Direttive SSL: Server HTTP IBM
Amministrazione del sistema Documentazione di IBM HTTP Server

Uso delle direttive Secure Sockets Layer

In questa sezione vengono fornite le informazioni sull'utilizzo delle direttive SSL. Queste informazioni includono sintassi specifiche, descrizioni, ambiti e note associateNota:. I collegamenti agli argomenti correlati vengono visualizzati alla fine di questa sezione.

 .
  • Keyfile
  • SSLClientAuthRequire
  • LogLevel
  • SSLCRLHostname
  • SSLAcceleratorDisable
  • SSLCRLPort
  • SSLCacheDisable
  • SSLCRLUserID
  • SSLCacheEnable
  • SSLDisable
  • SSLCacheErrorLog
  • SSLEnable
  • SSLCachePath
  • SSLFakeBasicAuth
  • SSLCachePortFilename
  • SSLPKCSDriver
  • SSLCacheTraceLog
  • SSLServerCert
  • SSLCipherBan
  • SSLStashfile
  • SSLCipherRequire
  • SSLV2Timeout
  • SSLCipherSpec
  • SSLV3Timeout
  • SSLClientAuth
  • SSLVersion
  • SSLClientAuthGroup
  • Informazioni correlate
  • Keyfile

    • Descrizione: imposta il file della chiave da utilizzare.
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: non consentite
    • Ambito: base globale e host virtuale
    • Sintassi: Keyfile /percorso completo al file chiave/keyfile.kdb
    • Valori: nome del file della chiave

    LogLevel

    • Descrizione: stabilisce il livello di precisione delle informazioni dei messaggi registrati nei log degli errori. Quando viene specificato un particolare livello, vengono riportati i messaggi provenienti da tutti gli altri livelli di maggiore importanza. Ad esempio, quando si specifica LogLevel info, vengono riportati i messaggi con i livelli log notice e warn. Si consiglia di specificare almeno level crit.
    • Impostazione predefinita: LogLevel error
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: consentite. L'ordine di preferenza Ŕ dall'alto verso il basso, dal primo all'ultimo. Se il client non supporta specifiche di cifratura, il collegamento viene terminato.
    • Ambito: configurazione del server, host virtuale
    • Sintassi: LogLevel livello
    • Valori: i seguenti livelli disponibili vengono visualizzati in ordine di importanza decrescente:

      .
      Livello Descrizione Esempio
      emerg Emergenze: sistema inutilizzabile. "Il processo secondario non Ŕ in grado di aprire il file di blocco. Chiusura"
      alert Effettuare immediatamente un'operazione. "getpwuid: impossibile determinare il nome utente da uid"
      crit Condizioni critiche. "socket: Impossibile richiamare un socket, chiusura del processo secondario"
      error Condizione di errore. "Interruzione anomala delle intestazioni dello script"
      warn Avvertimento."il processo secondario 1234 non esiste, inviare un altro SIGHUP"
      notice Condizione normale ma significativa. "httpd: SIGBUS rilevato, tentativo di eseguire il dump di memoria in corso..."
      info Informazioni. "Il server Ŕ impegnato, aumentare StartServers oppure Min/MaxSpareServers..."
      debug Messaggi livello debug. "Apertura del file di configurazione..."

    SSLAcceleratorDisable

    • Descrizione: disabilita il dispositivo di accelerazione.
    • Impostazione predefinita: il dispositivo acceleratore Ŕ abilitato
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: non consentite
    • Ambito: virtuale e globale
    • Sintassi: SSLAcceleratorDisable
    • Valori: nessuno
    • Suggerimenti: posizionare questa direttiva in un punto qualsiasi del file di configurazione, incluso un host virtuale. Durante l'inizializzazione, se viene accertata l'installazione di un dispositivo acceleratore su una macchina, questo acceleratore viene utilizzato per aumentare il numero di transazioni protette. Questa direttiva non utilizza argomenti.

    Riservato agli ambienti UNIX

    SSLCacheDisable

    • Descrizione: disabilita la cache dell'ID della sessione SSL esterna
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: non consentite
    • Ambito: uno per ogni istanza del server Apache fisico, consentito solo esternamente alle sezioni di host virtuale
    • Sintassi: SSLCacheDisable
    • Valori: nessuno
    • Nota: Valido solo negli ambienti UNIX.

