Les directives Secure Sockets Layer (SSL) sont des paramètres de configuration qui contrôlent les fonctions SSL dans IBM® HTTP Server.
La plupart des directives SSL dans IBM HTTP Server ont le même comportement. Une directive spécifiée pour la configuration d'un hôte virtuel remplace une directive spécifiée dans la configuration d'un serveur de base. De même, une directive spécifiée pour un répertoire enfant remplace une directive spécifiée pour son répertoire parent. Il existe toutefois des exceptions.
Par ailleurs, une directive spécifiée pour un répertoire enfant peut être ajoutée à la directive spécifiée pour son répertoire parent. Dans ce cas, la directive du répertoire parent ne remplace pas la directive du répertoire enfant, mais elle est ajoutée à celle-ci et l'une et l'autre s'appliquent au répertoire enfant.
Nom | Description |
---|---|
Syntaxe |
|
Portée | Hôte virtuel |
Par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une par hôte virtuel |
Valeurs | URL qualifiée complète pointant sur un répondeur OCSP ; exemple : http://hostname:2560/. |
Même si la vérification CRL est configurée, la vérification OCSP est effectuée avant celle-ci. La vérification CRL n'intervient que si le résultat de la CRL est inconnu ou non concluant.
Si la directive SSLOCSPResponderURL est définie, IBM HTTP Server utilise l'URL indiquée pour vérifier la révocation éventuelle des certificats lorsqu'un certificat client SSL est fourni.
Nom | Description |
---|---|
Syntaxe |
|
Portée | Hôte virtuel |
Par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une seule instance autorisée pour chacun des hôtes virtuels. |
Valeurs | Aucune |
Si la directive SSLOCSPEnable est définie et qu'une chaîne de certificats client SSL contient une extension AIA, IBM HTTP Server contacte le répondeur OCSP indiqué par cette extension pour vérifier la révocation éventuelle du certificat.
Si les vérifications OCSP et CRL sont configurées conjointement, la première est effectuée avant la seconde. La vérification CRL n'intervient que si le résultat de la vérification OCSP est inconnu ou non concluant.
Si les directives SSLOCSPEnable et SSLOCSPResponderURL sont configurées toutes les deux, c'est le répondeur défini par SSLOCSPResponderURL qui est vérifié en premier. Si l'état de la révocation est inconnu ou non concluant, IBM HTTP Server vérifie les répondeurs OCSP pour SSLOCSPEnable.
Nom | Description |
---|---|
Syntaxe | ![]() ![]() ![]() ![]() ![]() ![]() ![]()
|
Portée | Base globale et hôte virtuel |
Par défaut | Aucune |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global |
Valeurs | Nom du fichier de clés.
|
Nom | Description |
---|---|
Syntaxe | SSLAcceleratorDisable |
Portée | Virtuelle et globale |
Par défaut | L'unité d'accélérateur est activée |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel. |
Valeurs | Aucun. Placez cette directive n'importe où dans le fichier de configuration, y compris à l'intérieur de l'hôte virtuel. Pendant l'initialisation, si le système détermine qu'une unité d'accélérateur est installée sur la machine, le système utilise cet accélérateur pour augmenter le nombre de transactions sécurisées. Cette directive n'accepte pas d'argument. |
Nom | Description |
---|---|
Syntaxe | SSLAllowNonCriticalBasicConstraints on|off |
Portée | Serveur global ou hôte virtuel |
Par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global |
Valeurs | Aucun. Cette directive modifie le comportement de l'algorithme
de validation de certificat, si bien que dans le cas d'une extension non
critique des contraintes de base d'un certificat émis par une autorité de
certification (CA), la validation n'échoue pas. Cela permet une compatibilité
avec un aspect de la spécification GPKI définie par le gouvernement japonais
qui va à l'encontre de la norme RFC3280. Avertissement : La norme RFC3280 spécifie que
cette extension doit apparaître en tant qu'extension critique dans
tous les certificats émis par des autorisés de certification qui contiennent
des clés publiques utilisées pour valider les signatures numériques des certificats.
|
Nom | Description |
---|---|
Syntaxe | SSLCacheDisable |
Portée | Un par instance de serveur Apache physique, autorisé uniquement en dehors des sections de l'hôte virtuel. |
Par défaut | Aucune |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Aucun. |
Nom | Description |
---|---|
Syntaxe | SSLCacheEnable |
Portée | Un par instance de serveur Apache physique, autorisé uniquement en dehors des sections de l'hôte virtuel. |
Par défaut | Aucune |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Aucun. |
Nom | Description |
---|---|
Syntaxe | SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg |
Portée | Configuration du serveur en dehors de l'hôte virtuel. |
Par défaut | Aucune |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Nom de fichier valide. |
La directive SSLCachePath spécifie le chemin d'accès au démon de mise en cache des ID de session. A moins que plusieurs instances d'IHS, avec plusieurs paramètres ServerRoot ou -d ne partagent une même installation, il n'est pas nécessaire de spécifier cette directive.
