![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Directives SSL
Les directives SSL (Secure Sockets Layer) sont les paramètres de configuration qui contrôlent les fonctionnalités SSL dans IBM® HTTP Server.
Vous pouvez spécifier un grand nombre de directives SSL (Secure Sockets Layer) dans IBM HTTP Server, soit dans une section <virtualHost> ou de manière globale en dehors d'une section <virtualHost>.
La plupart des directives valides dans ces deux contextes ne sont pas copiées ou fusionnées à partir de la configuration globale dans la configuration de l'hôte virtuel, à l'exception des directives suivantes : SLEnable, SSLDisable, KeyFile, SSLServerCert, SSLTrace, SSLv2Timeout et SSLv3Timeout. La plupart des autres directives valides dans la portée d'hôte virtuel activé par SSL doivent être spécifiées de manière explicite dans l'hôte virtuel activé par SSL pour prendre effet. Voici deux exemples de directives SSL qui ne sont pas fusionnées ou copiées : SSLCipherSpec et Uncompromisable.
Pour les directives SSL spécifiées dans une portée de bibliothèque (<Location>, <Directory> ou htaccess), les sections de configuration d'une portée plus générale sont fusionnées avec les sections de connfiguration d'une portée plus spécifique. Voici quelques exemples de directives de ce type : SSLCipherBan, SSLCipherRequire, SSLClientAuthRequire, and SSLVersion. Ces directives sont moins fréquentes que celles décrites précédemment.
Sauf lorsqu'il s'agit d'une directive keyfile spécifiée de manière globale, évitez dans la mesure du possible de fusionner des configurations. Prenez soin de toujours tester le résultat d'une configuration qui dépend de la fusion de plusieurs portées de configuration.
- SSLOCSPResponderURL
- SSLOCSPEnable
- Directive Keyfile
- La directive SSLAcceleratorDisable
Directive SSLAllowNonCriticalBasicConstraints
La directive SSLCacheDisable
La directive SSLCacheEnable
La directive SSLCacheErrorLog
La directive SSLCachePath
La directive SSLCachePortFilename
La directive SSLCacheTraceLog
- La directive SSLCipherBan
- La directive SSLCipherRequire
- La directive SSLCipherSpec
- Directive SSLClientAuth
- La directive SSLClientAuthGroup
- La directive SSLClientAuthRequire
- Directive SSLClientAuthVerify
- Directive SSLCRLHostname (obsolète)
- Directive SSLCRLPort (obsolète)
- Directive SSLCRLUserID (obsolète)
- La directive SSLDisable
- La directive SSLEnable
- La directive SSLFakeBasicAuth
La directive SSLFIPSDisable
- La directive SSLFIPSEnable
- Directive SSLInsecureRenegotiation
- La directive SSLPKCSDriver
- Directive SSLProtocolDisable
- Directive SSLProtocolEnable
- Directive SSLProxyEngine
- Directive SSLRenegotiation
- Directive SSLServerCert
- SSLSNIMap
- Directive SSLStashfile
- SSLSuiteBMode
- Directive SSLTrace
SSLUnknownRevocationStatus
- Directive SSLV2Timeout
- La directive SSLV3Timeout
- La directive SSLVersion
SSLOCSPResponderURL
Nom | Description |
---|---|
Syntaxe |
|
Portée | Hôte virtuel |
Valeur par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une par hôte virtuel |
Valeurs | URL qualifiée complète pointant sur un répondeur OCSP ; exemple : http://hostname:2560/. |
Même si la vérification CRL est configurée, la vérification OCSP est effectuée avant celle-ci. La vérification CRL n'intervient que si le résultat de la CRL est inconnu ou non concluant.
Si la directive SSLOCSPResponderURL est définie, IBM HTTP Server utilise l'URL indiquée pour vérifier la révocation éventuelle des certificats lorsqu'un certificat client SSL est fourni.
SSLOCSPEnable
Nom | Description |
---|---|
Syntaxe |
|
Portée | Hôte virtuel |
Valeur par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une seule instance autorisée pour chacun des hôtes virtuels. |
Valeurs | Aucune |
Si la directive SSLOCSPEnable est définie et qu'une chaîne de certificats client SSL contient une extension AIA, IBM HTTP Server contacte le répondeur OCSP indiqué par cette extension pour vérifier la révocation éventuelle du certificat.
