SSL-Anweisungen (Secure Sockets Layer) sind die Konfigurationsparameter, die das SSL-Feature in IBM HTTP Server steuern.
Die meisten SSL-Anweisungen in IBM HTTP Server weisen dasselbe Verhalten auf. Eine für eine bestimmte virtuelle Hostkonfiguration angegebene Anweisung überschreibt eine Anweisung, die in der Konfiguration des Basisservers definiert ist. Außerdem überschreibt eine für ein untergeordnetes Verzeichnis angegebene Anweisung eine Anweisung, die für das zugehörige übergeordnete Verzeichnis angegeben wurde. Es gibt jedoch Ausnahmen.
Außerdem kann eine für ein untergeordnetes Verzeichnis angegebene Anweisung an die Anweisung, die für das zugehörige übergeordnete Verzeichnis angegeben wurde, angefügt werden. In diesem Fall überschreibt die Anweisung für das übergeordnete Verzeichnis die Anweisung für das untergeordnete Verzeichnis nicht, sondern wird an diese angehängt, und es werden beide Anweisungen auf das untergeordnete Verzeichnis angewendet.
Syntax |
|
Geltungsbereich | Virtueller Host |
Standardwert | Inakiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Es sind mehrere Instanzen pro virtuellem Host zulässig. |
Werte | Ein vollständig qualifizierter URL, der auf einen OCSP-Responder verweist, z. B. http://hostname:2560/. Der Teil des URLs mit dem Pfad wird bei der Übergabe von OCSP-Anforderungen nicht verwendet. |
Wenn die CRL-Prüfung konfiguriert ist, wird die CRL-Prüfung vor der OCSP-Prüfung durchgeführt. Die OCSP-Prüfung findet nur statt, wenn das Ergebnis der CRL-Prüfung unbekannt oder nicht schlüssig ist.
Wenn SSLOCSPEnable und SSLOCSPResponderURL konfiguriert sind, wird zuerst der mit SSLOCSPResponderURL definierte Responder geprüft. Falls der Widerrufstatus unbekannt oder nicht schlüssig ist, überprüft IHS die OCSP-Responder gemäß der Beschreibung von SSLOCSPEnable.
Syntax |
|
Geltungsbereich | Virtueller Host |
Standardwert | Inakiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Es sind eine Instanz pro virtuellem Host zulässig. |
Werte | Ohne |
Wenn die CRL-Prüfung konfiguriert ist, wird die CRL-Prüfung vor der OCSP-Prüfung durchgeführt. Die OCSP-Prüfung findet nur statt, wenn das Ergebnis der CRL-Prüfung unbekannt oder nicht schlüssig ist.
Wenn SSLOCSPEnable und SSLOCSPResponderURL konfiguriert sind, wird zuerst der mit SSLOCSPResponderURL definierte Responder geprüft. Falls der Widerrufstatus unbekannt oder nicht schlüssig ist, überprüft IHS die OCSP-Responder gemäß der Beschreibung von SSLOCSPEnable.
Syntax | ![]() ![]() ![]() ![]() ![]() ![]()
|
Geltungsbereich | Globaler Server oder virtueller Host |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Dateiname der Schlüsseldatei.
|
Syntax | SSLAcceleratorDisable |
Geltungsbereich | Virtuell und global |
Standardwert | Beschleunigereinheit ist aktiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host |
Werte | Ohne. Sie können die Anweisung an jeder Stelle in der Konfigurationsdatei einfügen, auch in der Zeilengruppe eines virtuellen Hosts. Wenn das System während der Initialisierung feststellt, dass eine Beschleunigereinheit auf der Maschine installiert ist, verwendet das System diesen Beschleuniger, um die Anzahl sicherer Transaktionen zu erhöhen. Für diese Anweisung sind keine Argumente verfügbar. |
Syntax | SSLAllowNonCriticalBasicConstraints on|off |
Geltungsbereich | Globaler Server oder virtueller Server |
Standardwert | Off |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Ohne. Diese Anweisung ändert das Verhalten des Algorithmus für Zertifikatvalidierung
so, dass eine nicht kritische Basic-Constraints-Erweiterung in einem CA-Ausstellerzertifikat keinen
Validierungsfehler verursacht.