Si plusieurs instances d'IHS sont utilisées avec une racine de serveur autre que celle décrite précédemment, cette directive doit être utilisée pour pointez cette instance d'IHS vers le chemin d'accès au binaire bin/sidd dans la racine d'installation unique au lieu des racines de serveur utilisées par défaut.
Il n'ya a aucune raison pratique de copier le binaire bin/sidd ou d'utiliser cette directive pour spécifier autre chose que le binaire bin/sidd installé sous la racine de serveur lorsque plusieurs instances sont utilisées. Il n'est pas nécessaire que cette directive varie entre les instances d'IHS qui partagent les mêmes binaires.
Nom | Description |
---|---|
Syntaxe | SSLCachePath /usr/HTTPServer/bin/sidd |
Portée | Configuration du serveur en dehors de l'hôte virtuel. |
Par défaut | <server-root>/bin/sidd |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Nom de chemin d'accès valide. |
Nom | Description |
---|---|
Syntaxe | SSLCachePath /usr/HTTPServer/logs/sidd |
Portée | Configuration du serveur en dehors de l'hôte virtuel. |
Par défaut | Si cette directive n'est pas indiquée et que la mémoire cache est activée, le serveur tente d'utiliser le fichier <server-root>/logs/siddport. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Nom de chemin d'accès valide. Le serveur Web supprime ce fichier au démarrage ; ne le nommez pas. |
Nom | Description |
---|---|
Syntaxe | SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log |
Portée | Configuration du serveur en dehors de l'hôte virtuel. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Nom de chemin d'accès valide. |
Nom | Description |
---|---|
Syntaxe | SSLCipherBan <cipher_specification> |
Portée | Plusieurs instances par section de répertoire. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé par section du répertoire. L'ordre de préférence est de haut en bas. |
Valeurs | Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL. |
Nom | Description |
---|---|
Syntaxe | SSLCipherRequire <cipher_specification> |
Portée | Plusieurs instances par section de répertoire. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé par section du répertoire. |
Valeurs | Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL |
La directive SSLCipherSpec permet de personnaliser les chiffrements SSL pris en charge au cours de l'établissement de la liaison. Vous pouvez personnaliser l'ensemble des chiffrements SSL et l'ordre des préférences de ces derniers.
Sur les plateformes réparties, chaque protocole possède sa propre liste ordonnée de chiffrements. Les protocoles pris en charge sont SSL version 2, SSL version 3, TLS version 1.0, TLS version 1.1 et TLS
version 1.2.
Sous z/OS, il existe uniquement deux listes de chiffrements activés, l'une pour SSL version 2 et l'autre pour les autres protocoles. Les protocoles pris en charge sont SSL version 2, SSL
version 3 et TLS version 1.0.
Les chiffrements SSL Version 2 sont configurés par défaut sur aucun chiffrement, ce qui signifie que le protocole est désactivé. Les autres protocoles sont configurés par défaut sur un ensemble de chiffrements SSL qui excluent les chiffrements null, les chiffrements d'exportation et les chiffrements faibles.
Lorsque vous utilisez le format d'argument simple de SSLCipherSpec, le chiffrement donné est activé dans tous les protocoles pour lesquels il est valide. La première fois qu'une telle modification est effectuée pour chaque protocole, les chiffrements par défaut pour le protocole sont annulés.
Lorsque vous utilisez le format d'argument simple de SSLCipherSpec en spécifiant le nom d'un protocole SSL (ou "ALL") comme premier argument, vous pouvez utiliser une syntaxe avancée offrant les avantages suivants :
Si vous fournissez le nom de protocole "ALL", l'ajout ou la suppression spécifié pour chaque nom de chiffrement est appliqué à chaque protocole pour lequel ce chiffrement est valide.