Si les vérifications OCSP et CRL sont configurées conjointement, la première est effectuée avant la seconde. La vérification CRL n'intervient que si le résultat de la vérification OCSP est inconnu ou non concluant.
Si les directives SSLOCSPEnable et SSLOCSPResponderURL sont configurées toutes les deux, c'est le répondeur défini par SSLOCSPResponderURL qui est vérifié en premier. Si l'état de la révocation est inconnu ou non concluant, IBM HTTP Server vérifie les répondeurs OCSP pour SSLOCSPEnable.
Directive Keyfile
Nom | Description |
---|---|
Syntaxe | ![]() ![]() ![]() ![]() ![]() ![]() ![]()
|
Portée | Base globale et hôte virtuel |
Valeur par défaut | Aucune |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global |
Valeurs | Nom du fichier de clés.
|
![[z/OS]](../images/ngzos.gif)
Services CMS (Certificate Management Services)
Service CMS ou fonction Resource Access Control Facility (RACF)
La directive SSLAcceleratorDisable
Nom | Description |
---|---|
Syntaxe | SSLAcceleratorDisable |
Portée | Virtuelle et globale |
Valeur par défaut | L'unité d'accélérateur est activée |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel. |
Valeurs | Aucune. Placez cette directive n'importe où dans le fichier de configuration, y compris à l'intérieur de l'hôte virtuel. Pendant l'initialisation, si le système détermine qu'une unité d'accélérateur est installée sur la machine, le système utilise cet accélérateur pour augmenter le nombre de transactions sécurisées. Cette directive n'accepte pas d'argument. |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Directive SSLAllowNonCriticalBasicConstraints
Nom | Description |
---|---|
Syntaxe | SSLAllowNonCriticalBasicConstraints on|off |
Portée | Serveur global ou hôte virtuel |
Valeur par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global |
Valeurs | Aucune. Cette directive modifie le comportement de l'algorithme
de validation de certificat, si bien que dans le cas d'une extension non
critique des contraintes de base d'un certificat émis par une autorité de
certification (CA), la validation n'échoue pas. Cela permet une compatibilité
avec un aspect de la spécification GPKI définie par le gouvernement japonais
qui va à l'encontre de la norme RFC3280. Avertissement : La norme RFC3280 spécifie que
cette extension doit apparaître en tant qu'extension critique dans
tous les certificats émis par des autorisés de certification qui contiennent
des clés publiques utilisées pour valider les signatures numériques des certificats.
|
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
![[z/OS]](../images/ngzos.gif)
La directive SSLCacheDisable
Nom | Description |
---|---|
Syntaxe | SSLCacheDisable |
Portée | Un par instance de serveur Apache physique, autorisé uniquement en dehors des sections de l'hôte virtuel. |
Valeur par défaut | Aucune |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Aucune. |
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
![[z/OS]](../images/ngzos.gif)
La directive SSLCacheEnable
Nom | Description |
---|---|
Syntaxe | SSLCacheEnable |
Portée | Un par instance de serveur Apache physique, autorisé uniquement en dehors des sections de l'hôte virtuel. |
Valeur par défaut | Aucune |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Aucune. |
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
![[z/OS]](../images/ngzos.gif)
La directive SSLCacheErrorLog
Nom | Description |
---|---|
Syntaxe | SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg |
Portée | Configuration du serveur en dehors de l'hôte virtuel. |
Valeur par défaut | Aucune |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Nom de fichier valide. |
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
![[z/OS]](../images/ngzos.gif)
La directive SSLCachePath
La directive SSLCachePath spécifie le chemin d'accès au démon de mise en cache des ID de session. A moins que plusieurs instances d'IHS, avec plusieurs paramètres ServerRoot ou -d ne partagent une même installation, il n'est pas nécessaire de spécifier cette directive.
Si plusieurs instances d'IHS sont utilisées avec une racine de serveur autre que celle décrite précédemment, cette directive doit être utilisée pour pointez cette instance d'IHS vers le chemin d'accès au binaire bin/sidd dans la racine d'installation unique au lieu des racines de serveur utilisées par défaut.