    Riservato solo agli ambienti UNIX

    SSLCacheEnable

    • Descrizione: abilita la cache dell'ID della sessione SSL esterna
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: non consentite
    • Ambito: uno per ogni istanza del server Apache fisico, consentito solo esternamente alle sezioni di host virtuale
    • Sintassi: SSLCacheEnable
    • Valori: nessuno
    • Nota: Valido solo negli ambienti UNIX.

    Riservato agli ambienti UNIX

    SSLCacheErrorLog

    • Descrizione: imposta il nome file per la registrazione degli errori della cache relativa all'ID della sessione
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: non consentite
    • Ambito: uno per ogni istanza del server Apache fisico, consentito solo esternamente alle sezioni di host virtuale.
    • Sintassi: SSLCacheErrorLog /usr/HTTPServer/log/sidd_log
    • Valori: nome file valido
    • Nota: Non valido sui sistemi operativi Windows NT e Windows 2000.

    Riservato agli ambienti UNIX

    SSLCachePath

    • Descrizione: specifica il percorso all'eseguibile del daemon per la funzione di memorizzazione nella cache dell'ID della sessione.
    • Impostazione predefinita: /usr/HTTPServer/bin/sidd
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: non consentite
    • Ambito: un IBM HTTP Server fisico
    • Sintassi: SSLCachePath /usr/HTTPServer/bin/sidd
    • Valori: nome percorso valido.
    • Nota: Non valido sui sistemi operativi Windows NT e Windows 2000.

    Riservato all'ambiente UNIX

    SSLCachePortFilename

    • Descrizione: imposta il nome file per il socket di dominio UNIX utilizzato per la comunicazione tra le istanze del server e il daemon della cache dell'ID di sessione.
    • Impostazione predefinita: se la direttiva non viene specificata e la cache Ŕ abilitata, viene tentato di utilizzare il file: /usr/HTTPServer/logs/siddport
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: non consentite
    • Ambito: uno per ogni istanza del server Apache fisico, consentito solo esternamente alle sezioni di host virtuale.
    • Sintassi: SSLCachePortFilename /usr/HTTPServer/logs/siddport
    • Valori: nome file valido. Suggerimento il server Web cancella questo file durante l'avvio; non utilizzare il nome file esistente.
    • Suggerimenti Valido solo sulle piattaforme UNIX.

    Riservato all'ambiente UNIX

    SSLCacheTraceLog

    • Descrizione: specifica il log traccia in cui vengono registrati i messaggi di traccia dell'ID della sessione.
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: non consentite
    • Ambito: un IBM HTTP Server fisico
    • Sintassi: SSLCacheTraceLog /usr/HTTPServer/log/sidd-trace.log
    • Valori: nome percorso valido.
    • Nota per gli utenti di Windows NT e Windows 2000: non valido sui sistemi operativi Windows NT e Windows 2000.

    SSLCipherBan

    • Descrizione: nega l'accesso ad un oggetto se il client tenta di eseguire la codifica specificata.
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: consentite per sezione di directory. L'ordine di preferenza Ŕ dall'alto verso il basso.
    • Ambito: istanze multiple per sezione di directory.
    • Sintassi: SSLCipherBan <specifiche di cifratura>
    • Valori: vedere Specifiche della codifica di SSL Versione 2, Specifiche di codifica di SSL Versione 3 e TLS Versione 1

    SSLCipherRequire

     

    SSLCipherSpec

    • Descrizione: indica una specifica di codifica che Ŕ possibile utilizzare in una transazione protetta.
    • Impostazione predefinita: se non viene indicato alcun valore, il server utilizza tutte le specifiche di cifratura disponibili nella libreria GSK installata.
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: consentite. L'ordine di preferenza Ŕ dall'alto verso il basso, dal primo all'ultimo. Se il client non supporta specifiche di cifratura, il collegamento viene terminato.
    • Ambito: host virtuale
    • Sintassi: SSLCipherSpec nome breve o
      SSLCipherSpec nome esteso
    • Valori: vedere Specifiche della codifica di SSL Versione 2, Specifiche di codifica di SSL Versione 3 e TLS Versione 1
     