Exceptionnellement, pour vider toutes les listes de chiffrements à l'aide d'une commande unique, spécifiez SSLCipherSpec ALL NONE. L'utilisation de cette commande est un moyen efficace pour démarrer une configuration à chaque fois que vous ne voulez pas utiliser les chiffrements par défaut.
Nom | Description |
---|---|
![]() |
![]() |
![]() |
![]() |
Portée | Hôte virtuel. |
Par défaut | Si rien n'est indiqué, le serveur utilise toutes les spécifications des chiffrements disponibles autres que le chiffrement NULL, d'exportation et faible. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé. L'ordre de préférence est de haut en bas, du premier au dernier. |
![]() |
![]() |
![]() |
![]() |
Valeurs pour les noms de chiffrement | Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL |
Exemple 1 |
Si vous souhaitez ne sélectionner qu'un nombre réduit de chiffrements, il est préférable de redéfinir tout d'abord toutes les listes de chiffrement et d'ajouter ensuite celles que vous voulez utiliser :
|
Exemple 2 | Si vous voulez utiliser la plupart des chiffrements par défaut, à l'exception d'un ou deux, vous pouvez supprimer ces derniers des listes dans lesquelles ils se trouvent :
|
Nom | Description |
---|---|
Syntaxe | SSLClientAuth <level required> [crl] |
Portée | Hôte virtuel. |
Par défaut | SSLClientAuth none |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel. |
Valeurs |
Si vous indiquez la valeur 0/None, vous ne pouvez pas utiliser l'option CRL. |
Required_reset | Le serveur exige qu'un certificat valide soit présenté par tous les clients et, à défaut, il envoie une alerte SSL au client. Cela permet au client de comprendre que l'échec SSL est lié au certificat client. Les navigateurs affichent alors des invites demandant des informations sur les certificats client lors des accès ultérieurs. Cette option requiert GSKit version 7.0.4.19 ou suivante, ou z/OS V1R8 ou suivante. |
La directive SSLClientAuthGroup définit un groupe d'expressions désigné contenant un ensemble de paires de valeurs et d'attributs de certificats clients spécifiques. Ce groupe désigné peut être utilisé par les directives SSLClientAuthRequire. Un certificat doit être fourni par le client, transmettant cette expression, pour que le serveur autorise l'accès à la ressource protégée.
Nom | Description |
---|---|
Syntaxe | SSLClientAuthGroup expression d'attribut nom de groupe |
Portée | Configuration du serveur, hôte virtuel. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé. |
Remplacer | Aucun. |
Valeurs | Une expression logique composée de vérifications d'attributs reliée par AND,
OR, NOT, et les parenthèses. Exemple :
|
La section ci-après fournit une description d'exemples avec des expressions logiques valides. Par exemple : SSLClientAuthGroup ((CommonName = "Fred Smith") OR (CommonName = "John Deere")) AND (Org = IBM) signifie que l'objet n'est pas pris en charge, à moins que le certificat client ne contienne le nom commun Fred Smith ou John Deere et que l'organisation soit IBM. Les seules comparaisons valides pour les vérifications d'attributs sont égal et différent de (= et !=). Vous pouvez relier chaque vérification d'attribut avec AND, OR, ou NOT (également &&, ||, et !). Toute comparaison liée avec AND, OR ou NOT doit être placée entre parenthèses. Si la valeur de l'attribut contient un caractère non alphanumérique, vous devez délimiter la valeur avec des guillemets.
Nom long | Nom abrégé |
---|---|
CommonName | CN |
Pays | C |
E | |
IssuerCommonName | ICN |
IssuerEmail | IE |
IssuerLocality | IL |
IssuerOrg | IO |
IssuerOrgUnit | IOU |
IssuerPostalCode | IPC |
IssuerStateOrProvince | IST |
Localité | L |
Org | O |
OrgUnit | OU |
PostalCode | PC |
StateOrProvince | ST |
Le nom long ou le nom abrégé peut être utilisé dans cette directive.
SSLClientAuthGroup IBMpeople Org = IBM)
ou SSLClientAuthGroup NotMNIBM (ST != MN) && (Org = IBM)
Un nom de groupe ne peut pas contenir d'espace. Pour plus d'informations, voir La directive SSLClientAuthRequire.
La directive SSLClientAuthRequire spécifie des valeurs d'attribut, ou des groupes de valeurs d'attribut, qui doivent être validées par rapport à un certificat client pour que le serveur autorise l'accès à la ressource protégée.
