IBM HTTP Server para WebSphere Application Server, Versión 6.1
             Sistemas operativos: AIX, HP-UX, Linux, Solaris, Windows, z/OS

             Personalice la tabla de contenido y los resultados de la búsqueda

Directivas SSL

Las directivas SSL (Secure Sockets Layer) son los parámetros de configuración que controlan las características SSL en IBM HTTP Server.

La mayoría de las directivas SSL en IBM HTTP Server tienen el mismo comportamiento. Una directiva especificada para una configuración de host virtual dada altera temporalmente una directiva especificada en la base configuración del servidor base. Además, una directiva especificada para un directorio hijo altera temporalmente una directiva especificada para su directorio padre. No obstante, existen algunas excepciones.

Por ejemplo, cuando no se especifica ninguna directiva para un host virtual, la directiva especificada en la configuración de servidor base puede copiarse en la configuración de host virtual. En este caso, la directiva de la configuración de servidor base altera temporalmente la configuración de host virtual.
Nota: La directiva SSLEnable no se debe especificar en la configuración de servidor base si no desea que la directiva se copie automáticamente en una configuración de host virtual dado.

Además, una directiva especificada para un directorio hijo puede adjuntarse a una directiva especificada para su directorio padre. En este caso, la directiva para el directorio padre no altera temporalmente la directiva para el directorio hijo, sino que se añade a la misma y las dos directivas se aplican al directorio hijo.

En la siguiente lista se muestran las directivas SSL para IBM HTTP Server.

SSLOCSPResponderURL

Habilita la comprobación del certificado de cliente a través de un respondedor OCSP (protocolo de estado de certificado en línea) configurado de forma estática.
Sintaxis

[AIX Solaris HP-UX Linux Windows] SSLOCSPResponderURL<URL>

Ámbito Host virtual
Valor predeterminado Inhabilitado
Module mod_ibm_ssl
Varias instancias del archivo de configuración Se permiten varias instancias para cada host virtual
Valores Un URL completo que apunta a un respondedor OCSP, por ejemplo, http://hostname:2560/. La parte de vía de acceso del URL no se utiliza al enviar las solicitudes de URL.
Si se establece SSLOCSPResponderURL , IHS utiliza el URL proporcionado para comprobar el estado de revocación del certificado cuando se proporciona un certificado de cliente SSL.

Si se configura la comprobación CRL, dicha comprobación se realizará antes de cualquier comprobación OCSP. La comprobación OCSP sólo se produce si el resultado del CRL es desconocido o incierto.

Si se configuran SSLOCSPEnable y SSLOCSPResponderURL, el respondedor definido por SSLOCSPResponderURL se comprobará en primer lugar. Si el estado de revocación es desconocido o incierto, IHS comprueba los respondedores OCSP., tal como se describe a continuación.

SSLOCSPEnable

Habilita la comprobación del certificado de cliente a través de los respondedores OCSP definidos en la extensión AIA (Authority Information Access) de su certificado.
Sintaxis

[AIX Solaris HP-UX Linux Windows] SSLOCSPEnable

Ámbito Host virtual
Valor predeterminado Inhabilitado
Module mod_ibm_ssl
Varias instancias del archivo de configuración Se permite una instancia para cada host virtual
Valores Ninguno
Si se establece SSLOCSPEnable, y una cadena de certificado de cliente SSL contiene una extensión AIA, IHS contactará con el respondedor OCSP que indica la extensión AIA para comprobar el estado de revocación del certificado de cliente. La parte de vía de acceso del URL se pasa por alto.

Si se configura la comprobación CRL, dicha comprobación se realizará antes de cualquier comprobación OCSP. La comprobación OCSP sólo se produce si el resultado del CRL es desconocido o incierto.

Si se configuran SSLOCSPEnable y SSLOCSPResponderURL, el respondedor definido por SSLOCSPResponderURL se comprobará en primer lugar. Si el estado de revocación es desconocido o incierto, IHS comprueba los respondedores OCSP., tal como se describe a continuación.

