SSL伪指令

原：[http://huihai.zjuyc.com/manual/ibm/index.html]

Keyfile

 

• 描述 - 设置要使用的密钥文件。
• 作用域 - 全局基本和虚拟主机
• 用法 - Keyfile /密钥文件的路径/keyfile.kdb
• 值 - 密钥文件的文件名

LogLevel

 

• 描述 - 调整记录在出错日志中的冗余消息。当指定特定级别时，同时报告来自所有其它更高重要性级别的消息。例如，当指定 LogLevel info 时，同时也报告 notice 和 warn 日志级别的消息。我们建议至少指定 crit 级。
• 配置文件中的多个实例 - 允许。首选项顺序自顶向下，从头至尾。如果客户机不支持密码规范，则关闭连接。
• 作用域 - 服务器配置，虚拟主机
• 用法 - LogLevel 级别
• 值 - 下列级别可用，以重要性降序排列：

   

  .

  级别	描述	示例
  emerg	紧急情况 - 系统不可用。	“子无法打开锁文件。退出”
  alert	必须立即执行操作。	“getpwuid：无法根据用户标识确定用户名”
  crit	临界条件。	“套接字：获取套接字失败，退出子”
  error	错误条件。	“脚本头过早结束”
  warn	警告条件。	“子进程 1234 未退出，发送另一个 SIGHUP 命令”
  notice	正常但是重要条件。	“httpd：捕捉 SIGBUS，试图将核心转储到 ...”
  info	信息。	“服务器正忙，（您可能需要增加 StartServers 或 Min/MaxSpareServers）...”
  debug	调试级消息。	“打开配置文件 ...”

• 注 - 如果未指定，缺省为 LogLevel error。

SSLAcceleratorDisable

将此伪指令放在配置文件内的任何位置（包括在虚拟主机内）。在初始化期间，如果确定机器上已安装加速器设备，则该加速器用于执行安全事务。如果您要禁用加速器设备，使用 SSLAcceleratorDisable。

 

 

 

 

 

SSLCacheDisable（在 Windows NT 上无效）

 

 

 

 

 

 

 

• 描述 - 禁用外部 SSL 会话标识高速缓存
• 配置文件中的多个实例 - 不允许
• 作用域 - 每个物理 Apache 服务器实例有一个
  （仅在虚拟主机节之外才允许）
• 用法 - SSLCacheDisable
• 值 - 无
• 注 - 仅在 UNIX 上有效

 

 

 

 

 

SSLCacheEnable（在 Windows NT 上无效）

 

 

 

 

 

 

 

• 描述 - 启用外部 SSL 会话标识高速缓存
• 配置文件中的多个实例 - 不允许
• 作用域 - 每个物理 Apache 服务器实例有一个
  （仅在虚拟主机节之外才允许）
• 用法 - SSLCacheEnable
• 值 - 无
• 注 - 仅在 UNIX 上有效

 

 

 

 

 

SSLCacheErrorLog（在 Windows NT 上无效)

 

 

 

 

 

 

 

• 描述 - 设置用于会话标识高速缓存出错日志的文件名
• 作用域 - 每个物理服务器实例有一个
  （仅在虚拟主机节之外才允许）
• 用法 - SSLCacheErrorLog /usr/HTTPServer/log/sidd_log
• 值 - 有效文件名
• 注 - 在 Windows NT 上无效

 

 

 

 

 

 

SSLCachePath（在 Windows NT 上无效）

 

 

 

 

 

 

 

• 描述 - 指定会话标识高速缓存守护进程可执行文件的路径。
• 示例 - SSLCachePath /usr/HTTPServer/bin/sidd
  
• 作用域 - 每个物理 IBM HTTP 服务器有一个
• 值- 有效路径名。
• 注 - 在 Windows NT 上无效

 

 

 

 

 

SSLCachePortFilename（在 Windows NT 上无效）

 

 

 

 

 

 

 