Nom | Description |
---|---|
Syntaxe | SSLClientAuthRequire expression d'attribut |
Portée | Configuration du serveur, hôte virtuel. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé. La fonction relie ces directives par "AND". |
Remplacer | AuthConfig |
Valeurs | Une expression logique composée de vérifications d'attributs reliée par AND,
OR, NOT, et les parenthèses. Exemple :
|
Si le certificat que vous avez reçu ne comporte pas d'attribut particulier, dans ce cas il n'y a pas de vérification de concordance des attributs. Même si la valeur correspondante spécifiée est " ", cela peut être différent de ne pas y avoir d'attribut du tout. Tout attribut spécifié dans la directive SSLClientAuthRequire qui n'est pas disponible sur le certificat, entraîne le rejet de la requête.
Nom long | Nom abrégé |
---|---|
CommonName | CN |
Pays | C |
E | |
IssuerCommonName | ICN |
IssuerEmail | IE |
IssuerLocality | IL |
IssuerOrg | IO |
IssuerOrgUnit | IOU |
IssuerPostalCode | IPC |
IssuerStateOrProvince | IST |
Localité | L |
Org | O |
OrgUnit | OU |
PostalCode | PC |
StateOrProvince | ST |
Le nom long ou le nom abrégé peut être utilisé dans cette directive.
L'utilisateur spécifie une expression logique des attributs de certificat client spécifique. Vous pouvez utiliser logiquement AND, OR ou NOT pour plusieurs expressions afin de spécifier les groupes de valeurs d'attributs de certificat client. Toute comparaison liée avec AND, OR ou NOT doit être placée entre parenthèses. Les opérateurs valides incluent '=' et '!='. L'utilisateur peut également spécifier un nom de groupe configuré à l'aide de La directive SSLClientAuthGroup pour configurer un groupe d'attributs.
SSLClientAuthRequire
((CommonName="John Doe") || (StateOrProvince=MN)) && (Org
!=IBM)
ou SSLClientAuthRequire
(group!=IBMpeople) && (ST=MN)
SSLClientAuthRequire (group
!= IBMpeople) && ("ST= MN")
Pour plus d'informations, voir La directive SSLClientAuthGroup. La directive SSLClientAuthVerify contrôle si IBM HTTP Server fait échouer les requêtes lorsqu'un certificat client est reçu, mais n'est pas validé (car il a expiré ou a été révoqué par exemple).
Nom | Description |
---|---|
Syntaxe | SSLClientAuthVerify statuscode|OFF |
Portée | Serveur global ou hôte virtuel. |
Par défaut | 500 |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par section du répertoire. |
Valeurs | Code d'état de réponse HTTP, ou OFF |
Utilisez cette directive avec SSLClientAuth Optional Noverify pour fournir une page Web conviviale à la place du message d'erreur de navigateur standard.
Si vous configurez un hôte virtuel avec SSLClientAuth Optional Noverify, une connexion SSL peut être établie lorsqu'un certificat client est reçu, mais échoue à la validation (par exemple, s'il a expiré ou a été révoqué).
Utilisez cette directive dans un contexte comme Location ou Directory pour faire échouer les requêtes qui sont reçues sur cette connexion avec un code d'erreur spécifique, ou traitées normalement en définissant la valeur OFF.
En fournissant un document d'erreur personnalisé pour cet état, l'administrateur peut contrôleur la page présentée à l'utilisateur, par exemple, pour l'informer que son certificat n'est pas valide et fournir d'autres instructions.
Si ce document a été réacheminé vers une autre adresse URL sur le même hôte virtuel, assurez-vous que le paramètre SSLClientAuthVerify OFF est défini dans son contexte afin que celui-ci n'échoue pas immédiatement. Un exemple de ce scénario est présenté ci-après.
Le code d'état spécifié doit être un état de réponse qui est valide dans HTTP et connu d'IBM HTTP Server. Les valeurs sont comprises entre 100 et 599 et sont généralement définies dans une demande de commentaire (RFC) ou une proposition de normes. En cas de doute sur le code d'état, faites un essai dans une configuration de test et utilisez apachectl -t pour déterminer s'il est valide. Autres codes inutilisés qui sont valides et pourraient être pertinents : 418, 419, 420 et 421.