Directiva Keyfile

La directiva keyfile establece el archivo de claves que se va a utilizar.
Nota: Esta directiva se puede alterar temporalmente mediante la configuración de servidor base.
Sintaxis
[AIX] [Solaris] [Linux] [Windows] Keyfile [/prompt] /vía de acceso completamente cualificada al archivo de claves/keyfile.kdb
[z/OS] Nota: La función /prompt sólo está soportada cuando se ejecuta desde un shell USS, no desde un trabajo iniciado de JCL. Si intenta utilizar la función /prompt desde un trabajo iniciado de JCL, se produce un error de configuración.
[z/OS] Puede utilizar un conjunto de claves almacenado en el Sistema de archivos jerárquico (HFS) o en el SAF (System Authorization Facility). Para utilizar un conjunto de claves almacenado en el HFS:
  • Keyfile /vía de acceso plenamente cualificada al archivo de claves/keyfile.kdb
Para utilizar un conjunto de claves almacenado en SAF:
  • Keyfile /saf WASKeyring
    Nota: Con conjuntos de claves de SAF:
    • No existe ningún archivo stash cuando se utiliza SAF y el acceso está controlado por las reglas SAF. Por lo tanto, si intenta utilizar el argumento Keyfile/prompt/saf, el argumento no está soportado. Si intenta utilizar este argumento, se producirá un error de configuración.
    • El ID utilizado para iniciar IBM HTTP Server debe tener acceso al conjunto de claves mencionado en esta directiva. Si el ID no tiene acceso, falla la inicialización de SSL.
Ámbito Host básico global y virtual
Valor predeterminado None
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global
Valores Nombre de archivo del archivo de claves.

[AIX Solaris HP-UX Linux Windows] Utilice la opción prompt para habilitar a HTTP Server para que solicite la contraseña del archivo de claves durante el inicio.

[z/OS] La protección del sistema de archivos se puede utilizar para limitar el acceso. Utilice los conjuntos de claves SAF (System Authorization Facility) para limitar el acceso a los certificados SSL.

[z/OS] Importante: El sistema z/OS no da soporte a los archivos de base de datos de claves creados en otras plataformas. Los archivos de base de datos que se utilizan para sistemas z/OS se deben crear en la plataforma z/OS.

Directiva SSLAcceleratorDisable

La directiva SSLAcceleratorDisable inhabilita el dispositivo acelerador.
Sintaxis SSLAcceleratorDisable
Ámbito Virtual y global
Valor predeterminado El dispositivo acelerador está habilitado
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual.
Valores Ninguna. Incluya esta directiva en cualquier lugar dentro del archivo de configuración, incluido dentro de un host virtual. Durante la inicialización, si el sistema determina que hay un dispositivo acelerador instalado en la máquina, el sistema utiliza ese acelerador para aumentar el número de transacciones seguras. Esta directiva no acepta argumentos.

Directiva SSLAllowNonCriticalBasicConstraints [AIX Solaris HP-UX Linux Windows]

La directiva SSLAllowNonCriticalBasicConstraints permite compatibilidad con un aspecto de la especificación GPKI del gobierno de Japón que está en conflicto con RFC3280.
Sintaxis SSLAllowNonCriticalBasicConstraints on|off
Ámbito Servidor global o host virtual
Valor predeterminado Desactivado
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global
Valores Ninguna. Esta directiva cambia el comportamiento del algoritmo de validación de certificados de modo que una extensión de restricciones básicas no crítica sobre un certificado de entidad emisora de certificados (CA) del emisor no causará una anomalía en la validación. Esto permite compatibilidad con un aspecto de la especificación GPKI del gobierno de Japón que está en conflicto con RFC3280.
Nota: RFC3280 expone que esta extensión debe aparecer como extensión crítica en todos los certificados de CA que contienen claves públicas utilizadas para validar firmas digitales en certificados.

