务器基本部件配置中指定该伪指令。

另外,为子目录指定的伪指令可能追加至为其父目录指定的伪指令。在此情况下,用于父目录的伪指令不覆盖而是会追加至用于子目录的伪指令,这两个伪指令都应用于该子目录。

以下列表包含用于 IBM HTTP Server 的伪指令。

Keyfile 伪指令

Keyfile 伪指令设置要使用的密钥文件。
注: 此伪指令可能会被服务器基本部件配置覆盖。
语法

[AIX Solaris HP-UX Linux Windows] Keyfile [/prompt] / 到密钥文件的标准路径 /keyfile.kdb

[z/OS] 可以使用存储在分层文件系统(HFS)或系统授权工具(SAF)中的密钥环。要使用存储在 HFS 中的密钥环:
  • Keyfile / 到密钥文件的标准路径 /keyfile.kdb
要使用存储在 SAF 中的密钥环:
  • Keyfile /saf WASKeyring
    注: 使用 SAF 密钥环:
    • 没有任何隐藏文件和访问权受 SAF 规则的控制。
    • 用来启动 IBM HTTP Server 的标识必须具有在此伪指令中指定的密钥环的访问权。如果该标识没有访问权,那么 SSL 初始化将失败。
作用域 全局基础和虚拟主机
缺省值
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
密钥文件的文件名。

[AIX Solaris HP-UX Linux Windows] 使用提示选项使 HTTP Server 能够在启动期间提示您输入密钥文件密码。

[z/OS] 不支持在 mod_ibm_ssl Keyfile 伪指令上使用 /prompt 参数来提示输入密钥数据库密码。如果使用的是 .kdb 文件,那么必须提供隐藏文件。可以使用文件系统保护来限制访问权。使用 SAF(系统授权工具)密钥环来限制对 SSL 证书的访问权。

[z/OS] 重要: z/OS 系统不支持在其他平台上创建的密钥数据库文件。用于 z/OS 系统的密钥数据库文件必须在 z/OS 平台上创建。

SSLAcceleratorDisable 伪指令

SSLAcceleratorDisable 伪指令禁用加速器设备。
语法 SSLAcceleratorDisable
作用域 虚拟和全局
缺省值 启用了加速器设备
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机一个实例。
无。将此伪指令放在配置文件中(包含虚拟主机中)的任何位置。在初始化期间,如果系统确定机器上已安装了一个加速器设备,那么系统将使用该加速器来增加安全事务数。此伪指令不使用参数。

SSLAllowNonCriticalBasicConstraints 伪指令 [AIX Solaris HP-UX Linux Windows]

SSLAllowNonCriticalBasicConstraints 伪指令允许与 GPKI 规范的某一方面兼容,该规范由日本政府颁布,与 RFC3280 冲突。
语法 SSLAllowNonCriticalBasicConstraints on|off
作用域 全局服务器或虚拟主机
缺省值 关闭
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
无。此伪指令更改证书验证算法的行为,因而对发布者认证中心(CA)证书的非关键基本约束扩展将不导致验证失败。这允许与 GPKI 规范的某一方面兼容,该规范由日本政府颁布,与 RFC3280 冲突。
注: RFC3280 声明此扩展必须作为关键扩展出现在所有 CA 证书中,这些证书包含用来对证书验证数字签名的公用密钥。

SSLCacheDisable 伪指令 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheDisable 伪指令禁用外部 SSL 会话标识高速缓存。
语法 SSLCacheDisable
作用域 每个物理 Apache 服务器实例一个,仅在虚拟主机节外允许。
缺省值
模块 mod_ibm_ssl
配置文件中的多个实例 不允许。
无。

SSLCacheEnable 伪指令 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheEnable 伪指令启用外部 SSL 会话标识高速缓存。
语法 SSLCacheEnable
作用域 每个物理 Apache 服务器实例一个,仅在虚拟主机节外允许。
缺省值
模块 mod_ibm_ssl
配置文件中的多个实例 不允许。
无。