Il n'y a aucune raison pratique de copier le binaire bin/sidd ou d'utiliser cette directive pour spécifier autre chose que le binaire bin/sidd installé sous la racine de serveur lorsque plusieurs instances sont utilisées. Il n'est pas nécessaire que cette directive varie entre les instances d'IHS qui partagent les mêmes binaires.
Nom | Description |
---|---|
Syntaxe | SSLCachePath /usr/HTTPServer/bin/sidd |
Portée | Configuration du serveur en dehors de l'hôte virtuel. |
Valeur par défaut | <racine-serveur>/bin/sidd |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Nom de chemin d'accès valide. |
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
![[z/OS]](../images/ngzos.gif)
La directive SSLCachePortFilename
Nom | Description |
---|---|
Syntaxe | SSLCachePortFilename /usr/HTTPServer/logs/siddport |
Portée | Configuration du serveur en dehors de l'hôte virtuel. |
Valeur par défaut | Si cette directive n'est pas indiquée et que la mémoire cache est activée, le
serveur tente d'utiliser le fichier <racine-serveur>/logs/siddport. REMARQUES
|
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Nom de chemin d'accès valide. Le serveur Web supprime ce fichier au démarrage ; n'utilisez pas un nom de fichier existant. |
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
![[z/OS]](../images/ngzos.gif)
La directive SSLCacheTraceLog
Nom | Description |
---|---|
Syntaxe | SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log |
Portée | Configuration du serveur en dehors de l'hôte virtuel. |
Valeur par défaut | Aucune. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Pas autorisé. |
Valeurs | Nom de chemin d'accès valide. |
La directive SSLCipherBan
Nom | Description |
---|---|
Syntaxe | SSLCipherBan <spécification-chiffrement> |
Portée | Plusieurs instances par section de répertoire. |
Valeur par défaut | Aucune. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé par section du répertoire. L'ordre de préférence est de haut en bas. |
Valeurs | Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL. |
La directive SSLCipherRequire
Nom | Description |
---|---|
Syntaxe | SSLCipherRequire <spécification-chiffrement> |
Portée | Plusieurs instances par section de répertoire. |
Valeur par défaut | Aucune. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé par section du répertoire. |
Valeurs | Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL |
La directive SSLCipherSpec
La directive SSLCipherSpec permet de personnaliser les chiffrements SSL pris en charge au cours de l'établissement de la liaison. Vous pouvez personnaliser l'ensemble des chiffrements SSL et l'ordre des préférences de ces derniers.
Sur les plateformes réparties, chaque protocole possède sa propre liste ordonnée de chiffrements. Les protocoles pris en charge sont SSL version 2, SSL version 3, TLS version 1.0, TLS version 1.1 et TLS
version 1.2.
Sous z/OS, il existe uniquement deux listes de chiffrements activés, l'une pour SSL version 2 et l'autre pour les autres protocoles. Les protocoles pris en charge sont SSL version 2, SSL
version 3 et TLS version 1.0.
Les chiffrements SSL Version 2 sont configurés par défaut sur aucun chiffrement, ce qui signifie que le protocole est désactivé. Les autres protocoles sont configurés par défaut sur un ensemble de chiffrements SSL qui excluent les chiffrements null, les chiffrements d'exportation et les chiffrements faibles.
Lorsque vous utilisez le format d'argument simple de SSLCipherSpec, le chiffrement donné est activé dans tous les protocoles pour lesquels il est valide. La première fois qu'une telle modification est effectuée pour chaque protocole, les chiffrements par défaut pour le protocole sont annulés.
Lorsque vous utilisez le format d'argument simple de SSLCipherSpec en spécifiant le nom d'un protocole SSL (ou "ALL") comme premier argument, vous pouvez utiliser une syntaxe avancée offrant les avantages suivants :
- Plusieurs chiffrements peuvent être répertoriés avec chaque occurrence de SSLCipherSpec
- Des chiffrements individuels peuvent être supprimés de l'ensemble en cours de chiffrements activés en ajoutant le préfixe "-" à leur nom.
- La première fois qu'une liste de chiffrements de protocole donnée est modifiée, le chiffrement donné peut être ajouté à la fin des chiffrements par défaut, au lieu de les remplacer, en ajoutant le préfixe "+" à son nom.
