![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
使用 SSL 通訊來保護安全
本節提供的資訊可協助您使用預設 httpd.conf 配置檔來設定 Secure Sockets Layer (SSL)。
關於這項作業
IBM® HTTP Server 具有內建的密碼規格清單,可用來透過 Secure Sockets Layer (SSL) 與用戶端通訊。用於特定用戶端連線的實際密碼規格,要從 IBM HTTP Server 和用戶端都支援的那些密碼規格中選取。
某些密碼規格提供的安全等級低於其他密碼規格,為了安全起見,可能需要避免使用。某些較強密碼規格的運算密集度高於較低強度的密碼規格,如果需要較高的效能,可能要避免使用。您可以使用 SSLCipherSpec 指引來提供 Web 伺服器支援的密碼規格自訂清單,以避免選取被認為太弱或運算密集度太高的密碼規格。
如果您未使用 SSLCipherSpec 指引來指定密碼規格,IBM HTTP Server 8.0 和更新版本會使用一組保守的預設密碼。這組預設密碼不包括 SSL 第 2 版、空值密碼和低強度密碼。低強度密碼包括匯出等級 (export-grade) 密碼。如果要在執行時期檢視錯誤日誌中的這些預設值,可以啟用 LogLevel debug 和 SSLTrace。
程序
使用 IBM HTTP Server IKEYMAN 公用程式(圖形使用者介面)或 IKEYMAN 公用程式(指令行)來建立 CMS 金鑰資料庫檔和伺服器憑證。
IBM HTTP Server 使用 z/OS® gskkyman 工具來進行金鑰管理,以建立 CMS 金鑰資料庫檔、公開和私密金鑰組,以及伺服器憑證。或者,您可以建立 SAF 金鑰環來代替 CMS 金鑰資料庫檔。
- 如需 gskkyman 的相關資訊,請參閱使用原生 z/OS 金鑰資料庫進行金鑰管理。
- 如需建立 SAF 金鑰環的相關資訊,請參閱向 IBM HTTP Server(z/OS 系統)上的 SAF 鑑別和 SSL 金鑰檔指引。
- 在 IBM HTTP Server httpd.conf 配置檔中啟用 SSL 指引。
- 將 LoadModule ibm_ssl_module modules/mod_ibm_ssl.so 配置指引解除註解。
- 使用下列範例和指引,在 httpd.conf 檔案中建立 SSL 虛擬主機段落。
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 443 <VirtualHost *:443> SSLEnable </VirtualHost> SSLDisable KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"
這個第二個範例會假設您要啟用單一網站來使用 SSL,而伺服器名稱不同於廣域範圍中針對非 SSL(埠 80)定義的伺服器名稱。兩個主機名稱都必須登錄在網域名稱伺服器 (DNS) 中不同的 IP 位址,而且您必須將這兩個 IP 位址都配置在本端網路介面卡上。
這個第三個範例會假設您要啟用多個網站來使用 SSL。所有主機名稱都必須登錄在網域名稱伺服器 (DNS) 中不同的 IP 位址。此外,您也必須將所有 IP 位址配置在本端網路介面卡上。使用 SSLServerCert 指引來識別在每個網站的 SSL 信號交換期間,金鑰資料庫檔中的哪個個人伺服器憑證會傳遞至用戶端瀏覽器。如果您尚未定義 SSLServerCert 指引,IBM HTTP Server 會傳遞金鑰資料庫檔中標示 (*) 為「預設金鑰」的憑證。Listen 80 ServerName www.mycompany.com <Directory "c:/Program Files/IBM HTTP Server/htdocs"> Options Indexes AllowOverride None order allow,deny allow from all <Directory> DocumentRoot "c:/program files/ibm http server/htdocs" DirectoryIndex index.html <VirtualHost 192.168.1.103:80> ServerName www.mycompany2.com <Directory "c:/Program Files/IBM HTTP Server/htdocs2"> Options Indexes AllowOverride None order allow,deny allow from all </Directory> DocumentRoot "c:/program files/ibm http server/htdocs2" DirectoryIndex index2.html </VirtualHost> Listen 443 <VirtualHost 192.168.1.103:443> ServerName www.mycompany2.com SSLEnable SSLClientAuth None <Directory "c:/Program Files/IBM HTTP Server/htdocs2"> Options Indexes AllowOverride None order allow,deny allow from all </Directory> DocumentRoot "c:/program files/ibm http server/htdocs2" DirectoryIndex index2.html </VirtualHost> SSLDisable KeyFile "c:/program files/ibm http server/key.kdb" SSLV2Timeout 100 SSLV3Timeout 1000