Directiva SSLCacheDisable [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directiva CacheDisable inhabilita la memoria caché de ID de sesión SSL externa.
Sintaxis SSLCacheDisable
Ámbito Uno por instancia de Apache Server físico, sólo se permite fuera de las stanzas del host virtual.
Valor predeterminado None
Module mod_ibm_ssl
Varias instancias del archivo de configuración No se permite.
Valores Ninguna.

Directiva SSLCacheEnable [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directiva SSLCacheEnable habilita la memoria caché de ID de sesión SSL externa.
Sintaxis SSLCacheEnable
Ámbito Uno por instancia de Apache Server físico, sólo se permite fuera de las stanzas del host virtual.
Valor predeterminado None
Module mod_ibm_ssl
Varias instancias del archivo de configuración No se permite.
Valores Ninguno.

Directiva SSLCacheErrorLog [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directiva SSLCacheErrorLog establece el nombre de archivo de la memoria caché del ID de sesión.
Sintaxis SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg
Ámbito Configuración del servidor fuera del host virtual
Valor predeterminado None
Module mod_ibm_ssl
Varias instancias del archivo de configuración No se permite.
Valores Nombre de archivo válido.

Directiva SSLCachePath [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directiva SSLCachePath especifica la vía de acceso al daemon de almacenamiento en memoria caché del ID de sesión.
Sintaxis SSLCachePath /usr/HTTPServer/bin/sidd
Ámbito Configuración del servidor fuera del host virtual
Valor predeterminado <raíz-servidor>/bin/sidd
Module mod_ibm_ssl
Varias instancias del archivo de configuración No se permite.
Valores Nombre de vía de acceso válido.

Directiva SSLCachePortFilename [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directiva SSLCachePortFilename establece el nombre de archivo para el socket de dominio UNIX que se utiliza para la comunicación entre las instancias del servidor y el daemon de antememoria del ID de sesión. Debe establecer esta directiva si ejecuta dos instancias de IBM HTTP Server desde el mismo directorio de instalación y ambas están configuradas para SSL. Si no es así, no es necesario que establezca esta directiva.
Sintaxis SSLCachePath /usr/HTTPServer/logs/sidd
Ámbito Configuración del servidor fuera del host virtual
Valor predeterminado Si no se especifica esta directiva y está habilitada la memoria caché, el servidor intenta utilizar el archivo <raíz_servidor>/logs/siddport.
Module mod_ibm_ssl
Varias instancias del archivo de configuración No se permite.
Valores Nombre de vía de acceso válido. El servidor Web suprime este archivo durante el inicio; no lo nombra.

Directiva SSLCacheTraceLog [AIX] [HP-UX] [Linux] [Solaris] [z/OS]

La directiva SSLCacheTraceLog especifica el archivo en el que se graban los mensajes de rastreo de ID de sesión. Sin esta directiva, el rastreo está inhabilitado.
Sintaxis SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log
Ámbito Configuración del servidor fuera del host virtual
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración No se permite.
Valores Nombre de vía de acceso válido.

Directiva SSLCipherBan

La directiva SSLCipherBan deniega el acceso a un objeto si el cliente se ha conectado utilizando uno de los cifrados especificados. La petición fallará con un código de estado de 403.
Nota: Esta directiva, cuando se especifica para un directorio hijo, no altera temporalmente la directiva especificada para el directorio padre. En vez de ello, las dos directivas se aplican al directorio hijo.
Sintaxis SSLCipherBan <especificación_cifrado>
Ámbito Varias instancias por stanza de directorio.
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Permitidas por stanza de directorio. El orden de preferencia es de arriba a abajo.
Valores Consulte Especificaciones de cifrado SSL de la versión 2 y Especificaciones de cifrado de SSL Versión 3 y TLS Versión 1.

Directiva SSLCipherRequire

La directiva SSLCipherRequire limita a los clientes que se han conectado utilizando uno de los cifrados especificados el acceso a objetos. Si se deniega el acceso, la petición producirá un error con el código de estado '403'.
Nota: Esta directiva, cuando se especifica para un directorio hijo, no altera temporalmente la directiva especificada para el directorio padre. En vez de ello, las dos directivas se aplican al directorio hijo.
Sintaxis SSLCipherRequire <especificación_cifrado>
Ámbito Varias instancias por stanza de directorio.
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Permitidas por stanza de directorio.
Valores Consulte Especificaciones de cifrado SSL de la versión 2 y Especificaciones de cifrado de SSL Versión 3 y TLS Versión 1.