• 描述 - 设置 UNIX 域套接字的文件名，此套接字用于在服务器实例和会话标识高速缓存守护进程间进行通信。
• 作用域 - 每个物理 Apache 服务器实例有一个（仅在虚拟主机节之外才允许）。
• 值 - 有效文件名。 注：在启动时，Web 服务器删除此文件；不要使用现有文件名。
• 用法 - SSLCachePortFilename /usr/HTTPServer/logs/siddport
• 注
  • 对于 AIX：缺省为 /usr/HTTPServer/logs/siddport
    
  • 对于 Solaris：缺省为 /opt/IBMHTTPD/logs/siddport

 

 

 

 

 

SSLCacheTraceLog（在 Windows NT 上无效）

 

 

 

 

 

 

 

• 描述 - 指定记录会话标识跟踪消息的跟踪日志。
• 示例 - SSLCacheTraceLog /usr/HTTPServer/log/sidd-trace.log
  
• 作用域 - 每个物理 IBM HTTP 服务器有一个
• 值 - 有效路径名。
• 注 - 在 Windows NT 上无效

 

SSLCipherBan

 

• 描述 - 如果客户机尝试指定的密码，则拒绝访问对象
• 作用域 - 每个目录节有多个实例
• 用法 - SSLCipherBan <密码规范>
• 值 - 请参阅 SSL 版本 2 密码规范，SSL 版本 3 和 TLS 版本 1 密码规范

SSLCipherRequire

 

• 描述 - 允许受指定密码限制的对象。
• 作用域 - 每个目录节有多个实例
• 用法 - SSLCipherRequire <密码规范>
• 值 - 请参阅 SSL 版本 2 密码规范，SSL 版本 3 和 TLS 版本 1 密码规范

 

SSLCipherSpec

 

• 描述 - 指定用于安全事务的密码规范
• 配置文件中的多个实例 - 允许。首选项顺序自顶向下，从头至尾。如果客户机不支持密码规范，则关闭连接。
• 作用域 - 虚拟主机
• 用法 - SSLCipherSpec 短名或
  SSLCipherSpec 长名
• 值 - 请参阅 SSL 版本 2 密码规范，SSL 版本 3 和 TLS 版本 1 密码规范
• 注 - 如果未指定，服务器使用所有可用于已安装的 GSK 库的密码规范

 

版本 2 密码规范

短名	长名	描述
27	SSL_DES_192_EDE3_CBC_WITH_MD5	Triple-DES（168 位）
21	SSL_RC4_128_WITH_MD5	RC4（128 位）
23	SSL_RC2_CBC_128_CBC_WITH_MD5	RC2（128 位）
26	SSL_DES_64_CBC_WITH_MD5	DES（56 位）
22	SSL_RC4_128_EXPORT40_WITH_MD5	RC4（40 位）
24	SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5	RC2（40 位）

 

SSL 版本 3 和 TLS 版本 1 密码规范

短名	长名	描述
3A	SSL_RSA_WITH_3DES_EDE_CBC_SHA	Triple-DES SHA（168 位）
33	SSL_RSA_EXPORT_WITH_RC4_40_MD5	RC4 SHA（40 位）
34	SSL_RSA_WITH_RC4_128_MD5	RC4 MD5（128 位）
39	SSL_RSA_WITH_DES_CBC_SHA	DES SHA（56 位）
35	SSL_RSA_WITH_RC4_128_SHA	RC4 SHA（128 位）
36（请参阅注 1。）	SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5	RC2 MD5（40 位）
32	SSL_RSA_WITH_NULL_SHA
31	SSL_RSA_WITH_NULL_MD5
30	SSL_NULL_WITH_NULL_NULL
62	TLS_RSA_EXPORT1024_WITH_RC4_56_SHA	RC4 SHA Export 1024（56 位）
64	TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA	DES SHA Export 1024（56 位）

 

注 1：密码规范 36 要求 Netscape Navigator 4.07；使用 Netscape 浏览器的早期版本将无法工作。

 

SSLClientAuth

 