Listen 80 ServerName www.mycompany.com <Directory "c:/Program Files/IBM HTTP Server/htdocs"> Options Indexes AllowOverride None order allow,deny allow from all </Directory> DocumentRoot "c:/program files/ibm http server/htdocs" DirectoryIndex index.html <VirtualHost 192.168.1.103:80> ServerName www.mycompany2.com <Directory "c:/Program Files/IBM HTTP Server/htdocs2"> Options Indexes AllowOverride None order allow,deny allow from all </Directory> DocumentRoot "c:/program files/ibm http server/htdocs2" DirectoryIndex index2.html </VirtualHost> <VirtualHost 192.168.1.104:80> ServerName www.mycompany3.com <Directory "c:/Program Files/IBM HTTP Server/htdocs3"> Options Indexes AllowOverride None order allow,deny allow from all </Directory> DocumentRoot "c:/program files/ibm http server/htdocs3" DirectoryIndex index3.html </VirtualHost> Listen 443 <VirtualHost 192.168.1.102:443> ServerName www.mycompany.com SSLEnable SSLClientAuth None SSLServerCert mycompany <Directory "c:/Program Files/IBM HTTP Server/htdocs"> Options Indexes AllowOverride None order allow,deny allow from all </Directory> DocumentRoot "c:/program files/ibm http server/htdocs" DirectoryIndex index.html </VirtualHost> <VirtualHost 192.168.1.103:443> ServerName www.mycompany2.com SSLEnable SSLClientAuth None SSLServerCert mycompany2 <Directory "c:/Program Files/IBM HTTP Server/htdocs2"> Options Indexes AllowOverride None order allow,deny allow from all </Directory> DocumentRoot "c:/program files/ibm http server/htdocs2" DirectoryIndex index2.html </VirtualHost> <VirtualHost 192.168.1.104:443> ServerName www.mycompany3.com SSLEnable SSLClientAuth None SSLServerCert mycompany3 <Directory "c:/Program Files/IBM HTTP Server/htdocs3"> Options Indexes AllowOverride None order allow,deny allow from all </Directory> DocumentRoot "c:/program files/ibm http server/htdocs3" DirectoryIndex index3.html </VirtualHost> SSLDisable KeyFile "c:/program files/ibm http server/key.kdb" SSLV2Timeout 100 SSLV3Timeout 1000
次主題
Secure Sockets Layer (SSL) 通訊協定
Secure Sockets Layer (SSL) 通訊協定是由 Netscape Communications Corporation 所開發。SSL 指引的考量
使用 SSL 指引時,您應考量下列事項:將加密限制在 128 位元以上、將 HTTP(埠 80)要求改寫為 HTTPS(埠 443)、將 SSL 要求資訊記載在存取日誌中,以及啟用憑證撤銷清冊 (CRL)。鑑別
鑑別會驗證身分。加密
加密最簡單的形式就是將訊息編碼,讓任何人都無法讀取該訊息,直到接收者將其解碼。Secure Sockets Layer 環境變數
mod_ibm_ssl 參數會在作用中要求的 Apache API subprocess_env 表格中設定變數,讓您能夠存取 Secure Sockets Layer (SSL) 階段作業的相關資訊。由於變數傳遞至 CGI 應用程式時的資訊存取方式,因而將這些變數視為環境變數。SSL 指引
Secure Sockets Layer (SSL) 指引是 IBM HTTP Server 中用來控制 SSL 特性的配置參數。
相關概念:
相關工作:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupssl
檔名:tihs_setupssl.html