SSLCacheErrorLog 伪指令 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheErrorLog 伪指令为会话标识高速缓存设置文件名。
语法 SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg
作用域 虚拟主机之外的服务器配置。
缺省值
模块 mod_ibm_ssl
配置文件中的多个实例 不允许。
有效文件名。

SSLCachePath 伪指令 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCachePath 伪指令指定到会话标识高速缓存守护程序的路径。
语法 SSLCachePath /usr/HTTPServer/bin/sidd
作用域 虚拟主机之外的服务器配置。
缺省值 <server-root>/bin/sidd
模块 mod_ibm_ssl
配置文件中的多个实例 不允许。
有效路径名。

SSLCachePortFilename 伪指令 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCachePortFilename 伪指令设置 UNIX 域套接字的文件名,该套接字用于在服务器实例和会话标识高速缓存守护程序之间通信。如果从同一安装目录运行 IBM HTTP Server 的两个实例,并且这两个实例均针对 SSL 进行配置,那么您必须设置此伪指令。否则,您不需要设置此伪指令。
语法 SSLCachePath /usr/HTTPServer/logs/sidd
作用域 虚拟主机之外的服务器配置。
缺省值 如果未指定此伪指令且启用了高速缓存,那么服务器尝试使用 <server-root>/logs/siddport 文件。
模块 mod_ibm_ssl
配置文件中的多个实例 不允许。
有效路径名。Web 服务器在启动期间删除此文件;不要命名。

SSLCacheTraceLog 伪指令 [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

SSLCacheTraceLog 伪指令指定会话标识跟踪消息被写入到的文件。如果没有此伪指令,会禁用跟踪。
语法 SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log
作用域 虚拟主机之外的服务器配置。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 不允许。
有效路径名。

SSLCipherBan 伪指令

如果客户机已使用其中一个指定的密码连接,那么 SSLCipherBan 伪指令拒绝对对象的访问。请求将失败,且状态码为 403。
注: 为子目录指定的此伪指令不覆盖为父目录指定的伪指令。相反,两个伪指令都应用于子目录。
语法 SSLCipherBan <cipher_specification>
作用域 每个目录节多个实例。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 每个目录节都允许。首选顺序是从上到下。
请参阅SSL V2 密码规范 SSL V3 和 TLS V1 密码规范

SSLCipherRequire 伪指令

SSLCipherRequire 伪指令对已使用其中一个指定的密码连接的客户机限制对对象的访问。如果访问被拒绝,那么请求将失败,且状态码为‘403'。
注: 为子目录指定的此伪指令不覆盖为父目录指定的伪指令。相反,两个伪指令都应用于子目录。
语法 SSLCipherRequire <cipher_specification>
作用域 每个目录节多个实例。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 每个目录节都允许。
请参阅SSL V2 密码规范 SSL V3 和 TLS V1 密码规范

SSLCipherSpec 伪指令

如果指定 V3 或 TLS 密码且没有 SSL V2 密码,那么会禁用 SSL V2 支持。同样,如果指定 SSL V2 密码且没有 SSL V3 或 TLS 密码,那么会禁用 SSL V3 和 TLS 支持。
语法 SSLCipherSpec short nameSSLCipherSpec long name
作用域 虚拟主机。
缺省值 如果未指定任何内容,那么服务器使用可从安装的 GSK 库获取的所有密码规范。
模块 mod_ibm_ssl
配置文件中的多个实例 允许。首选顺序是从上到下,从第一个到最后一个。如果客户机不支持密码规范,那么连接关闭。
请参阅SSL V2 密码规范 SSL V3 和 TLS V1 密码规范