Dies unterstützt die Kompatibilität mit einem Aspekt
der von der japanischen Regierung ausgegebenen Spezifikation "GPKI", der mit RFC3280 in Konflikt steht.
Anmerkung: RFC3280 legt fest, dass diese Erweiterung als kritische Erweiterung
in allen CA-Zertifikaten erscheinen muss, die öffentliche Schlüssel für die Validierung
digitaler Signaturen in Zertifikaten enthalten.
|
Syntax | SSLCacheDisable |
Geltungsbereich | Eine Anweisung pro physischer Serverinstanz; nur zulässig außerhalb der Zeilengruppen für virtuelle Hosts |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Nicht zulässig |
Werte | Ohne. |
Syntax | SSLCacheEnable |
Geltungsbereich | Eine Anweisung pro physischer Serverinstanz; nur zulässig außerhalb der Zeilengruppen für virtuelle Hosts |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Nicht zulässig |
Werte | Ohne. |
Syntax | SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg |
Geltungsbereich | Serverkonfiguration außerhalb des virtuellen Hosts. |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Nicht zulässig |
Werte | Ein gültiger Dateiname. |
Syntax | SSLCachePath /usr/HTTPServer/bin/sidd |
Geltungsbereich | Serverkonfiguration außerhalb des virtuellen Hosts. |
Standardwert | <Serverstammverzeichnis>/bin/sidd |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Nicht zulässig |
Werte | Ein gültiger Pfadname. |
Syntax | SSLCachePath /usr/HTTPServer/logs/sidd |
Geltungsbereich | Serverkonfiguration außerhalb des virtuellen Hosts. |
Standardwert | Wenn diese Anweisung nicht definiert, aber der Cache aktiviert ist, versucht der Server, die Datei <Serverstammverzeichnis>/logs/siddport zu verwenden. |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Nicht zulässig |
Werte | Ein gültiger Pfadname. Der Webserver löscht diese Datei beim Starten. |
Syntax | SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log |
Geltungsbereich | Serverkonfiguration außerhalb des virtuellen Hosts. |
Standardwert | Ohne. |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Nicht zulässig |
Werte | Ein gültiger Pfadname. |
Syntax | SSLCipherBan <Verschlüsselungsspezifikation> |
Geltungsbereich | Mehrere Instanzen pro Verzeichniszeilengruppen |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine pro Verzeichniszeilengruppe. Die Prioritätsreihenfolge ist absteigend. |
Werte | Nähere Informationen hierzu finden Sie in den Artikeln Verschlüsselungsspezifikationen der SSL Version 2 und Verschlüsselungsspezifikationen SSL Version 3 und TLS Version 1. |
Syntax | SSLCipherRequire <Verschlüsselungsspezifikation> |
Geltungsbereich | Mehrere Instanzen pro Verzeichniszeilengruppen |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine pro Verzeichniszeilengruppe. |
Werte | Nähere Informationen hierzu finden Sie in den Artikeln Verschlüsselungsspezifikationen der SSL Version 2 und Verschlüsselungsspezifikationen SSL Version 3 und TLS Version 1. |
Syntax | SSLCipherSpec Kurzname oder SSLCipherSpec vollständiger_Name |
Geltungsbereich | Virtueller Host |
Standardwert | Wenn Sie keine Angabe machen, verwendet der Server alle verfügbaren Verschlüsselungsspezifikationen aus der installierten GSK-Bibliothek. |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Zulässig. Die Prioritätsreihenfolge ist absteigend. Falls der Client die Verschlüsselungsspezifikationen nicht unterstützt, wird die Verbindung geschlossen. |
Werte | Nähere Informationen hierzu finden Sie in den Artikeln Verschlüsselungsspezifikationen der SSL Version 2 und Verschlüsselungsspezifikationen SSL Version 3 und TLS Version 1. |
Syntax | SSLClientAuth <erforderliche Stufe> [crl] |
Geltungsbereich | Virtueller Host |
Standardwert | SSLClientAuth none |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host |
Werte |
Die Angabe von 0/None schließt die Angabe der Option crl aus. |
Die Anweisung "SSLClientAuthGroup" definiert eine benannte Ausdrucksgruppe mit spezifischen Attribut/Wert-Paaren für Clientzertifikate. Diese benannte Gruppe kann von den SSLClientAuthRequire-Anweisungen verwendet werden. Der Client muss ein Zertifikat, das diesen Ausdruck übergibt, bereitstellen, bevor der Server den Zugriff auf die geschützte Ressource zulässt.