Directiva SSLCipherSpec

Si especifica los cifrados V3 o TLS y no cifrados SSL V2, se inhabilita el soporte SSL V2. Asimismo, si especifica cifrados SSL V2 y no SSL V3 o cifrados TLS, se inhabilita el soporte SSL V3 y TLS.
Sintaxis SSLCipherSpec nombre abreviado o SSLCipherSpec nombre largo
Ámbito Host virtual.
Valor predeterminado Si no se especifica ninguno, el servidor utiliza todas las especificaciones cifradas disponibles de la biblioteca GSK instalada.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Permitido. El orden de preferencia es de arriba a abajo, del primero al último. Si el cliente no admite las especificaciones cifradas, se cierra la conexión.
Valores Consulte Especificaciones de cifrado SSL de la versión 2 y Especificaciones de cifrado de SSL Versión 3 y TLS Versión 1.

Directiva SSLClientAuth

La directiva SSLClientAuth establece la modalidad de autenticación de cliente a utilizar (ninguna (0), opcional (1) o necesaria (2)).
Sintaxis SSLClientAuth <nivel necesario> [crl]
Ámbito Host virtual.
Valor predeterminado SSLClientAuth none
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual.
Valores
  • 0/None: no se ha solicitado el certificado de cliente.
  • 1/Optional: se ha solicitado el certificado de cliente, pero no es necesario.
  • 2/Required: es necesario un certificado de cliente válido.
  • CRL: activa y desactiva crl dentro del host virtual SSL. Si utiliza CRL (Lista de revocación de certificados), debe especificar crl como segundo argumento de SSLClientAuth. Por ejemplo: SSLClientAuth 2 crl. Si no especifica crl, no podrá realizar la CRL en el host virtual SSL.

Si especifica el valor 0/None, no puede utilizar la opción CRL.

Directiva SSLClientAuthGroup

La directiva SSLClientAuthGroup define un grupo de expresión con nombre que contiene un conjunto concreto de pares de atributo y valor de certificado de cliente. Las directivas SSLClientAuthRequire pueden utilizar este grupo con nombre. El cliente debe proporcionar un certificado, que pasa esta expresión, antes de que el servidor permita el acceso al recurso protegido.

Sintaxis SSLClientAuthGroup expresión de atributo de nombre de grupo
Ámbito Configuración del servidor, host virtual.
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Permitido.
Alterar temporalmente Ninguno.
Valores Expresión lógica que consta de comprobaciones de atributos enlazados con los operadores AND, OR, NOT y paréntesis. Por ejemplo:
SSLClientAuthGroup IBMpeople Org = IBM

Descripción de expresiones lógicas válidas. El apartado siguiente proporciona una descripción de ejemplos con expresiones lógicas válidas. Por ejemplo: SSLClientAuthGroup (CommonName = "Federico Sanz" OR CommonName = "Juan Cuesta") AND Org = IBM significa que no se proporciona el objeto, a no ser que el certificado de cliente contenga el nombre común Federico Sanz o Juan Cuesta y la organización sea IBM. Las únicas comparaciones válidas de las comprobaciones de atributos son igual y distinto (= y !=). Puede enlazar cada comprobación de atributo con los operadores AND, OR o NOT (también &&, || y !). Utilice paréntesis para agrupar comparaciones. Si el valor del atributo contiene caracteres no alfanuméricos, debe delimitar el valor con comillas.

A continuación figura una lista de los valores de atributo que puede especificar para esta directiva:
Nombre largo Nombre abreviado
CommonName CN
País C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
Localidad L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

En esta directiva, se puede utilizar el nombre largo o el abreviado.