    Specifiche della codifica di SSL Versione 2
    Nome breve Nome esteso Descrizione
    27 SSL_DES_192_EDE3_CBC_WITH_MD5 Triple-DES (168 bit)
    21 SSL_RC4_128_WITH_MD5 RC4 (128 bit)
    23 SSL_RC2_CBC_128_CBC_WITH_MD5 RC2 (128 bit)
    26 SSL_DES_64_CBC_WITH_MD5 DES (56 bit)
    22 SSL_RC4_128_EXPORT40_WITH_MD5 RC4 (40 bit)
    24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 RC2 (40 bit)
     
    Specifiche di codifica SSL Versione 3 e TLS Versione 1
    Nome breve Nome esteso Descrizione
    3A SSL_RSA_WITH_3DES_EDE_CBC_SHA Triple-DES SHA (168 bit)
    33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 RC4 SHA (40 bit)
    34 SSL_RSA_WITH_RC4_128_MD5 RC4 MD5 (128 bit)
    39 SSL_RSA_WITH_DES_CBC_SHA DES SHA (56 bit)
    35 SSL_RSA_WITH_RC4_128_SHA RC4 SHA (128 bit)
    36 (Vedere Suggerimento: SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 RC2 MD5 (40 bit)
    32 SSL_RSA_WITH_NULL_SHA
    31 SSL_RSA_WITH_NULL_MD5
    30 SSL_NULL_WITH_NULL_NULL
    62 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA RC4 SHA Export 1024 (56 bit)
    64 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA DES SHA Export 1024 (56 bit)
     

    Suggerimento: La specifica di codifica 36 richiede Netscape Navigator V4.07; non funziona con le versioni precedenti del browser Netscape.

     

    SSLClientAuth

    • Descrizione: imposta la modalitÓ da utilizzare per l'autenticazione del client (nessuna (0), facoltativa (1) o obbligatoria (2)).
    • Impostazione predefinita: SSLClientAuth none
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale
    • Ambito: host virtuale
    • Sintassi: SSLClientAuth <livello richiesto> [crl]
    • Valori:
      • 0/Nessuno: nessun certificato client necessario.
      • 1/Facoltativo: certificato client richiesto ma non necessario.
      • 2/Obbligatorio: certificato client valido necessario.
      • CRL: attiva e disattiva crl in un host virtuale SSL. Se si utilizza un CRL (Certificate Revocation List), Ŕ necessario specificare crl come secondo argomento di SSLClientAuth. Ad esempio: SSLClientAuth 2 crl. Se non si specifica crl, non Ŕ possibile eseguire un CRL in un host virtuale SSL.

      Suggerimento: Se si specifica il valore 0/Nessuno, non Ŕ possibile utilizzare l'opzione CRL.

    SSLClientAuthGroup

    • Descrizione: abilita l'utente a raggruppare gli attributi del certificato client per utilizzarli nella direttiva SSLClientAuthRequire.
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: consentite. La funzione unisce queste direttive con "AND".

    • Ambito: istanze multiple per sezione di directory.
    • Sintassi: <SSLClientAuthGroup nome gruppo> <stringa logica>
    • Valori: espressione logica costituita da controlli di attributi collegati mediante AND, OR, NOT e parentesi.

    Descrizione di espressioni logiche valide

    Nella sezione seguente viene fornita una descrizione di esempi con espressioni logiche valide. Ad esempio:

    SSLClientAuthGroup (CommonName = "Federico Verdi" OR CommonName = "Giovanni Volpe") AND Org = IBM
    
    significa che l'oggetto non sarÓ utilizzato a meno che il certificato del client non contenga il nome Federico Verdi o Giovanni Volpe e la societÓ IBM. Gli unici attributi di confronto validi per i controlli degli attributi sono uguale e non uguale (= and !=). ╚ possibile collegare ogni controllo di attributo con AND, OR o NOT (anche &&, ||, e !). Utilizzare le parentesi per unire pi¨ paragoni. Se il valore dell'attributo contiene un carattere non alfanumerico, Ŕ necessario delimitare il valore tra apici.