Syntax | SSLClientAuthGroup Attributausdruck für Gruppennamen |
Geltungsbereich | Serverkonfiguration, virtueller Host. |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Zulässig. |
Überschreiben | Ohne |
Werte | Logischer Ausdruck, der aus Attributprüfungen besteht, die mit AND,
OR, NOT und runden Klammern verknüpft sind. Beispiel:
SSLClientAuthGroup IBMpeople Org = IBM |
Beschreibung gültiger logischer Ausdrücke. Der folgende Abschnitt beschreibt Beispiele mit gültigen logischen Ausdrücken. Beispiel: SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM bedeutet, dass das Objekt nur dann bereitgestellt wird, wenn das Clientzertifikat einen allgemeinen Namen mit dem Wert Fred Smith oder John Deere und die Organisation IBM enthält. Die einzigen gültigen Vergleichsoperatoren für Attributprüfungen sind gleich und ungleich (= und !=). Sie können die Attributprüfungen mit AND, OR oder NOT (auch &&, || und !) miteinander verknüpfen. Verwenden Sie für die Gruppierung von Vergleichen runde Klammern. Wenn der Wert des Attributs ein nicht alphanumerisches Zeichen enthält, müssen Sie den Wert mit Anführungszeichen begrenzen.
Vollständiger Name | Kurzname |
---|---|
CommonName | CN |
Land | C |
E | |
IssuerCommonName | ICN |
IssuerEmail | IE |
IssuerLocality | IL |
IssuerOrg | IO |
IssuerOrgUnit | IOU |
IssuerPostalCode | IPC |
IssuerStateOrProvince | IST |
Ort | L |
Org | O |
OrgUnit | OU |
PostalCode | PC |
StateOrProvince | ST |
Sie können mit dieser Anweisung den vollständigen oder den Kurznamen angeben.
SSLClientAuthGroup IBMpeople Org = IBModer
SSLClientAuthGroup NotMNIBM ST != MN && Org = IBM
Ein Gruppenname darf keine Leerzeichen enthalten. Nähere Informationen enthält der Artikel Anweisung SSLClientAuthRequire.
Die Anweisung "SSLClientAuthRequire" gibt Attribute oder Gruppen von Attributwerten an, die auf der Basis eines Clientzertifikats validiert werden müssen, bevor der Server den Zugriff auf die geschützte Ressource zulässt.
Syntax | SSLClientAuthRequire Attribut Ausdruck |
Geltungsbereich | Serverkonfiguration, virtueller Host |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Zulässig. Die Funktion verknüpft diese Anweisungen mit "AND". |
Überschreiben | AuthConfig |
Werte | Logischer Ausdruck, der aus Attributprüfungen besteht, die mit AND,
OR, NOT und runden Klammern verknüpft sind. Beispiel:
SSLClientAuthRequire group != IBMpeople && ST = M |
Wenn das Zertifikat, das Sie erhalten haben, kein bestimmtes Attribut hat, wird nicht geprüft, ob eine Attributübereinstimmung vorliegt. Selbst wenn der angegebene Abgleichwert " " ist, ist dies nicht unbedingt dasselbe, als wäre kein Attribut angegeben. Jedes mit der Anweisung SSLClientAuthRequire angegebene Attribut, das nicht im Zertifikat enthalten ist, führt dazu, dass die Anforderung zurückgewiesen wird.
Vollständiger Name | Kurzname |
---|---|
CommonName | CN |
Land | C |
E | |
IssuerCommonName | ICN |
IssuerEmail | IE |
IssuerLocality | IL |
IssuerOrg | IO |
IssuerOrgUnit | IOU |
IssuerPostalCode | IPC |
IssuerStateOrProvince | IST |
Ort | L |
Org | O |
OrgUnit | OU |
PostalCode | PC |
StateOrProvince | ST |
Sie können mit dieser Anweisung den vollständigen oder den Kurznamen angeben.