SSLClientAuth 伪指令

SSLClientAuth 伪指令设置客户机认证要使用的方式(无(0)、可选(1)或必需(2))。
语法 SSLClientAuth <level required> [crl]
作用域 虚拟主机。
缺省值 SSLClientAuth none
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机一个实例。
  • 0/无:未请求客户机证书。
  • 1/可选:请求了客户机证书,但不是必需的。
  • 2/必需:必需有效客户机证书。
  • CRL:在 SSL 虚拟主机内部打开和关闭 crl。如果使用证书撤销列表(CRL),那么需要将 crl 指定为 SSLClientAuth 的第二个参数。例如:SSLClientAuth 2 crl。如果未指定 crl,那么无法执行 SSL 虚拟主机内的 CRL。

如果指定值 0/无,那么无法使用 CRL 选项。

SSLClientAuthGroup 伪指令

SSLClientAuthGroup 伪指令定义指定的表达式组,该组包含一组特定的客户机证书属性和值对。这个指定组可由 SSLClientAuthRequire 伪指令使用。传递此表达式的客户机必须提供证书,然后服务器才会允许它访问受保护资源。

语法 SSLClientAuthGroup 组名属性表达式
作用域 服务器配置、虚拟主机。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 允许。
覆盖 无。
由属性检查组成的逻辑表达式以 AND、OR、NOT 和括号链接。例如:
SSLClientAuthGroup IBMpeople Org = IBM

有效逻辑表达式的描述。以下部分用有效的逻辑表达式提供示例描述。例如:SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM 表示未对对象提供服务,除非客户机证书包含常见名 Fred Smith 或 John Deere,且组织是 IBM。属性检查的唯一有效的比较运算符是等于和不等于(= 和 !=)。您可以用 AND、OR 或 NOT(即,&&、|| 和 !)链接每个属性检查。使用括号分组比较。如果属性值包含非字母数字字符,那么必须用引号给值定界。

下面是可以为此伪指令指定的属性值的列表:
长名称 短名称
CommonName CN
国家或地区 C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
位置 L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

可以在此伪指令中使用长名称或短名称。

用户指定特定客户机证书属性的逻辑表达式。您可以对多个表达式在逻辑上使用 AND、OR 或 NOT 来指定客户机证书属性值的所需组合。有效的运算符有 '=' 和 '!='。例如:
SSLClientAuthGroup IBMpeople Org = IBM 
SSLClientAuthGroup NotMNIBM ST != MN && Org = IBM 

组织不能包含空格。请参阅SSLClientAuthRequire 伪指令以了解更多信息。

SSLClientAuthRequire 伪指令

SSLClientAuthRequire 伪指令指定多个属性值或多组属性值,必须对照客户机证书验证它们之后,服务器才会允许对受保护资源进行访问。

语法 SSLClientAuthRequire 属性表达式
作用域 服务器配置、虚拟主机
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 允许。该功能通过“AND”连接这些伪指令。
覆盖 AuthConfig
由属性检查组成的逻辑表达式以 AND、OR、NOT 和括号链接。例如:
SSLClientAuthRequire group != IBMpeople && ST = M

如果您接收到的证书没有特定属性,那么没有属性匹配的验证。即使指定的匹配值为 " ",这仍可能与根本没有属性的情况不同。SSLClientAuthRequire 伪指令上指定的任何属性(但证书上未提供)会导致请求被拒绝。

下面是可以为此伪指令指定的属性值的列表:
长名称 短名称
CommonName CN
国家或地区 C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
位置 L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

可以在此伪指令中使用长名称或短名称。

用户指定特定客户机证书属性的逻辑表达式。您可以对多个表达式在逻辑上使用 AND、OR 或 NOT 来指定客户机证书属性值的所需组合。有效的运算符有 '=' 和 '!='。用户还可以指定组名,使用SSLClientAuthGroup 伪指令对其进行配置来配置一组属性。

可以在同一作用域内指定多个 SSLClientAuthRequire 伪指令。每个伪指令的逻辑表达式用于评估每个证书的访问权,各个评估的结果通过逻辑与操作集合中一起。例如:
SSLClientAuthRequire (CommonName="John Doe" || StateOrProvince=MN) && Org !=IBM 
SSLClientAuthRequire group!=IBMpeople && ST=MN
可以给短名称和长名称加引号。例如:
SSLClientAuthRequire group != IBMpeople && "ST= MN"
请参阅SSLClientAuthGroup 伪指令以了解更多信息。