El usuario especifica una expresión lógica de atributos de certificado de cliente concretos. Puede utilizar las operaciones lógicas AND , OR o NOT de varias expresiones para especificar la agrupación deseada de valores de atributo de certificado de cliente. Entre los operadores válidos se incluyen '=' y '!='. Por ejemplo:
SSLClientAuthGroup IBMpeople Org = IBM 
o
SSLClientAuthGroup NotMNIBM ST != MN && Org = IBM 

Los nombres de grupo no pueden incluir espacios. Para obtener más información, consulte el apartado Directiva SSLClientAuthRequire.

Directiva SSLClientAuthRequire

La directiva SSLClientAuthRequire especifica valores de atributo o grupos de valores de atributo, que deben validarse con un certificado de cliente antes de que el servidor permita el acceso al recurso protegido.

Sintaxis SSLClientAuthRequire expresión de atributo
Ámbito Configuración del servidor, host virtual
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Permitido. La función une estas directivas mediante el operador "AND".
Alterar temporalmente AuthConfig
Valores Expresión lógica que consta de comprobaciones de atributos enlazados con los operadores AND, OR, NOT y paréntesis. Por ejemplo:
SSLClientAuthRequire group != IBMpeople && ST = M

Si el certificado recibido no tiene un atributo concreto, entonces no se verifica la coincidencia de atributos. Aún cuando el valor coincidente especificado sea " ", quizá esto aún no sea lo mismo que no tener ahí ningún atributo. Cualquier atributo especificado en la directiva SSLClientAuthRequire que no esté disponible en el certificado, provocará que se rechace la petición.

A continuación figura una lista de los valores de atributo que puede especificar para esta directiva:
Nombre largo Nombre abreviado
CommonName CN
País C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
Localidad L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

En esta directiva, se puede utilizar el nombre largo o el abreviado.

El usuario especifica una expresión lógica de atributos de certificado de cliente concretos. Puede utilizar las operaciones lógicas AND , OR o NOT de varias expresiones para especificar la agrupación deseada de valores de atributo de certificado de cliente. Entre los operadores válidos se incluyen '=' y '!='. El usuario también puede especificar un nombre de grupo, que se configura utilizando Directiva SSLClientAuthGroup, para configurar un grupo de atributos.

Puede especificar varias directivas SSLClientAuthRequire dentro del mismo ámbito. Las expresiones lógicas de cada directiva se utilizan para evaluar los derechos de acceso de cada certificado y se realiza una AND lógica de los resultados de las evaluaciones individuales. Por ejemplo:
SSLClientAuthRequire (CommonName="John Doe" || StateOrProvince=MN) && Org !=IBM 
o bien
SSLClientAuthRequire group!=IBMpeople && ST=MN
Puede encerrar entre comillas los nombres abreviados y los largos. Por ejemplo:
SSLClientAuthRequire group != IBMpeople && "ST= MN"
Para obtener más información, consulte el apartado Directiva SSLClientAuthGroup.

Directiva SSLCRLHostname

La directiva SSLCRLHostname especifica el nombre de TCP/IP o la dirección del servidor LDAP donde reside la base de datos CRL (lista de revocación de certificados).

Sintaxis <SSLCRLHostName <nombre o dirección TCP/IP>
Ámbito Servidor global o host virtual.
Valor predeterminado Está inhabilitada por omisión.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Nombre o dirección TCP/IP del servidor LDAP

Utilice la directiva SSLCRLHostname, junto con las directivas SSLCRLPort, SSLCRLUserID y SSLStashfile, para la configuración estática de un repositorio CRL basado en LDAP. Sólo es necesario utilizar estas directivas para consultar el repositorio CRL basado en LDAP si falta una extensión de certificado CRLDistributionPoint X.509v3 explícita o el servidor especificado en la extensión no responde (no está disponible).

Si hay una extensión CRLDistributionPoint en el certificado y el servidor especificado en la extensión responde (está disponible), el servidor LDAP especificado en CRLDistributionPoint se consulta de forma anónima, sin utilizar estas directivas.

Directiva SSLCRLPort

La directiva SSLCRLPort especifica el puerto del servidor LDAP donde reside la base de datos CRL (lista de revocación de certificados).