Der Benutzer gibt einen logischen Ausdruck bestimmter Attribute für das Clientzertifikat an. Sie können die logischen Operatoren AND, OR und NOT für mehrere Ausdrücke verwenden, um die gewünschte Gruppe von Attributwerten für das Clientzertifikat anzugeben. Zu den gültigen Operatoren gehören '=' und '!='. Sie können auch einen Gruppennamen angeben, der mit Anweisung SSLClientAuthGroup konfiguriert wurde, um eine Gruppe von Attributen zu konfigurieren.
SSLClientAuthRequire (CommonName="John Doe" || StateOrProvince=MN) && Org !=IBModer
SSLClientAuthRequire group!=IBMpeople && ST=MN
SSLClientAuthRequire group != IBMpeople && "ST= MN"Nähere Informationen enthält der Artikel Anweisung SSLClientAuthGroup.
Die Anweisung "SSLCRLHostname" gibt den TCP/IP-Namen oder die TCP/IP-Adresse des LDAP-Servers an, auf dem die CRL-Datenbank (Certificate Revocation List, Zertifikatswiderrufsliste) gespeichert ist.
Syntax | <SSLCRLHostName <TCP/IP-Name oder -Adresse> |
Geltungsbereich | Globaler Server oder virtueller Host |
Standardwert | Inaktiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | TCP/IP-Name oder -Adresse des LDAP-Servers |
Verwenden Sie die Anweisung "SSLCRLHostname" zusammen mit den Anweisungen "SSLCRLPort", "SSLCRLUserID" und "SSLStashfile" für die statische Konfiguration eines LDAP-basierten CRL-Repositorys. Diese Anweisungen müssen für die Abfrage des LDAP-basierten CRL-Repositorys nur verwendet werden, wenn eine explizite "CRLDistributionPoint X.509v3"-Zertifikatserweiterung fehlt oder wenn der in der Erweiterung angegebene Server nicht reagiert (nicht verfügbar ist).
Wenn eine "CRLDistributionPoint"-Erweiterung im Zertifikat enthalten ist und der in der Erweiterung angegebene Server reagiert (verfügbar ist), wird der mit "CRLDistributionPoint" angegebene LDAP-Server anonym, ohne Verwendung dieser Anweisungen, abgefragt.
Die Anweisung "SSLCRLPort" gibt den Port des LDAP-Servers an, in dem die CRL-Datenbank gespeichert ist.
Syntax | SSLCRL<Port> |
Geltungsbereich | Globaler Server oder virtueller Host |
Standardwert | Inaktiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Port des LDAP-Servers, Standardeinstellung = 389 |
Verwenden Sie die Anweisung "SSLCRLPort" zusammen mit den Anweisungen "SSLCRLUserID", "SSLCRLHostname" und "SSLStashfile" für die statische Konfiguration eines LDAP-basierten CRL-Repositorys. Diese Anweisungen müssen für die Abfrage des LDAP-basierten CRL-Repositorys nur verwendet werden, wenn eine explizite "CRLDistributionPoint X.509v3"-Zertifikatserweiterung fehlt oder wenn der in der Erweiterung angegebene Server nicht reagiert (nicht verfügbar ist).
Wenn eine "CRLDistributionPoint"-Erweiterung im Zertifikat enthalten ist und der in der Erweiterung angegebene Server reagiert (verfügbar ist), wird der mit "CRLDistributionPoint" angegebene LDAP-Server anonym, ohne Verwendung dieser Anweisungen, abgefragt.
Die Anweisung "SSLCRLUserID" gibt die Benutzer-ID an, die an den LDAP-Server mit der CRL-Datenbank gesendet wird.