SSLCRLHostname 伪指令

SSLCRLHostname 伪指令指定证书撤销列表(CRL)数据库所在的 LDAP 服务器的 TCP/IP 名或地址。

语法 <SSLCRLHostName <TCP/IP name or address>
作用域 全局服务器或虚拟主机。
缺省值 缺省情况下禁用。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
LDAP 服务器的 TCP/IP 名或地址

请将 SSLCRLHostname 伪指令与 SSLCRLPort、SSLCRLUserID 和 SSLStashfile 伪指令一起用于基于 LDAP 的 CRL 存储库的静态配置。仅当显式 CRLDistributionPoint X.509v3 证书扩展不存在或在该扩展中指定的服务器无响应(不可用)时,才有必要使用这些伪指令来查询基于 LDAP 的 CRL 存储库。

如果 CRLDistributionPoint 扩展存在于证书中且该扩展中指定的服务器有响应(可用),那么在 CRLDistributionPoint 中指定的 LDAP 服务器会被匿名地查询,而不使用这些伪指令。

SSLCRLPort 伪指令

SSLCRLPort 伪指令指定证书撤销列表(CRL)数据库所在的 LDAP 服务器端口。

语法 SSLCRL<port>
作用域 全局服务器或虚拟主机。
缺省值 缺省情况下禁用。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
LDAP 服务器的端口;缺省值 = 389。

请将 SSLCRLPort 伪指令与 SSLCRLUserID、SSLCRLHostname 和 SSLStashfile 伪指令一起用于基于 LDAP 的 CRL 存储库的静态配置。仅当显式 CRLDistributionPoint X.509v3 证书扩展不存在或在该扩展中指定的服务器无响应(不可用)时,才有必要使用这些伪指令来查询基于 LDAP 的 CRL 存储库。

如果 CRLDistributionPoint 扩展存在于证书中且该扩展中指定的服务器有响应(可用),那么在 CRLDistributionPoint 中指定的 LDAP 服务器会被匿名地查询,而不使用这些伪指令。

SSLCRLUserID 伪指令

SSLCRLUserID 伪指令指定要发送到 LDAP 服务器的用户标识,证书撤销列表(CRL)数据库位于此 LDAP 服务器上。

语法 SSLCRLUserID <[prompt] <userid>
作用域 全局服务器或虚拟主机。
缺省值 如果未指定用户标识,那么缺省值为匿名。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
LDAP 服务器的用户标识。使用提示选项使 HTTP Server 可以在启动期间提示您访问 LDAP 服务器所需的密码。

请将 SSLCRLUserID 伪指令与 SSLCRLPort、SSLCRLHostname 和 SSLStashfile 伪指令一起用于基于 LDAP 的 CRL 存储库的静态配置。仅当显式 CRLDistributionPoint X.509v3 证书扩展不存在或在该扩展中指定的服务器无响应(不可用)时,才有必要使用这些伪指令来查询基于 LDAP 的 CRL 存储库。

如果 CRLDistributionPoint 扩展存在于证书中且该扩展中指定的服务器有响应(可用),那么在 CRLDistributionPoint 中指定的 LDAP 服务器会被匿名地查询,而不使用这些伪指令。

SSLDisable 伪指令

SSLDisable 伪指令为虚拟主机禁用 SSL。
语法 SSLDisable
作用域 全局服务器或虚拟主机。
缺省值 缺省情况下禁用。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
无。

SSLEnable 伪指令

SSLEnable 伪指令为虚拟主机启用 SSL。
注: 如果不希望此伪指令自动复制到给定的虚拟主机配置中,那么不应该在服务器基本部件配置中指定该伪指令。
语法 SSLEnable
作用域 全局服务器或虚拟主机。
缺省值 缺省情况下禁用。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
无。