Sintaxis SSLCRL<port>
Ámbito Servidor global o host virtual.
Valor predeterminado Está inhabilitada por omisión.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Puerto de servidor LDAP; valor predeterminado = 389.

Utilice la directiva SSLCRLPort, junto con las directivas SSLCRLUserID, SSLCRLHostname y SSLStashfile, para la configuración estática de un repositorio CRL basado en LDAP. Sólo es necesario utilizar estas directivas para consultar el repositorio CRL basado en LDAP si falta una extensión de certificado CRLDistributionPoint X.509v3 explícita o el servidor especificado en la extensión no responde (no está disponible).

Si hay una extensión CRLDistributionPoint en el certificado y el servidor especificado en la extensión responde (está disponible), el servidor LDAP especificado en CRLDistributionPoint se consulta de forma anónima, sin utilizar estas directivas.

Directiva SSLCRLUserID

La directiva SSLCRLUserID especifica el ID de usuario que se va a enviar al servidor LDAP, donde reside la base de datos CRL (lista de revocación de certificados).

Sintaxis SSLCRLUserID <[prompt] <idusuario>
Ámbito Servidor global o host virtual.
Valor predeterminado Toma por omisión el valor anónimo si no especifica ningún ID de usuario.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores ID de usuario y servidor LDAP. Utilice la opción de solicitud para permitir que el servidor HTTP le solicite la contraseña necesaria para acceder al servidor LDAP durante el arranque.

Utilice la directiva SSLCRLUserID, junto con las directivas SSLCRLPort, SSLCRLHostname y SSLStashfile, para la configuración estática de un repositorio CRL basado en LDAP. Sólo es necesario utilizar estas directivas para consultar el repositorio CRL basado en LDAP si falta una extensión de certificado CRLDistributionPoint X.509v3 explícita o el servidor especificado en la extensión no responde (no está disponible).

Si hay una extensión CRLDistributionPoint en el certificado y el servidor especificado en la extensión responde (está disponible), el servidor LDAP especificado en CRLDistributionPoint se consulta de forma anónima, sin utilizar estas directivas.

Directiva SSLDisable

La directiva SSLDisable inhabilita SSL para el host virtual.
Sintaxis SSLDisable
Ámbito Servidor global o host virtual.
Valor predeterminado Está inhabilitada por omisión.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Ninguno.

Directiva SSLEnable

La directiva SSLEnable habilita SSL para el host virtual.
Nota: Esta directiva no se debe especificar en la configuración de servidor base si no desea que la directiva se copie automáticamente en una configuración de host virtual dado.
Sintaxis SSLEnable
Ámbito Servidor global o host virtual.
Valor predeterminado Está inhabilitada por omisión.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Ninguno.

Directiva SSLFakeBasicAuth

La directiva SSLFakeBasicAuth habilita el soporte de autenticación básica contra la falsificación.

Este soporte permite que el nombre distinguido del certificado de cliente pase a ser la parte usuario del par de autenticación de usuario y contraseña. Utilice password como contraseña.
Nota: Esta directiva se puede alterar temporalmente mediante la configuración de servidor base.
Sintaxis SSLFakeBasicAuth
Ámbito Dentro de la stanza de directorio, se utiliza junto con AuthName, AuthType y las directivas necesarias.
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por stanza de directorio.
Valores Ninguno.

Directiva SSLFIPSDisable [AIX Solaris HP-UX Linux Windows]

La directiva SSLFIPSDisable inhabilita FIPS (Federal Information Processing Standards).
Sintaxis SSLFIPSDisable
Ámbito Virtual y global.
Valor predeterminado Está inhabilitada por omisión.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Ninguno.

Directiva SSLFIPSEnable [AIX Solaris HP-UX Linux Windows]

La directiva SSLFIPSEnable habilita FIPS (Federal Information Processing Standards).
Sintaxis SSLFIPSEnable
Ámbito Virtual y global.
Valor predeterminado Está inhabilitada por omisión.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Ninguno.

