[AIX Solaris HP-UX Linux Windows][z/OS]

使用 SSL 通訊來保護安全

本節提供的資訊可協助您使用預設 httpd.conf 配置檔來設定 Secure Sockets Layer (SSL)。

關於這項作業

針對每一部虛擬主機,設定要在安全交易期間使用的密碼規格。 所指定的密碼規格會對照系統上安裝的 Global Security Kit (GSK) 工具箱層次來進行驗證。無效的密碼規格會導致在錯誤日誌中記載錯誤。如果發出要求的用戶端不支援所指定的密碼,則要求會失敗,並且對用戶端關閉連線。

IBM® HTTP Server 具有內建的密碼規格清單,可用來透過 Secure Sockets Layer (SSL) 與用戶端通訊。用於特定用戶端連線的實際密碼規格,要從 IBM HTTP Server 和用戶端都支援的那些密碼規格中選取。

某些密碼規格提供的安全等級低於其他密碼規格,為了安全起見,可能需要避免使用。某些較強密碼規格的運算密集度高於較低強度的密碼規格,如果需要較高的效能,可能要避免使用。您可以使用 SSLCipherSpec 指引來提供 Web 伺服器支援的密碼規格自訂清單,以避免選取被認為太弱或運算密集度太高的密碼規格。

如果您未使用 SSLCipherSpec 指引來指定密碼規格,IBM HTTP Server 8.0 和更新版本會使用一組保守的預設密碼。這組預設密碼不包括 SSL 第 2 版、空值密碼和低強度密碼。低強度密碼包括匯出等級 (export-grade) 密碼。如果要在執行時期檢視錯誤日誌中的這些預設值,可以啟用 LogLevel debugSSLTrace

程序

  1. [AIX Solaris HP-UX Linux Windows]使用 IBM HTTP Server IKEYMAN 公用程式(圖形使用者介面)IKEYMAN 公用程式(指令行)建立 CMS 金鑰資料庫檔和伺服器憑證。
  2. [z/OS]IBM HTTP Server 使用 z/OS® gskkyman 工具來進行金鑰管理,以建立 CMS 金鑰資料庫檔、公開和私密金鑰組,以及伺服器憑證。或者,您可以建立 SAF 金鑰環來代替 CMS 金鑰資料庫檔。
  3. 在 IBM HTTP Server httpd.conf 配置檔中啟用 SSL 指引。
    1. LoadModule ibm_ssl_module modules/mod_ibm_ssl.so 配置指引解除註解。
    2. 使用下列範例和指引,在 httpd.conf 檔案中建立 SSL 虛擬主機段落。
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
        Listen 443
        <VirtualHost *:443>
          SSLEnable
        </VirtualHost>
      SSLDisable	  
      KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"

      這個第二個範例會假設您要啟用單一網站來使用 SSL,而伺服器名稱不同於廣域範圍中針對非 SSL(埠 80)定義的伺服器名稱。兩個主機名稱都必須登錄在網域名稱伺服器 (DNS) 中不同的 IP 位址,而且您必須將這兩個 IP 位址都配置在本端網路介面卡上。

      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      <Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
      這個第三個範例會假設您要啟用多個網站來使用 SSL。所有主機名稱都必須登錄在網域名稱伺服器 (DNS) 中不同的 IP 位址。此外,您也必須將所有 IP 位址配置在本端網路介面卡上。使用 SSLServerCert 指引來識別在每個網站的 SSL 信號交換期間,金鑰資料庫檔中的哪個個人伺服器憑證會傳遞至用戶端瀏覽器。如果您尚未定義 SSLServerCert 指引,IBM HTTP Server 會傳遞金鑰資料庫檔中標示 (*) 為「預設金鑰」的憑證。
      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:80>
      ServerName www.mycompany3.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.102:443>
      ServerName www.mycompany.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany2
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:443>
      ServerName www.mycompany3.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany3
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000

指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupssl
檔名:tihs_setupssl.html