SSLFakeBasicAuth 伪指令

SSLFakeBasicAuth 伪指令启用伪基本认证支持。

本支持使客户机证书专有名称可以成为用户和密码基本认证对的用户部分。使用 password 作为密码。
注: 此伪指令可能会被服务器基本部件配置覆盖。
语法 SSLFakeBasicAuth
作用域 在目录节中,与 AuthName、AuthType 一起使用并且需要伪指令。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 每个目录节一个实例。
无。

SSLFIPSDisable 伪指令 [AIX Solaris HP-UX Linux Windows]

SSLFIPSDisable 伪指令禁用联邦信息处理标准(FIPS)。
语法 SSLFIPSDisable
作用域 虚拟和全局。
缺省值 缺省情况下禁用。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
无。

SSLFIPSEnable 伪指令 [AIX Solaris HP-UX Linux Windows]

SSLFIPSEnable 伪指令启用联邦信息处理标准(FIPS)。
语法 SSLFIPSEnable
作用域 虚拟和全局。
缺省值 缺省情况下禁用。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
无。
注: 另请参阅SSL V3 和 TLS V1 密码规范

SSLPKCSDriver 伪指令 [AIX Solaris HP-UX Linux Windows]

SSLPKCSDriver 伪指令识别模块的标准名称或用于访问 PKCS11 设备的驱动程序。

语法 用于访问 PKCS11 设备的模块的标准名称。如果模块存在于用户路径中,那么只指定模块名。
作用域 全局服务器或虚拟主机。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
PKCS11 模块或驱动程序的路径和名称。
每个 PKCS11 设备的模块的缺省位置如下,平台:
  • nCipher
    • AIX:/opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP:/opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Solaris:/opt/nfast/toolkits/pkcs11/libcknfast.so
    • Windows:c:\nfast\toolkits\pkcs11\cknfast.dll
  • IBM 4758
    • AIX:/usr/lib/pkcs11/PKCS11_API.so
    • Windows:$PKCS11_HOME\bin\nt\cryptoki.dll
  • IBM 电子商务加密加速器
    • AIX:/usr/lib/pkcs11/PKCS11_API.so

SSLProtocolDisable 伪指令 [AIX Solaris HP-UX Linux Windows]

SSLProtocolDisable 伪指令允许您为特定虚拟主机指定不能由客户机使用的一个或多个 SSL 协议。此伪指令必须位于 <VirtualHost> 容器中。

虚拟主机的受支持协议是分别地受支持的。如果所有受支持协议都被禁用,那么客户机无法完成 SSL 握手。
语法 SSLProtocolDisable <protocolname>
作用域 虚拟主机
缺省值 已禁用
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机允许多个实例。
为此伪指令提供了下列可能的值。
  • SSLv2
  • SSLv3
  • TLSv1
以下示例在虚拟主机上禁用对多个协议的支持。
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable	SSLv2 SSLv3
(any other directives)
</VirtualHost> 
注: 如果客户机和服务器不共享至少一个协议和密码组合,那么对于每个 SSL 连接尝试,都会记录 SSL0230I。

SSLProxyEngine 伪指令

SSLProxyEngine 切换服务器是否将对代理的连接使用 SSL。如果您的服务器充当 SSL 资源的逆向代理,那么要求 SSLProxyEngine on
语法 SSLProxyEngine on|off
作用域 IP-based 虚拟主机
缺省值 关闭
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例
on|off

SSLServerCert 伪指令

SSLServerCert 伪指令设置用于此虚拟主机的服务器证书。
语法 SSLServerCert [prompt] my_certificate_label; on PKCS11 device - SSLServerCert mytokenlabel:mykeylabel
作用域 基于 IP 的虚拟主机。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
证书标签。使用 /prompt 选项使 HTTP Server 可以在启动期间提示您需要 Crypto 令牌密码。请不要在证书标签周围使用定界符。请确保该标签包含在一行中;忽略前导和尾随空格。