    Segue un elenco di attributi validi:

    • CommonName
    • Country
    • Email
    • Group
    • IssuerCommonName
    • IssuerCountry
    • IssuerEmail
    • IssuerLocality
    • IssuerOrg
    • IssuerOrgUnit
    • IssuerStateOrProvince
    • Locality
    • Org
    • OrgUnit
    • StateOrProvince

    Segue un elenco di nomi brevi validi:

         CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 
    

    SSLClientAuthRequire

    • Descrizione: abilita la convalida completa delle informazioni sul certificato client prima di utilizzare un oggetto.
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: consentite. La funzione unisce queste direttive con "AND".
    • Ambito: directory
    • Sintassi: SSLClientAuthRequire CommonName = Riccardo
    • Valori: espressione logica costituita da controlli di attributi collegati mediante AND, OR, NOT e parentesi.

    Descrizione di espressioni logiche valide

    Ad esempio:

    SSLClientAuthRequire (CommonName = "Federico Verdi" OR CommonName = "Giovanni Volpe") AND Org = IBM
    
    significa che l'oggetto non sarÓ utilizzato a meno che il certificato del client non contenga il nome Federico Verdi o Giovanni Volpe e la societÓ IBM. Gli unici attributi di confronto validi per i controlli di attributi sono uguale e non uguale (= and !=). ╚ possibile collegare gli attributi con AND, OR o NOT (anche &&, ||, e !). Utilizzare le parentesi per unire pi¨ attributi di confronto. Se il valore dell'attributo contiene un carattere non alfanumerico, Ŕ necessario delimitare il valore con apici.

    Segue un elenco di attributi validi:

    • CommonName
    • Country
    • Email
    • IssuerCommonName
    • IssuerCountry
    • IssuerEmail
    • IssuerLocality
    • IssuerOrg
    • IssuerOrgUnit
    • IssuerStateOrProvince
    • Locality
    • Org
    • OrgUnit
    • StateOrProvince

    Segue un elenco di nomi brevi validi:

         CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 
    

    SSLCRLHostname

    • Descrizione: indirizzo o nome TCP/IP del server LDAP dove risiede il database CRL.
    • Impostazione predefinita: per impostazione predefinita SSLCRLHostname Ŕ disabilitata.
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: server globale o host virtuale
    • Sintassi: SSLCRLHostname <nome o indirizzo TCP/IP>
    • Valori: nome o indirizzo TCP/IP del server LDAP

    SSLCRLPort

    • Descrizione: porta del server LDAP in cui si trova il database CRL.
    • Impostazione predefinita: per impostazione predefinita SSLCRLPort Ŕ disabilitata.
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: server globale o host virtuale
    • Sintassi: SSLCRLPort <numero porta>
    • Valori: porta del server LDAP; impostazione predefinita=389

    SSLCRLUserID

    • Descrizione: ID utente da inviare al server LDAP dove risiede il database CRL.
    • Impostazione predefinita: impostato in modo predefinito su anonimo se non si specifica un ID utente
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: server globale o host virtuale
    • Sintassi: SSLCRLUserID <idutente>
    • Valori: ID utente del server LDAP

    SSLDisable

    • Descrizione: disabilita SSL per questo host virtuale.
    • Impostazione predefinita: per impostazione predefinita SSL Ŕ disabilitato.
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: server globale o host virtuale
    • Sintassi: SSLDisable
    • Valori: nessuno

    SSLEnable

    • Descrizione: abilita SSL per questo host virtuale.
    • Impostazione predefinita: per impostazione predefinita SSL Ŕ disabilitata.
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: server globale o host virtuale
    • Sintassi: SSLEnable
    • Valore: nessuno
     

    SSLFakeBasicAuth

    • Descrizione: abilita il supporto di autenticazione base falsa. Questo supporto consente al nome distinto del certificato client di diventare parte utente nella coppia di autenticazione di base utente e password. Utilizzare la password password.
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: in una sezione della directory utilizzata con AuthName, AuthType e direttive di richiesta.
    • Sintassi: SSLFakeBasicAuth
    • Valori: nessuno
     