Directiva SSLPKCSDriver [AIX Solaris HP-UX Linux Windows]

La directiva SSLPKCSDriver identifica el nombre totalmente calificado en el módulo o el controlador utilizado para acceder al dispositivo PKCS11.

Sintaxis Nombre plenamente cualificado al módulo utilizado para acceder al dispositivo PKCS11>. Si existe el módulo en la vía de acceso del usuario, especifique sólo el nombre del módulo.
Ámbito Servidor global o host virtual.
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Vía de acceso y nombre del módulo o controlador de PKCS11.
A continuación figuran las ubicaciones y plataformas de los módulos de cada dispositivo PKCS11:
  • nCipher
    • AIX: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP: /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Solaris: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • Windows: c:\nfast\toolkits\pkcs11\cknfast.dll
  • IBM 4758
    • AIX: /usr/lib/pkcs11/PKCS11_API.so
    • Windows: $PKCS11_HOME\bin\nt\cryptoki.dll
  • IBM e-business Cryptographic Accelerator
    • AIX: /usr/lib/pkcs11/PKCS11_API.so

Directiva SSLProtocolDisable [AIX Solaris HP-UX Linux Windows]

La directiva SSLProtocolDisable permite especificar uno o más protocolos SSL que el cliente no puede utilizar para un host virtual específico. Esta directiva debe localizarse en un contenedor <HostVirtual>.

Los protocolos soportados para un host virtual se admiten de forma individual. Si todos los protocolos están inhabilitados, los clientes no pueden llevar a cabo el reconocimiento SSL.
Sintaxis SSLProtocolDisable <nombreprotocolo>
Ámbito Host virtual
Valor predeterminado Inhabilitado
Module mod_ibm_ssl
Varias instancias del archivo de configuración Se permiten varias instancias para el host virtual.
Valores Para esta directiva están disponibles los siguientes valores posibles.
  • SSLv2
  • SSLv3
  • TLSv1
En el siguiente ejemplo se inhabilita el soporte para varios protocolos en un host virtual.
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable	SSLv2 SSLv3
(y otras directivas)
</VirtualHost>
Nota: SSL0230I se anota en el registro para cada intento de conexión SSL si el cliente y el servidor no comparten como mínimo una combinación de protocolo y cifrado.

Directiva SSLProxyEngine

SSLProxyEngine cambia para indicar si el servidor utilizará o no SSL para conexiones con proxy. Es necesaria la opción SSLProxyEngine on si el servidor actúa como un proxy de retroceso para recursos SSL.
Sintaxis SSLProxyEngine on|off
Ámbito Hosts virtuales basados en IP
Valor predeterminado Desactivado
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una por host virtual y servidor global
Valores on|off

Directiva SSLServerCert

La directiva SSLServerCert establece el certificado de servidor que se va a utilizar para este host virtual.
Sintaxis SSLServerCert [prompt] mi_etiqueta_certificado; on PKCS11 device - SSLServerCert mitetiquetaseñal:mietiquetaclave
Ámbito Hosts virtuales basados en IP.
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Etiqueta del certificado. Utilice la opción /prompt para habilitar a HTTP Server para que solicite la contraseña de la señal cifrada durante el inicio. No incluya la etiqueta de certificado entre delimitadores. Asegúrese de que la etiqueta está contenida en una línea; se ignorarán los espacios iniciales y finales.

Directiva SSLStashfile

La directiva SSLStashfile indica la vía de acceso al archivo con el nombre de archivo que contiene la contraseña cifrada para abrir el dispositivo PKCS11.

Sintaxis SSLStashFile /usr/HTTPServer/mystashfile.sth
Ámbito Host virtual y servidor global.
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores Nombre de un archivo stash LDAP y/o PKCS11 que se crea con el mandato sslstash.

SSLStashFile no apunta a un archivo stash para el archivo de claves que se está utilizando, porque esto se calcula automáticamente basándose en el nombre del archivo de claves y es un tipo diferente de archivo stash.