SSLStashfile 伪指令

SSLStashfile 伪指令指示到文件的路径(具有文件名),该文件包含用于打开 PKCS11 设备的加密密码。

语法 SSLStashFile /usr/HTTPServer/mystashfile.sth
作用域 虚拟主机和全局服务器。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
sslstash 命令创建的 LDAP 和/或 PKCS11 隐藏文件的文件名。

SSLStashFile 不指向正在使用的密钥文件的隐藏文件,因为它是自动根据密钥文件的名称计算出来的,且不同于隐藏文件的类型。

使用在 IBM HTTP Server 的 bin 目录中的 sslstash 命令,以创建您的 CRL 密码隐藏文件。使用 sslstash 命令指定的密码应该就是用于登录到 LDAP 服务器的密码。

用法:sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>

其中:
  • -c:创建新的隐藏文件。如果尚未指定,那么更新现有文件。
  • File:表示要创建或更新的文件的标准名称。
  • Function:表示要使用密码的函数。有效值包含 crl 或 crypto。
  • Password:表示要隐藏的密码。
注: 另请参阅SSL 证书撤销列表

请将 SSLStashFile 伪指令与 SSLCRLPort、SSLCRLHostname 和 SSLCRLUserID 伪指令一起用于基于 LDAP 的 CRL 存储库的静态配置。仅当显式 CRLDistributionPoint X.509v3 证书扩展不存在或在该扩展中指定的服务器无响应(不可用)时,才有必要使用这些伪指令来查询基于 LDAP 的 CRL 存储库。

如果 CRLDistributionPoint 扩展存在于证书中且该扩展中指定的服务器有响应(可用),那么在 CRLDistributionPoint 中指定的 LDAP 服务器会被匿名地查询,而不使用这些伪指令。

SSLTrace 伪指令

SSLTrace 伪指令在 mod_ibm_ssl 中启用调试记录。它与 LogLevel 伪指令配合使用。要在 mod_ibm_ssl 中启用调试记录,请将 LogLevel 设置为 debug 并将 SSLTrace 伪指令添加到 IBM HTTP Server 配置文件的全局作用域,放在 mod_ibm_ssl 的 Load模块 伪指令之后。通常在 IBM 支持机构调查 mod_ibm_ssl 的可疑问题时按他们的要求使用此伪指令。建议不要在正常工作情况下启用此伪指令。

语法 SSLTrace
作用域 全局
缺省值 未启用 mod_ibm_ssl 调试记录
模块 mod_ibm_ssl
配置文件中的多个实例 已忽略
注: 另请参阅 LogLevel 伪指令

SSLV2Timeout 伪指令

SSLV2Timeout 伪指令为 SSL V2 会话标识设置超时。

语法 SSLV2Timeout 60
作用域 全局基础和虚拟主机。
缺省值 40
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
0 到 100 秒。

SSLV3Timeout 伪指令

SSLV3Timeout 伪指令为 SSL V3 会话标识设置超时。

语法 SSLV3Timeout 1000
作用域 全局基础和虚拟主机。

[Windows] 虚拟主机作用域或全局作用域适用。

[AIX] [HP-UX] [Linux] [Solaris] 如果还使用了 SSLCacheDisable 伪指令,那么虚拟主机作用域适用。否则,仅允许全局作用域。

缺省值 120
模块 mod_ibm_ssl
配置文件中的多个实例 每个虚拟主机和全局服务器一个实例。
0 到 86400 秒。

SSLVersion 伪指令

如果客户机尝试与非指定的 SSL 协议版本连接,那么 SSLVersion 伪指令启用对象访问拒绝。

语法 SSLVersion ALL
作用域 每个目录节一个。
缺省值 无。
模块 mod_ibm_ssl
配置文件中的多个实例 每个 <Directory> 或 <Location> 节一个实例。
SSLV2|SSLV3|TLSV1|ALL



相关概念
SSL 证书撤销列表
相关任务
选择客户机认证级别
选择客户机认证保护类型
通过 SSL 通信进行保护
参考主题    

使用条款 | 反馈

最近更新日期: Mar 31, 2008 3:11:26 AM EDT
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ssldirs.html