[AIX Solaris HP-UX Linux Windows][z/OS]

Sécurisation au moyen de communications SSL

Cette section fournit des informations pour vous aider à configurer SSL (Secure Sockets Layer) à l'aide du fichier de configuration par défaut httpd.conf.

Pourquoi et quand exécuter cette tâche

Définissez, pour chaque hôte virtuel, la spécification de chiffrement à utiliser lors des transactions sécurisées. Les spécifications de chiffrement indiquées effectuent une validation avec le niveau de l'outil Global Security Kit (GSK) installé sur votre système. Les spécifications de chiffrement non valides provoquent la consignation d'une erreur dans le journal des erreurs. Si le client qui émet la demande ne prend pas en charge les chiffrements indiqués, la demande n'aboutit pas et la connexion au client s'arrête.

IBM® HTTP Server comporte une liste intégrée de spécifications de chiffrement à utiliser pour communiquer avec des clients sur la couche SSL (Secure Sockets Layer).La spécification de chiffrement réelle, utilisée pour une connexion client particulière est sélectionnée parmi les spécifications de chiffrement prises en charge à la fois par IBM HTTP Server et le client.

Certaines spécifications de chiffrement fournissent un niveau de sécurité plus faible que d'autres. Il peut être préférable de les éviter pour des raisons de sécurité. Certaines des spécifications de chiffrement les plus fortes requièrent des calculs plus intensifs. Il peut donc être préférable de les éviter afin de préserver les performances. Vous pouvez utiliser la directive SSLCipherSpec pour fournir une liste personnalisée de spécifications de chiffrement prises en charge par le serveur Web afin d'éviter la sélection de spécifications de chiffrement considérées trop faibles ou trop intensives en matière de calculs.

Si vous n'indiquez pas de spécification de chiffrement à l'aide de la directive SSLCipherSpec, IBM HTTP Server Version 8.0 et suivante utilise un ensemble par défaut de chiffrements conservateur. L'ensemble par défaut de chiffrements exclut SSL Version 2, les chiffrements null et les chiffrements faibles. Ces derniers incluent les chiffrements "export-grade". Ces chiffrements par défaut peuvent être affichés lors de l'exécution dans le journal des erreurs en activant LogLevel debug et SSLTrace.

Procédure

  1. [AIX Solaris HP-UX Linux Windows]Utilisez l'utilitaire IKEYMAN (interface graphique) ou l'utilitaire IKEYMAN (ligne de commande) d'IBM HTTP Server pour créer un fichier de base de données de clés CMS et un certificat serveur.
  2. [z/OS]IBM HTTP Server utilise l'outil de gestion des clés gskkyman z/OS pour créer un fichier de bases de données de clés CMS, des paires de clés publiques et privées, et des certificats serveur. Vous pouvez aussi créer un fichier de clés à la place d'un fichier de base de données de clés CMS.
  3. Activez les directives SSL dans le fichier de configuration httpd.conf d'IBM HTTP Server.
    1. Supprimez la mise en commentaire de la directive de configurationLoadModule ibm_ssl_module modules/mod_ibm_ssl.so.
    2. Créez une section d'hôte virtuel SSL dans le fichier httpd.conf à l'aide des exemples et des directives ci-dessous.
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
        Listen 443
        <VirtualHost *:443>
          SSLEnable
        </VirtualHost>
      SSLDisable	  
      KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"

      Ce second exemple présume que vous activez un seul site Web pour l'utilisation de SSL et que le nom du serveur est différent de celui défini dans la portée globale pour les éléments non SSL (port 80). Les deux noms d'hôte doivent être enregistrés sur un serveur de noms de domaine (DNS) dans une adresse IP distincte et vous devez configurer les deux adresses IP sur les cartes d'interface réseau local.

      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      <Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
      Ce troisième exemple présume que vous activez plusieurs sites Web pour l'utilisation de SSL. Tous les noms d'hôte doivent être enregistrés sur le serveur de noms de domaine (DNS) dans une adresse IP distincte. Vous devez également configurer toutes les adresses IP sur une carte d'interface réseau local. Utilisez la directive SSLServerCert pour identifier le certificat du serveur personnel dans le fichier de base de données de clés qui est transmis au navigateur client pendant l'établissement de la liaison SSL pour chaque site Web. Si vous n'avez pas défini la directive SSLServerCert, IBM HTTP Server transmet le certificat dans le fichier de base de données de clés marqué en tant que "clé par défaut" (*).
      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:80>
      ServerName www.mycompany3.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.102:443>
      ServerName www.mycompany.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany2
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:443>
      ServerName www.mycompany3.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany3
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupssl
Nom du fichier : tihs_setupssl.html