Sie können
HTTP Strict Transport Security (HSTS) in den Antwortheadern festlegen, damit Ihr Server die Clients darüber benachrichtigen kann, dass er nur
HTTPS-Anforderungen akzeptiert.
Alle Nicht-HTTPS-Anforderungen können an SSL-fähige virtuelle Hosts weitergeleitet werden.
Vorbereitende Schritte
- Legen Sie fest, ob Ihre
HSTS-Richtlinie nur für die Domäne gelten soll oder ob die Unterdomänen einbezogen werden sollen.
- Legen Sie fest, ob die Domäne in einer vorinstallierten Liste bekannter
HSTS-Hosts in einem Client enthalten sein kann.
- Legen Sie fest, wie lange der Client die Informationen
zwischenspeichern kann, mit denen angegeben wird, dass die Domäne ein
HSTS-Host ist.
Vorgehensweise
- Die Änderung der Antwortheader ermöglichen.
Entfernen Sie die Kommentarzeichen vor der folgenden
"Load Module"-Anweisung für das Modul
"mod_headers" in der Datei
httpd.conf:
LoadModule headers_module modules/mod_headers.so
- Die HSTS-Richtlinie für die Clients definieren.
Aktualisieren Sie die
Datei httpd.conf wie folgt:
- DieAnweisung
"Header" codieren.
Die folgende
"Header"-Beispielanweisung legt nützliche Optionen zur Definition einer HSTS-Richtlinie fest.
Die Anweisung legt fest, dass der Server immer
HTTPS-Verbindungen erfordert.
Die HTTPS-Verbindungen gelten sowohl für die Domäne als auch alle Unterdomänen.
Ein Client kann die Domäne für
maximal ein Jahr
(31536000 Sekunden) in seiner vorinstallierten Liste von
HSTS-Domänen beibehalten.
Header always set Strict-Transport-Security "max-age=31536000;
includeSubDomains; preload"
- Die "Header"-Anweisung jedem Abschnitt für SSL-fähige (Secure Sockets Layer) virtuelle Hosts,
<virtualhost>, hinzufügen.
- Anforderungen von Nicht-SSL-fähigen
virtuellen Hosts an SSL-fähige virtuelle Hosts weiterleiten:
RewriteEngine on
RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
- Fügen Sie die Zeilengruppe zu jedem Abschnitt für virtuelle Hosts
in der Datei httpd.conf hinzu.
- Fügen Sie die Zeilengruppe einmal außerhalb der Abschnitte für virtuelle Hosts in der globalen Datei
httpd.conf hinzu.
Ergebnisse
IBM® HTTP Server ist so eingerichtet, dass
die Clients angewiesen werden, nur über HTTPS eine Verbindung zu den angegebenen Domänen und Unterdomänen herzustellen.
Um sicherzustellen, dass
Ihr IBM HTTP Server keine Nicht-HTTPS-Anforderungen über Nicht-SSL-fähige virtuelle Hosts verarbeitet,
wurde der Server so eingerichtet, dass er diese Anforderungen an SSL-fähige virtuelle Hosts weiterleitet.
Nächste Schritte
Nehmen Sie Ihren Server als Front-End in Ihre Anwendungsserverumgebung auf, so
dass die Verbindungen zwischen Anwendungsserver und einem Client über HTTPS aufgebaut werden.