• 描述 - 设置所使用的客户机认证方式（none (0)、optional (1) 或 required (2)）。
• 作用域 - 虚拟主机
• 用法 - SSLClientAuth <要求的级别> [crl]
• 值
  • 0/None：无需请求客户机证书
  • 1/Optional：请求客户机证书，但非必需。
  • 2/Required：有效客户机证书是必需的
  • CRL：在 SSL 虚拟主机内打开或关闭 crl。如果使用证书撤销列表 (CRL)，则需要将 "CRL" 指定为 SSLClientAuth 的第二个自变量。例如：SSLClientAuth 2 crl。如果不指定 "crl"，则不能在 SSL 虚拟主机中执行 CRL。
• 注 -
  • 如果未指定，缺省为 SSLClientAuth none。
  • 如果指定值 0/None，则不能使用 CRL 选项

SSLClientAuthGroup

 

• 描述 - 允许将客户机证书属性的组组合在一起，以用于 SSLClientAuthRequire 伪指令。
• 作用域 - 虚拟主机
• 用法 - <SSLClientAuthGroup 组名> <逻辑字符串>

有效逻辑表达式的描述

例如：

SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM

这意味着无法为对象提供服务，除非客户机证书包含公共名称 "Fred Smith" 或 "John Deere"，而组织为 "IBM"。对于属性检查，唯一有效的比较是等于和不等于（= 和 !=）。每个属性检查可由 AND、OR 或 NOT（也可以是 &&、|| 和 !）来链接. 括号用于将比较分组。如果属性值包含非字母数字字符，则必须使用引号对该值进行定界。

有效属性为：

• CommonName
• Country
• Email
• Group
• IssuerCommonName
• IssuerCountry
• IssuerEmail
• IssuerLocality
• IssuerOrg
• IssuerOrgUnit
• IssuerStateOrProvince
• Locality
• Org
• OrgUnit
• StateOrProvince

下列短名也是有效的：

     CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 

注意，每个对象允许多个 SSLClientAuthRequire 伪指令；最终效果是使用 "AND" 将这些伪指令连接在一起。

 

SSLClientAuthRequire

 

• 描述 - 允许在为对象提供服务之前进行广泛的客户机证书信息确认
• 作用域 - 目录
• 用法 - SSLClientAuthRequire CommonName = Richard
• 值 - 由用 AND、OR、NOT 和括号链接的属性检查组成的逻辑表达式。

有效逻辑表达式的描述

例如：

SSLClientAuthRequire (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM

这意味着无法为对象提供服务，除非客户机证书包含公共名称 "Fred Smith" 或 "John Deere"，而组织为 "IBM"。对于属性检查，唯一有效的比较是等于和不等于（= 和 !=）。每个属性检查可由 AND、OR 或 NOT（也可以是 &&、|| 和 !）来链接. 括号用于将比较分组。如果属性值包含非字母数字字符，则必须使用引号对该值进行定界。

有效属性为：

• CommonName
• Country
• Email
• IssuerCommonName
• IssuerCountry
• IssuerEmail
• IssuerLocality
• IssuerOrg
• IssuerOrgUnit
• IssuerStateOrProvince
• Locality
• Org
• OrgUnit
• StateOrProvince

下列短名也是有效的：

     CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 

注意，每个对象允许多个 SSLClientAuthRequire 伪指令；最终效果是使用 "AND" 将这些伪指令连接在一起。

 

SSLCRLHostname

 

• 描述 - CRL 数据库驻留的 LDAP 服务器的 TCP/IP 名称或地址。
• 作用域 - 全局服务器或虚拟主机
• 用法 - SSLCRLHostname <TCP/IP 名称或地址>
• 值 - LDAP 服务器的 TCP/IP 名称或地址
• 注 - 缺省情况下，禁用 SSL。

SSLCRLPort

 

• 描述 - CRL 数据库驻留的 LDAP 服务器的端口。
• 作用域 - 全局服务器或虚拟主机
• 用法 - SSLCRLPort <端口号>
• 值 - LDAP 服务器的端口；缺省=389
• 注 - 缺省情况下，禁用 SSL。

SSLCRLUserID

 

• 描述 - 发送到 CRL 数据库驻留的 LDAP 服务器的用户标识。
• 作用域 - 全局服务器或虚拟主机
• 用法 - SSLCRLUserID <用户标识>
• 值 - LDAP 服务器的用户标识
• 注 - 如果未指定绑定，缺省为 anonymous。