    SSLPKCSDriver

    • Descrizione: identifica il nome completo per il modulo o il driver utilizzato per accedere al dispositivo PKCS11
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: server globale o host virtuale
    • Sintassi: <nome completo per il modulo utilizzato per accedere al dispositivo PKCS11> Se il modulo si trova nel percorso utente, specificare solo il nome del modulo.
    • Valori: percorso e nome del driver o del modulo PKCS11.
    Riservato agli utenti AIX
    Riservato agli utenti HP-UX
    Riservato agli utenti Solaris
    Riservato agli utenti Windows NT
    Riservato agli utenti Windows 2000

    Di seguito sono riportate le ubicazioni predefinite dei moduli per ogni dispositivo PKCS11 per piattaforma:

    nCipher

    • AIX: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP: /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Solaris: /opt/nfast/toolkits/pkcs11/libcknfast.so
    • Windows NT e Windows 2000: c:\nfast\toolkits\pkcs11\cknfast.dll

    IBM 4758

    Riservato agli utenti AIX
    Riservato agli utenti Windows NT
    Riservato agli utenti Windows 2000
    • AIX: /usr/lib/pkcs11/PKCS11_API.so
    • Windows NT e Windows 2000: $PKCS11_HOME\bin\nt\cryptoki.dll

    Riservato agli utenti AIX Riservato agli utenti Linux

    IBM e-business Cryptographic Accelerator

    • AIX: /usr/lib/pkcs11/PKCS11_API.so

    SSLServerCert

    • Descrizione: imposta il certificato del server da utilizzare per questo host virtuale
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale
    • Ambito: host virtuali basati su IP
    • Sintassi: SSLServerCert my_certificate_label; su dispositivo PKCS11 - SSLServerCert mytokenlabel:mykeylabel
    • Valori: etichetta certificato
    • Suggerimenti Non utilizzare delimitatori intorno all'etichetta del certificato. Verificare che l'etichetta sia contenuta in una sola riga. Gli spazi vuoti iniziali e finali vengono ignorati.

     

    SSLStashfile

    • Descrizione: indica il percorso al file con il nome file contenente la password codificata per l'apertura del dispositivo PKCS11.
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: host virtuale e server globale
    • Sintassi: sslstash [-c] <file> <funzione> <password>, dove:
      • -c = crea un nuovo file stash. Se non specificato, viene aggiornato il file stash esistente.
      • File = nome completo del file da creare o aggiornare
      • Funzione = funzione con cui utilizzare la password I valori validi includono crl o crypto
      • Password = Password da memorizzare
      • Uso - sslstash -c conf\pkcs11.passwd crypto pkcs11
    • Valori: percorso con nome file
    • Suggerimento Individuare un comando sslstash nella directory bin di IBM HTTP Server per UNIX e la root di installazione del server per la piattaforma Windows. Utilizzare questo comando per memorizzare la password del dispositivo PKCS11. Il file stash creato dopo l'utilizzo del comando sslstash pu˛ contenere due diverse password per due diverse funzioni: crl e cryptography.

     

    SSLV2Timeout

    • Descrizione: imposta il timeout per gli ID della sessione SSL versione 2
    • Impostazione predefinita: 40
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: base globale e host virtuale
    • Sintassi: SSLV2Timeout 60
    • Valori: da 0 a 100 secondi
     

    SSLV3Timeout

    • Descrizione: imposta il timeout per gli ID della sessione SSL versione 3
    • Impostazione predefinita: 120
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: base globale e host virtuale
    • Sintassi: SSLV3Timeout 1000
    • Valori: da 0 a 86400 secondi

    SSLVersion

    • Descrizione: abilita il rifiuto di accesso all'oggetto se il client tenta di connettersi con una versione del protocollo SSL diversa da quella specificata.
    • Impostazione predefinita: nessuna
    • Modulo: mod_ibm_ssl
    • Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
    • Ambito: uno per sezione di directory
    • Sintassi: SSLVersion ALL
    • Valori: SSLV2|SSLV3|TLSV1|ALL
     
    Informazioni correlate

         (Torna all'inizio)