Utilice el mandato sslstash, que se encuentra en el directorio bin de IBM HTTP Server, para crear el archivo stash de contraseña de CRL. La contraseña que se especifica utilizando el mandato sslstash debe ser igual a la que se utiliza para conectarse al servidor LDAP.

Utilización: sslstash [-c] <directorio_de_archivo_contraseña_y_nombre_archivo> <nombre_función> <contraseña>

donde:
  • -c: crea un nuevo archivo stash. Si no se especifica, se actualiza un archivo existente.
  • Archivo: representa el nombre plenamente cualificado del archivo que se crea o se actualiza.
  • Función: indica la función para la que se utiliza la contraseña. Los valores válidos son crl o crypto.
  • Contraseña: representa la contraseña que se oculta.

Utilice la directiva SSLStashFile, junto con las directivas SSLCRLPort, SSLCRLHostname y SSLCRLUserID, para la configuración estática de un repositorio CRL basado en LDAP. Sólo es necesario utilizar estas directivas para consultar el repositorio CRL basado en LDAP si falta una extensión de certificado CRLDistributionPoint X.509v3 explícita o el servidor especificado en la extensión no responde (no está disponible).

Si hay una extensión CRLDistributionPoint en el certificado y el servidor especificado en la extensión responde (está disponible), el servidor LDAP especificado en CRLDistributionPoint se consulta de forma anónima, sin utilizar estas directivas.

Directiva SSLTrace

La directiva SSLTrace habilita el registro de depuración en mod_ibm_ssl. Se utiliza junto con la directiva LogLevel. Para habilitar el registro de depuración en mod_ibm_ssl, establezca LogLevel en debug y añada la directiva SSLTrace al ámbito global en el archivo de configuración de IBM HTTP Server, después de la directiva LoadModule para mod_ibm_ssl. Esta directiva se suele utilizar en la petición de servicio de soporte de IBM cuando se investiga la causa de un problema con mod_ibm_ssl. No recomendamos habilitar esta directiva en condiciones de funcionamiento normales.

Sintaxis SSLTrace
Ámbito Global
Valor predeterminado No está habilitado el registro de depuración mod_ibm_ssl
Module mod_ibm_ssl
Varias instancias del archivo de configuración Se ignora
Valores None
Nota: Consulte también LogLevel Directive.

Directiva SSLV2Timeout

La directiva SSLV2Timeout establece el tiempo de espera de los ID de sesión de la versión 2 de SSL.

Sintaxis SSLV2Timeout 60
Ámbito Host básico global y virtual.
Valor predeterminado 40
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores De 0 a 100 segundos.

Directiva SSLV3Timeout

La directiva SSLV3Timeout establece el tiempo de espera de los ID de sesión de SSL versión 3 y TLS.

Sintaxis SSLV3Timeout 1000
Ámbito Host básico global y virtual.

[Windows] Se puede aplicar el ámbito global o el ámbito de host virtual.

[AIX] [HP-UX] [Linux] [Solaris] El ámbito del host virtual se aplica si también se utiliza la directiva SSLCacheDisable. De lo contrario, sólo se permite el ámbito global.

Valor predeterminado 120
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por host virtual y servidor global.
Valores De 0 a 86400 segundos.

Directiva SSLVersion

La directiva SSLVersion habilita el rechazo de acceso a objetos, si el cliente intenta conectar con una versión del protocolo SSL que no es la especificada.

Sintaxis SSLVersion ALL
Ámbito Uno por stanza de directorio.
Valor predeterminado Ninguno.
Module mod_ibm_ssl
Varias instancias del archivo de configuración Una instancia por stanza <Directory> o <Location>.
Valores SSLV2|SSLV3|TLSV1|ALL



Conceptos relacionados
Lista de revocación de certificados SSL
Tareas relacionadas
Elección del nivel de autenticación de clientes
Elección del tipo de protección de autenticación de clientes
Seguridad con las comunicaciones SSL
Tema de referencia    

Condiciones de uso | Comentarios

Última actualización: Feb 19, 2009 4:09:23 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/rihs_ssldirs.html