[AIX Solaris HP-UX Linux Windows][z/OS]

Protegendo com Comunicações SSL

Esta seção fornece informações para ajudá-lo a configurar o SSL (Secure Sockets Layer), utilizando o arquivo de configuração padrão httpd.conf.

Sobre Esta Tarefa

Para cada host virtual, defina a especificação de criptografia para utilizar durante transações seguras. As especificações de criptografia especificadas são validadas junto ao nível do toolkit GSK (Global Security Kit) instalado em seu sistema. As especificações de criptografia inválidas causam um erro para efetuar login no log de erros. Se o cliente que emitiu o pedido não suportar as criptografias especificadas, o pedido falhará e a conexão fechará para o cliente.

O IBM® HTTP Server possui uma lista integrada de especificações de código para usar para comunicação com clientes sobre Secure Sockets Layer (SSL).A especificação de código real que é usada para uma conexão do cliente particular é selecionada a partir das especificações de código que o IBM HTTP Server e o cliente suportam.

Algumas especificações de cifra fornecem um nível de segurança mais baixo do que outras e precisam ser evitadas por razões de segurança. Algumas das especificações de cifra mais fortes são mais relacionadas à computação do que as especificações de cifra mais fracas, e precisam ser evitadas, se for o caso, por motivos de desempenho. Você pode utilizar a diretiva SSLCipherSpec para fornecer uma lista customizada de especificações de cifra que são suportadas pelo servidor da Web para evitar a seleção de especificações de cifra consideradas muito fracas ou muito relacionadas à computação.

Se você não especificar especificações de código usando a diretiva SSLCipherSpec, o IBM HTTP Server Versão 8.0 e posterior usará um conjunto conservador de códigos padrão. O conjunto padrão de códigos exclui o SSL Versão 2, códigos nulos e códigos fracos. Os códigos fracos incluem códigos da grade de exportação. Estes padrões podem ser visualizados no tempo de execução no log de erro ativando LogLevel debug e SSLTrace.

Procedimento

  1. [AIX Solaris HP-UX Linux Windows]Use o utilitário IBM HTTP Server IKEYMAN (interface gráfica com o usuário) ou o utilitário IKEYMAN (linha de comandos) para criar um Arquivo do banco de dados de chave CMS e um certificado do servidor.
  2. [z/OS]O IBM HTTP Server usa a ferramenta do z/OS, gskkyman, para gerenciamento de chave para criar um Arquivo do banco de dados de chave CMS, pares de chaves públicas e privadas e certificados do servidor. Ou você pode criar um keyring do SAF em vez de um arquivo de banco de dados chave do CMS.
  3. Ative diretivas SSL no arquivo de configuração do IBM HTTP Server, httpd.conf.
    1. Remova o comentário da diretiva de configuração LoadModule ibm_ssl_module modules/mod_ibm_ssl.so.
    2. Crie uma sub-rotina de host virtual de SSL no arquivo httpd.conf utilizando os seguintes exemplos e diretivas.
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
        Listen 443
        <VirtualHost *:443>
          SSLEnable
        </VirtualHost>
      SSLDisable	  
      KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"

      Este segundo exemplo supõe que você esteja ativando um único Web site para usar o SSL e que o nome do servidor seja diferente do nome do servidor definido no escopo global para não SSL (porta 80). Os dois nomes do host devem ser registrados em um DNS (Servidor de Nomes de Domínio) para um endereço IP separado e é necessário configurar ambos os endereços IP em placas da interface de rede local.

      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      <Directory>
      
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/Arquivos de Programas/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
      Esse terceiro exemplo supõe que você esteja ativando vários Web sites para utilizar o SSL. Todos os nomes do host devem ser registrados no DNS para um endereço IP separado. Também é necessário configurar todos os endereços IP em uma placa da interface de rede local. Utilize a diretiva SSLServerCert para identificar qual certificado do servidor pessoal no arquivo do banco de dados de chaves é transmitido para o navegador do cliente durante o protocolo de reconhecimento SSL para cada Web site. Se você não tiver definido a diretiva SSLServerCert, o IBM HTTP Server transmitirá o certificado no Arquivo do banco de dados de chave que está marcado (*) como a "chave padrão".
      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:80>
      ServerName www.mycompany3.com
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.102:443>
      ServerName www.mycompany.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs"
      DirectoryIndex index.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany2
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:443>
      ServerName www.mycompany3.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany3
      <Directory "c:/Arquivos de Programas/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Arquivos de Programas/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/Arquivos de Programas/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupssl
Nome do arquivo: tihs_setupssl.html