[AIX Solaris HP-UX Linux Windows][z/OS]

Sichere Kommunikation mit SSL

Dieser Abschnitt enthält Informationen, die Sie bei der Konfiguration von SSL (Secure Sockets Layer) mit der Standardkonfigurationsdatei httpd.conf unterstützen.

Informationen zu diesem Vorgang

Legen Sie für jeden virtuellen Host die für sichere Transaktionen zu verwendende Verschlüsselungsspezifikation fest. Die angegebenen Verschlüsselungsspezifikationen werden mit der Version von Global Security Kit (GSK) Toolkit verglichen, die auf Ihrem System installiert ist. Für ungültige Verschlüsselungsspezifikationen wird ein Fehler im Fehlerprotokoll aufgezeichnet. Wenn der Client, der die Anforderung absetzt, die angegebenen Verschlüsselungsspezifikationen nicht unterstützt, schlägt die Anforderung fehl, und die Verbindung zum Client wird geschlossen.

IBM® HTTP Server hat eine eigene Liste von Verschlüsselungsspezifikationen, die für die Kommunikation mit Clients über SSL (Secure Sockets Layer) zu verwenden sind. Die Verschlüsselungsspezifikation, die dann tatsächlich für eine bestimmte Clientverbindung verwendet wird, ist eine, die von IBM HTTP Server und Client unterstützt wird.

Einige Verschlüsselungsspezifikationen bieten weniger Sicherheit als andere und dürfen aus Sicherheitsgründen möglicherweise nicht verwendet werden. Einige der stärkeren Verschlüsselungsspezifikationen sind rechenintensiver als schwächere Verschlüsselungsspezifikationen und sollten aus Leistungsgründen unter Umständen nicht verwendet werden. Mit der Anweisung SSLCipherSpec können Sie eine angepasste Liste der vom Web-Server unterstützten Verschlüsselungsspezifikationen festlegen, um die Auswahl von Verschlüsselungsspezifikationen zu vermeiden, die zu schwach oder zu rechenintensiv sind.

Wenn Sie keine Verschlüsselungsspezifikationen mit der Anweisung "SSLCipherSpec" angeben, verwendet IBM HTTP Server Version 8.0 und höher einen Standardsatz von Verschlüsselungsspezifikationen. Dieser Verschlüsselungsstandardsatz schließt SSL Version 2, Null Cipher und schwache Verschlüsselungen aus. Die schwachen Verschlüsselungen enthalten Verschlüsselungscode vom Typ "export-grade". Sie können diese Standardwerte zur Laufzeit im Fehlerprotokoll anzeigen, indem Sie LogLevel debug und SSLTrace aktivieren.

Vorgehensweise

  1. [AIX Solaris HP-UX Linux Windows] Verwenden Sie das Dienstprogramm IKEYMAN (GUI) oder IKEYMAN (Befehlszeile) von IBM HTTP Server, um eine CMS-Schlüsseldatenbankdatei und ein Serverzertifikat zu erstellen.
  2. [z/OS] IBM HTTP Server verwendet das z/OS-Schlüsselverwaltungstool "gskkyman", um eine CMS-Schlüsseldatenbankdatei, öffentliche und private Schlüssel und Serverzertifikate zu erstellen. Sie können alternativ einen SAF-Schlüsselring anstelle einer CMS-Schlüsseldatenbankdatei erstellen.
  3. Aktivieren Sie SSL-Anweisungen in der Konfigurationsdatei httpd.conf von IBM HTTP Server.
    1. Entfernen Sie das Kommentarzeichen in der Zeile mit der Konfigurationsanweisung LoadModule ibm_ssl_module modules/mod_ibm_ssl.so.
    2. Erstellen Sie anhand der folgenden Beispiele und Anweisungen in der Datei httpd.conf eine Zeilengruppe für den virtuellen SSL-Host.
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
        Listen 443
        <VirtualHost *:443>
          SSLEnable
          </VirtualHost>
      SSLDisable	  
      KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"

      Das zweite Beispiel geht davon aus, dass Sie eine einzelne Website für SSL aktivieren und der Servername von dem Servernamen abweicht, der auf globaler Ebene für für Anforderungen ohne SSL (Port 80) definiert ist. Beide Hostnamen müssen in einem Domänennamensserver an gesonderten IP-Adressen registriert werden. Außerdem müssen Sie beide IP-Adressen auf lokalen Netzschnittstellenkarten konfigurieren.

      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      <Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
        SSLClientAuth None
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
      Dieses dritte Beispiel geht davon aus, dass Sie mehrere Websites für SSL aktivieren. Alle Hostnamen müssen im Domänennamensserver (DNS) an gesonderten IP-Adressen registriert sein. Außerdem müssen Sie alle IP-Adressen auf einer lokalen Netzschnittstellenkarte konfigurieren. Geben Sie mit der Anweisung SSLServerCert an, welches persönliche Serverzertifikat in der Schlüsseldatenbank während des SSL-Handshake für die jeweilige Website an den Client-Browser übergeben werden soll. Wenn Sie die Anweisung SSLServerCert nicht definieren, übergibt IBM HTTP Server das Zertifikat in der Schlüsseldatenbankdatei, das mit einem Stern (*) als Standardschlüssel gekennzeichnet ist.
      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:80>
      ServerName www.mycompany3.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.102:443>
      ServerName www.mycompany.com
      SSLEnable
        SSLClientAuth None
      SSLServerCert mycompany
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
        SSLClientAuth None
      SSLServerCert mycompany2
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:443>
      ServerName www.mycompany3.com
      SSLEnable
        SSLClientAuth None
      SSLServerCert mycompany3
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
Taskartikel    

Nutzungsbedingungen für Information Center | Feedback

Letzte Aktualisierung: October 19, 2014 09:53 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_setupssl
Dateiname: tihs_setupssl.html