Syntax | SSLCRLUserID <[prompt] <Benutzer-ID> |
Geltungsbereich | Globaler Server oder virtueller Host |
Standardwert | Wenn Sie keine Benutzer-ID angeben, wird standardmäßig anonymous verwendet. |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Benutzer-ID des LDAP-Servers. Wenn Sie die Option prompt verwenden, fordert der HTTP-Server Sie beim Start auf, das Kennwort für den Zugriff auf den LDAP-Server einzugeben. |
Verwenden Sie die Anweisung "SSLCRLUserID" zusammen mit den Anweisungen "SSLCRLPort", "SSLCRLHostname" und "SSLStashfile" für die statische Konfiguration eines LDAP-basierten CRL-Repositorys. Diese Anweisungen müssen für die Abfrage des LDAP-basierten CRL-Repositorys nur verwendet werden, wenn eine explizite "CRLDistributionPoint X.509v3"-Zertifikatserweiterung fehlt oder wenn der in der Erweiterung angegebene Server nicht reagiert (nicht verfügbar ist).
Wenn eine "CRLDistributionPoint"-Erweiterung im Zertifikat enthalten ist und der in der Erweiterung angegebene Server reagiert (verfügbar ist), wird der mit "CRLDistributionPoint" angegebene LDAP-Server anonym, ohne Verwendung dieser Anweisungen, abgefragt.
Syntax | SSLDisable |
Geltungsbereich | Globaler Server oder virtueller Host |
Standardwert | Inaktiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Ohne |
Syntax | SSLEnable |
Geltungsbereich | Globaler Server oder virtueller Host |
Standardwert | Inaktiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Ohne |
Die Anweisung "SSLFakeBasicAuth" aktiviert die Unterstützung für manipulierte Basisauthentifizierung.
Syntax | SSLFakeBasicAuth |
Geltungsbereich | In einer Verzeichniszeilengruppe zusammen mit den Anweisungen AuthName, AuthType und require verwendet. |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro Verzeichniszeilengruppe. |
Werte | Ohne |
Syntax | SSLFIPSDisable |
Geltungsbereich | Virtuell und global |
Standardwert | Inaktiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Ohne |
Syntax | SSLFIPSEnable |
Geltungsbereich | Virtuell und global |
Standardwert | Inaktiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Ohne |
Die Anweisung "SSLPKCSDriver" gibt den vollständig qualifizierten Namen des Moduls oder Treibers für den Zugriff auf die PKCS11-Einheit an.
Syntax | Vollständig qualifizierter Name des Moduls für den Zugriff auf die PKCS11-Einheit. Falls das Modul im Benutzerpfad enthalten ist, geben Sie einfach den Namen des Moduls an. |
Geltungsbereich | Globaler Server oder virtueller Host |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Pfad und Name des PKCS11-Moduls oder -Treibers. |
Mit der Anweisung "SSLProtocolDisable" können Sie SSL-Protokolle angeben, die der Client für einen bestimmten virtuellen Host nicht verwenden darf. Diese Anweisung muss im Container <VirtualHost> enthalten sein.
Syntax | SSLProtocolDisable <Protokollname> |
Geltungsbereich | Virtueller Host |
Standardwert | Inakiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Es sind mehrere Instanzen pro virtuellem Host zulässig. |
Werte | Die folgenden Werte sind für diese Anweisung verfügbar:
|
<VirtualHost *:443> SSLEnable SSLProtocolDisable SSLv2 SSLv3 (alle anderen Anweisungen) </VirtualHost>
Syntax | SSLProxyEngine on|off |
Geltungsbereich | IP-basierte virtuelle Hosts |
Standardwert | Off |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | on|off |
Syntax | SSLServerCert [prompt] Kennsatz_des_Zertifikats; für PKCS11-Einheit - SSLServerCert TokenKennsatz:Schlüsselkennsatz |
Geltungsbereich | IP-basierte virtuelle Hosts |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Zertifikatkennsatz. Wenn Sie die Option /prompt verwenden, fordert der HTTP-Server Sie beim Start zur Eingabe des Kennworts für das Verschlüsselungs-Token auf. Schließen Sie den Zertifikatkennsatz nicht in Trennzeichen ein. Der Kennsatz muss in einer Zeile angegeben werden. Führende und abschließende Leerzeichen werden ignoriert. |
Die Anweisung "SSLStashfile" gibt den Pfad und den Dateinamen der Datei an, die das verschlüsselte Kennwort zum Öffnen der PKCS11-Einheit enthält.