Le certificat client n'étant pas valide, le document d'erreur ne dispose d'aucune variable d'environnement supposée contenir des informations sur le certificat client. La raison pour laquelle la validation du certificat client a échoué est disponible dans la variable d'environnement SSL_LAST_VALIDATION_ERROR. Il peut s'agir de la variable GSKVAL_ERROR_REVOKED_CERT ou GSKVAL_ERROR_CERT_EXPIRED. Si plusieurs problèmes de validation se posent pour un certificat, la cause signalée est souvent GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT.
A chaque fois que la validation d'un certificat client échoue, deux messages sont consignés dans le journal des erreurs dans loglevel Error. Le deuxième message inclut la cause, par exemple :
[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] SSL0208E: SSL Handshake Failed, Certificate validation error. [9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]
[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] Certificate validation error
during handshake, last PKIX/RFC3280 certificate validation error was
GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT
[9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]
<VirtualHost *:443
SSLClientAuth Optional Noverify
<Location />
SSLClientAuthVerify 419
</Location>
ErrorDocument 419 /error419.html
<Location /error419.html>
SSLClientAuthVerify OFF
</Location>
</VirtualHost>
La directive SSLCRLHostname spécifie le nom ou l'adresse TCP/IP du serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).
Nom | Description |
---|---|
Syntaxe | <SSLCRLHostName <TCP/IP name or address> |
Portée | Serveur global ou hôte virtuel. |
Par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Nom ou adresse TCP/IP du serveur LDAP |
Utilisez la directive SSLCRLHostname, conjointement aux directives SSLCRLPort, SSLCRLUserID et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).
Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..
La directive SSLCRLPort spécifie le port du serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).
Nom | Description |
---|---|
Syntaxe | SSLCRL<port> |
Portée | Serveur global ou hôte virtuel. |
Par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Port du serveur LDAP par défaut = 389. |
Utilisez la directive SSLCRLPort, conjointement aux directives SSLCRLUserID, SSLCRLHostname et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).
Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..
La directive SSLCRLUserID spécifie l'ID utilisateur à envoyer au serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).
Nom | Description |
---|---|
Syntaxe | SSLCRLUserID <[prompt] <userid> |
Portée | Serveur global ou hôte virtuel. |
Par défaut | La valeur par défaut est anonyme si un ID utilisateur n'est pas indiqué. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | ID utilisateur du serveur LDAP. Utilisez l'option d'invite pour permettre au serveur HTTP de vous inviter à entrer le mot de passe pour accéder au serveur LDAP lors du démarrage. |
Utilisez la directive SSLCRLUserID, conjointement aux directives SSLCRLPort, SSLCRLHostname et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).
Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..
Nom | Description |
---|---|
Syntaxe | SSLDisable |
Portée | Serveur global ou hôte virtuel. |
Par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Aucun. |
Nom | Description |
---|---|
Syntaxe | SSLEnable |
Portée | Serveur global ou hôte virtuel. |
Par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Aucun. |
La directive SSLFakeBasicAuth active la prise en charge de l'authentification factice de base.
Nom | Description |
---|---|
Syntaxe | SSLFakeBasicAuth |
Portée | Au sein d'une section de répertoire, utilisée avec AuthName, AuthType, et les directives requises. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par section du répertoire. |
Valeurs | Aucun. |
Nom | Description |
---|---|
Syntaxe | SSLFIPSDisable |
Portée | Virtuelle et globale. |
Par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Aucun. |
La directive SSLFIPSEnable active les normes FIPS (Federal Information Processing Standards).
Cette directive est applicable aux plateformes réparties.
Nom | Description |
---|---|
Syntaxe | SSLFIPSEnable |
Portée | Virtuelle et globale. |
Par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Aucun. |
La directive SSLInsecureRenegotiation détermine si la renégociation SSL (antérieure à RFC5746) non sécurisée est autorisée. La renégociation SSL, quel que soit son type, n'est pas courante et cette directive doit conserver sa valeur par défaut off.
Lorsque la valeur on est spécifiée, la renégociation SSL non sécurisée est autorisée. Lorsqu'elle a la valeur off (réglage par défaut), la renégociation SSL non sécurisée n'est pas autorisée.
Nom | Description |
---|---|
Syntaxe | SSLInsecureRenogotiation directive on|off |
Portée | Hôtes virtuels |
Par défaut | désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global |
Valeurs | on|off |
La directive SSLPKCSDriver identifie le nom qualifié complet au module ou le pilote utilisé pour accéder à l'unité PKCS11.
