设置 HTTP 严格传输安全性 (HSTS)

您可以在响应头中指定 HTTP 严格传输安全性 (HSTS),以便服务器可向客户机公告其仅接受 HTTPS 请求。可以将任何非 HTTPS 请求重定向到支持 SSL 的虚拟主机。

开始之前

  • 确定 HSTS 策略是仅适用于域还是也适用于子域。
  • 确定域是否可属于客户机中已知 HSTS 主机的预安装列表的一部分。
  • 确定客户机可高速缓存指示域为 HSTS 主机的信息的时间。

过程

  1. 支持修改响应头。
    httpd.conf 文件的 mod_headers 模块中取消注释以下装入模块伪指令。
    LoadModule headers_module modules/mod_headers.so
  2. 为客户机定义 HSTS 策略。

    httpd.conf 文件中执行以下更新:

    1. 对头伪指令进行编码。
      以下示例头指定用于定义 HSTS 策略的有用选项。伪指令指定服务器始终需要 HTTPS 连接。HTTPS 连接适用于域和所有子域。客户机可在 HSTS 域的预安装列表中保存域最多一年(31536000 秒)。
      Header always set Strict-Transport-Security "max-age=31536000;
            includeSubDomains; preload"
    2. 将头伪指令添加到每个虚拟主机部分 <virtualhost>(支持安全套接字层 (SSL))。
  3. 将请求从不支持 SSL 的虚拟主机重定向到支持 SSL 的虚拟主机。
    RewriteEngine on 
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
    • 将节添加到 httpd.conf 文件中每个虚拟主机部分一次。
    • 将节添加到全局 httpd.conf 文件一次,但在虚拟主机部分外部添加。

结果

设置 IBM® HTTP Server 以便其告知客户机仅通过 HTTPS 连接到指定域和子域。为了确保 IBM HTTP Server 不会通过非 SSL 处理非 HTTPS 请求,设置服务器以将这些请求重定向到支持 SSL 的虚拟主机。

下一步做什么

将服务器作为前端添加到应用程序服务器环境,以便通过 HTTPS 执行应用程序服务器和客户机之间的连接。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_hsts
文件名:tihs_hsts.html