SSLDisable

 

• 描述 - 禁用此虚拟主机的 SSL。
• 作用域 - 全局服务器或虚拟主机
• 用法 - SSLDisable
• 值 - 无
• 注 - 缺省情况下，禁用 SSL。

SSLEnable

 

• 描述 - 启用此虚拟主机的 SSL。
• 作用域 - 全局服务器或虚拟主机
• 用法 - SSLEnable
• 值 - 无
• 注 - 缺省情况下，禁用 SSL。

 

SSLFakeBasicAuth

 

• 描述 - 启用伪基本认证支持。 允许客户机证书的专有名称成为用户／密码基本认证对的用户部分。密码是 "password"。
• 作用域 - 在目录节中，与 AuthName、AuthType 和需要的伪指令一起使用。
• 用法 - SSLFakeBasicAuth
• 值 - 无

 

SSLPKCSDriver

 

• 描述 - 标识用于访问 PKCS11 设备的模块的全限定路径
• 作用域 - 全局服务器或虚拟主机
• 用法 - <用于访问 PKCS11 设备的模块的路径>；如果模块在用户的路径中，则仅指定模块的名称。

 

 

 

 

 

下列是每个 PKCS11 设备的模块的缺省位置：

Ncipher

• AIX：/opt/nfast/xlc_r/lib/libcknfast.so
• HPUX：/opt/nfast/ansic/lib/libcknfast.sl
• SUN：/opt/nfast/swspro/lib/libcknfast.so
• Windows NT：c:\nfast\bin\cknfast.dll

 

 

 

 

 

 

 

IBM4758

 

 

 

 

• AIX：/usr/lib/pkcs11/PKCS11_API.so
• Windows NT：c:\pkcs\bin\nt\cryptoki.dll

 

 

 

 

 

   

SSLServerCert

 

• 描述 - 设置用于此虚拟主机的服务器证书
• 作用域 - 基于 IP 的虚拟主机
• 用法 - SSLServerCert my_certificate_label；在 PKCS11 设备上 - SSLServerCert mytokenlabel:mykeylabel
• 值 - 证书标签
• 注 - 证书标签不使用定界符。
  确保标签包含在一行中。
  忽略开始处和结尾处的空白。

 

SSLStashfile

 

• 描述 - 文件的路径及文件名，包含用于打开 PKCS11 设备的加密密码。
• 作用域 - 虚拟主机
• 用法 - SSLStashfile "c:/usr/HTTPServer/IBM HTTP Server/conf/pkcs11.passwd"
• 值 - 路径及文件名
• 注 - IHS 的 bin 中应有一个 sslstash 命令。此命令用于存储 PKCS11 设备的密码。使用 sslstash 命令后创建的存储文件可保持两个不同的密码，用于两个不同的功能：crl 和密码术。

  sslstash 的语法是：sslstash [-c] <文件> <功能> <密码>，其中：

  • -c = 创建新的存储文件。如果未指定，则更新现有存储文件
  • 文件 = 要创建或更新的文件的全限定名称
  • 功能 = 使用密码的功能。有效值为 crl 或 crypto
  • 密码 = 要存储的密码
  • 用法 - sslstash -c conf\pkcs11.passwd crypto pkcs11

 

SSLVersion

 

• 描述 - 如果客户机尝试与不同于指定版本的 SSL 协议相连接，则允许对象访问拒绝。
• 作用域 - 每个目录节有一个
• 用法 - SSLVersion ALL
• 值 - SSLV2|SSLV3|TLSV1|ALL

SSLV2Timeout

 

• 描述 - 设置 SSL 版本 2 会话标识的超时
• 作用域 - 全局基本和虚拟主机
• 用法 - SSLV2Timeout 60
• 值 - 0 至 100 秒
• 注 - 缺省值为 40

 

SSLV3Timeout

 

• 描述 - 设置 SSL 版本 3 会话标识的超时
• 作用域 - 全局基本和虚拟主机
• 用法 - SSLV3Timeout 1000
• 值 - 0 至 86400 秒
• 注 - 缺省为 120