Nom | Description |
---|---|
Syntaxe | Nom qualifié complet au module utilisé pour accéder à l'unité PKCS11>. Si le module existe dans le chemin d'accès de l'utilisateur, indiquez uniquement le nom du module. |
Portée | Serveur global ou hôte virtuel. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Chemin d'accès et nom du pilote ou du module PKCS11. |
La directive SSLProtocolDisable vous permet de spécifier un ou plusieurs protocoles SSL qui ne peuvent pas être utilisés par le client pour un hôte virtuel donné. Cette directive doit être située dans un conteneur <VirtualHost>.
Nom | Description |
---|---|
Syntaxe | SSLProtocolDisable <protocolname> |
Portée | Hôte virtuel |
Par défaut | Désactivé
Avertissement : Le protocole SSL Version 2 est désactivé par défaut avec d'autres méthodes.
|
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Plusieurs instances autorisées par hôte virtuel. |
Valeurs | Les possibles valeurs suivantes sont disponibles pour cette directive.
|
La valeur TLS désactive toutes les versions TLS.
La valeur TLSv1 désactive TLS Version 1.0.
La valeur TLSv1.1 désactive TLS version 1.1.
Une valeur TLSv1.2 désactive TLS version 1.2.
<VirtualHost *:443> SSLEnable SSLProtocolDisable SSLv2
SSLv3 (toute autre directive) </VirtualHost>
La directive SSLProtocolEnable peut être utilisée pour activer des protocoles SSL individuels.
Sur les plateformes réparties, cette directive a une utilité limitée car tous les protocoles utiles sontautomatiquement activés par défaut.
Sur z/OS, cette directive peut être utilisée après que le service z/OS
ajoute une prise en charge pour TLSv1.1 et TLSv1.2. Les protocoles TLSv1.1 et TLSv1.2
ne sont pas activés par défaut sur un serveur IBM HTTP Server s'exécutant sur
z/OS.
Syntaxe | SSLSuiteBMode |
Portée | Hôte virtuel |
Par défaut | Non définie |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Plusieurs instances autorisées par hôte virtuel. |
Nom | Description |
---|---|
Syntaxe | SSLProxyEngine on|off |
Portée | Hôtes virtuels basés sur l'IP |
Par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une par hôte virtuel et par serveur global |
Valeurs | on|off |
Nom | Description |
---|---|
Syntaxe | SSLRenegotiation on|off|LEGACY_AND_RFC5746 |
Par défaut | Désactivé |
Module | mod_ibm_ssl |
Context | hôte virtuel |
Statut | extension |
Valeurs | on|off|LEGACY_AND_RFC5746 |
Nom | Description |
---|---|
Syntaxe | SSLServerCert [message] mon_label_de_certificat; sur le l'unité PKCS11 - SSLServerCert monjeton:maclef |
Portée | Hôtes virtuels basés sur l'IP. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Libellé de certificat. Utilisez l'option /prompt pour permettre au serveur HTTP de vous inviter à entrer le mot de passe du jeton cryptographique lors du démarrage. N'utilisez pas de délimiteurs autour du libellé de certificat. Vérifiez que le libellé est indiqué sur une seule ligne ; les espaces en début et en fin de ligne sont ignorés. |
La directive SSLStashfile indique le chemin d'accès au fichier avec le nom du fichier contenant le mot de passe chiffré pour l'ouverture de l'unité PKCS1.
Nom | Description |
---|---|
Syntaxe | SSLStashFile /usr/HTTPServer/mystashfile.sth |
Portée | Hôte virtuel et serveur global. |
Par défaut | Aucun. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Nom de fichier d'un fichier de dissimulation LDAP et/ou PKCS11 créé à l'aide de la commande sslstash. |
La directive SSLStashFile ne fait pas référence à un fichier de dissimulation du fichier de clés utilisé, car il est calculé automatiquement en se basant sur le nom du fichier de clés et constitue un type de fichier de dissimulation différent.
Utilisez la commande sslstash, située dans le répertoire bin d'IBM HTTP Server, afin de créer votre fichier CRL ou fichier de dissimulation d'appareil cryptographique. Le mot de passe indiqué à l'aide la commande sslstash doit être identique à celui que vous avez utilisé pour vous connecter au serveur LDAP ou au matériel de cryptographie.