Syntax | SSLStashFile /usr/HTTPServer/mystashfile.sth |
Geltungsbereich | Virtueller Host und globaler Server |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | Dateiname einer verdeckten LDAP- und/oder PKCS11-Datei, die mit dem Befehl sslstash erstellt wurde. |
Die SSLStashFile zeigt nicht auf eine verdeckte Datei für die verwendete Schlüsseldatei, da diese automatisch basierend auf dem Namen der Schlüsseldatei ermittelt wird und einen anderen Typ hat als die verdeckte Datei.
Verwenden Sie den Befehl sslstash im Verzeichnis bin von IBM HTTP Server, um die verdeckte Datei mit dem CRL-Kennwort zu erstellen. Das Kennwort, das Sie mit dem Befehl sslstash angeben, muss dasselbe sein, dass Sie für die Anmeldung am LDAP-Server verwenden.
Syntax: sslstash [-c] <Verzeichnis_mit_Kennwortdatei_und_Dateiname> <Funktionsname> <Kennwort>
Verwenden Sie die Anweisung "SSLStashFile" zusammen mit den Anweisungen "SSLCRLPort", "SSLCRLHostname" und "SSLCRLUserID" für die statische Konfiguration eines LDAP-basierten CRL-Repositorys. Diese Anweisungen müssen für die Abfrage des LDAP-basierten CRL-Repositorys nur verwendet werden, wenn eine explizite "CRLDistributionPoint X.509v3"-Zertifikatserweiterung fehlt oder wenn der in der Erweiterung angegebene Server nicht reagiert (nicht verfügbar ist).
Wenn eine "CRLDistributionPoint"-Erweiterung im Zertifikat enthalten ist und der in der Erweiterung angegebene Server reagiert (verfügbar ist), wird der mit "CRLDistributionPoint" angegebene LDAP-Server anonym, ohne Verwendung dieser Anweisungen, abgefragt.
Die Anweisung "SSLTrace" aktiviert die Debugprotokollierung in mod_ibm_ssl. Sie wird zusammen mit der Anweisung LogLevel verwendet. Zum Aktivieren der Debug-Protokollierung in mod_ibm_ssl setzen Sie die Anweisung LogLevel auf debug, und fügen Sie die Anweisung SSLTrace dem globalen Bereich in der Konfigurationsdatei von IBM HTTP Server hinter der Anweisung LoadModule für mod_ibm_ssl hinzu. Diese Anweisung wird normalerweise auf Anforderung der IBM Unterstützungsfunktion zum Untersuchen eines potenziellen Problems in "mod_ibm_ssl" verwendet. Von der Aktivierung dieser Anweisung während des normalen Betriebs wird abgeraten.
Syntax | SSLTrace |
Geltungsbereich | Global |
Standardwert | Debug-Protokollierung für mod_ibm_ssl ist nicht aktiviert |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Ignoriert |
Werte | Ohne |
Mit der Anweisung SSLV2Timeout können Sie das Zeitlimit für Session-IDs der SSL Version 2 festlegen.
Syntax | SSLV2Timeout 60 |
Geltungsbereich | Globaler Server oder virtueller Host |
Standardwert | 40 |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | 0 bis 100 Sekunden |
Mit der Anweisung SSLV3Timeout können Sie das Zeitlimit für Sitzungs-ID der SSL Version 3 und TLS-Sitzungs-IDs festlegen.
Syntax | SSLV3Timeout 1000 |
Geltungsbereich | Globaler Server oder virtueller Host
|
Standardwert | 120 |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Instanz pro virtuellem Host und globalem Server |
Werte | 0 bis 86400 Sekunden |
Mit der Anweisung SSLVersion können Sie die Zurückweisung von Objektzugriffen aktivieren, wenn der Client versucht, mit einer anderen Version des SSL-Protokolls als der angegebenen eine Verbindung herzustellen.
Syntax | SSLVersion ALL |
Geltungsbereich | Eine pro Verzeichniszeilengruppe. |
Standardwert | Ohne |
Modul | mod_ibm_ssl |
Mehrere Instanzen in der Konfigurationsdatei | Eine Zeilengruppe pro <Directory>- oder <Location>-Zeilengruppe. |
Werte | SSLV2|SSLV3|TLSV1|ALL |