Utilisation : sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>
Utilisez la directive SSLStashFile, conjointement avec les directives SSLCRLPort, SSLCRLHostname et SSLCRLUserID, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).
Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..
La directive SSSLSuiteBMode peut être utilisée pour configurer l'hôte virtuel afin d'utiliser le profil Suite B pour TLS.
Le profil Suite B réduit considérablement l'algorithme de signature disponible et les spécifications de chiffrement utilisées par le serveur. L'ensemble d'algorithmes et de chiffrements acceptables peut être modifié en cas de modification des normes appropriées. Les arguments 128 et 192 font référence aux deux niveaux de sécurité décrit dans la spécification RFC 6460.
Lorsque cette directive est indiquée, elle remplace la plupart des directives préalablement spécifiées. Le paramètre SSLAttributeSet n'est pas remplacé par cette directive car il a une plus priorité plus élevée. Tous les profils SuiteB impliquent que la chaîne de certificats du serveur soit utilise pour les signatures ECC fortes. La spécification RFC 6460 détaille les restrictions du profil Suite B.
Syntaxe | SSLSuiteBMode |
Portée | Hôte virtuel |
Par défaut | Non définie |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une fois par hôte virtuel |
La directive SSLTrace permet la journalisation du débogage dans mod_ibm_ssl. Elle est utilisée en association avec la directive LogLevel. Pour activer la consignation du débogage dans mod_ibm_ssl, définissez LogLevel pour le débogage et ajoutez la directive SSLTrace à la portée globale dans le fichier de configuration d'IBM HTTP Server, après la directive LoadModule de mod_ibm_ssl. Cette directive est généralement utilisée à la demande du support technique d'IBM lors de la recherches liées à un problème suspecté avec mod_ibm_ssl. Il n'est pas recommandé d'activer cette directive dans des conditions de fonctionnement normal.
Nom | Description |
---|---|
Syntaxe | SSLTrace |
Portée | Global |
Par défaut | La journalisation du débogage mod_ibm_ssl n'est pas activée |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Ignoré |
Valeurs | Aucune |
La directive SSLUnknownRevocationStatus indique comment IBM HTTP Server réagit lorsqu'IBM HTTP Server ne peut pas déterminer d'emblée l'état de révocation, acheminé via CRL ou OCSP.
Nom | Description |
---|---|
Syntaxe | SSLUnknownRevocationStatus ignore | log | log_always | deny |
Portée | Hôte virtuel |
Par défaut | Ignorer |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une seule instance autorisée pour chacun des hôtes virtuels. |
Valeurs |
|
%{SSL_UNKNOWNREVOCATION_SUBJECT}e
Vous pouvez également utiliser la variable dans des expressions mod_rewrite lorsque la directive SSLUnknownRevocationStatus a une valeur autre que deny. Utilisez le nom de variable suivant : %{ENV:SSL_UNKNOWNREVOCATION_SUBJECT}
La directive SSLV2Timeout définit le délai pour les ID de la session SSL version 2.
Nom | Description |
---|---|
Syntaxe | SSLV2Timeout 60 |
Portée | Base globale et hôte virtuel. |
Par défaut | 40 |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | 0 à 100 secondes. |
La directive SSLV3Timeout définit le délai pour les ID de session SSL version 3 et de session TLS.
Nom | Description |
---|---|
Syntaxe | SSLV3Timeout 1000 |
Portée | Base globale et hôte virtuel.
|
Par défaut | 120 |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | 0 à 86400 secondes. |
La directive SSLVersion entraîne le refus d'accès aux objets, avec une réponse 403, si le client s'est connecté avec une version du protocole SSL autre que celle indiquée.
Dans la plupart des cas, la directive SSLProtocolDisable est un choix plus judicieux que la directive SSLVersion pour garantir l'utilisation de versions de protocoles SSL particulières. La directive SSLProtocolDisable permet, le cas échéant, au navigateur client de négocier une autre version du protocole, tandis que la directive SSLVersion oblige IBM HTTP Server à envoyer une réponse 403, ce qui peut dérouter l'utilisateur.
Nom | Description | |
---|---|---|
Syntaxe | SSLVersion ALL | |
Portée | Un par section du répertoire. | |
Par défaut | Aucun. | |
Module | mod_ibm_ssl | |
Plusieurs instances dans le fichier de configuration | Une instance par section <Directory> ou <Location>. | |
Valeurs | ![]() |
![]() |