Si vous fournissez le nom de protocole "ALL", l'ajout ou la suppression spécifié pour chaque nom de chiffrement est appliqué à chaque protocole pour lequel ce chiffrement est valide.
Exceptionnellement, pour vider toutes les listes de chiffrements à l'aide d'une commande unique, spécifiez SSLCipherSpec ALL NONE. L'utilisation de cette commande est un moyen efficace pour démarrer une configuration à chaque fois que vous ne voulez pas utiliser les chiffrements par défaut.
Nom | Description |
---|---|
![]() |
![]() |
![]() |
![]() |
Portée | Configuration du serveur, hôte virtuel. |
Valeur par défaut | Si rien n'est indiqué, le serveur utilise toutes les spécifications des chiffrements disponibles autres que le chiffrement NULL, d'exportation et faible. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé. L'ordre de préférence est de haut en bas, du premier au dernier. |
![]() |
![]() |
![]() |
![]() |
Valeurs pour les noms de chiffrement | Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL |
Exemple 1 | Si vous souhaitez ne sélectionner qu'un nombre réduit de chiffrements, il est préférable de redéfinir tout d'abord toutes les listes de chiffrement et d'ajouter ensuite celles que vous voulez utiliser :
|
Exemple 2 | Si vous voulez utiliser la plupart des chiffrements par défaut, à l'exception d'un ou deux, vous pouvez supprimer ces derniers des listes dans lesquelles ils se trouvent :
|
Directive SSLClientAuth
Nom | Description |
---|---|
Syntaxe | SSLClientAuth <niveau requis> [crl] |
Portée | Hôte virtuel. |
Valeur par défaut | SSLClientAuth none |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel. |
Valeurs |
Si vous indiquez la valeur 0/None, vous ne pouvez pas utiliser l'option CRL. |
Required_reset | Le serveur exige qu'un certificat valide soit présenté par tous les clients et, à défaut, il envoie une alerte SSL au client. Cela permet au client de comprendre que l'échec SSL est lié au certificat client. Les navigateurs affichent alors des invites demandant des informations sur les certificats client lors des accès ultérieurs. Cette option requiert GSKit version 7.0.4.19 ou suivante, ou z/OS V1R8 ou suivante. |

- Un référentiel CRL statique (SSLCRLHost) doit être configuré pour activer la vérification d'autres formats d'URI dans les zones CRLDistributionPoint.
- Si les certificats utilisent les formats d'URI LDAP ou HTTP de CertificateDistributionPoint ou des extensions AIA, veillez à ce que le système IBM HTTP Server puisse établir des connexions sortantes de ce type. Il peut s'avérer nécessaire d'ajuster les paramètres du pare-feu.
La directive SSLUnknownRevocationStatus est fournie dans les cas où des erreurs rémédiables se produisent dans IBM HTTP Server lorsqu'il communique avec le serveur dorsal et où IBM HTTP Server ne peut pas déterminer l'état de révocation d'un certificat. Le comportement par défaut consiste à continuer à traiter l'établissement de liaison à moins que le serveur dorsal puisse indiquer que le certificat est révoqué.
Une demande de liste de révocation de certificat ne peut être soumise qu'à un serveur LDAP configuré de manière explicite et l'établissement de liaison SSL échoue si le serveur dorsal n'est pas accessible.
La directive SSLClientAuthGroup
La directive SSLClientAuthGroup définit un groupe d'expressions désigné contenant un ensemble de paires de valeurs et d'attributs de certificats clients spécifiques. Ce groupe désigné peut être utilisé par les directives SSLClientAuthRequire. Un certificat doit être fourni par le client, transmettant cette expression, pour que le serveur autorise l'accès à la ressource protégée.
Nom | Description |
---|---|
Syntaxe | SSLClientAuthGroup expression d'attribut nom de groupe |
Portée | Configuration du serveur, hôte virtuel. |
Valeur par défaut | Aucune. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé. |
Remplacer | Aucune. |
Valeurs | Une expression logique composée de vérifications d'attributs reliée par AND,
OR, NOT, et les parenthèses. Exemple :
|
La section ci-après fournit une description d'exemples avec des expressions logiques valides. Par exemple : SSLClientAuthGroup ((CommonName = "Fred Smith") OR (CommonName = "John Deere")) AND (Org = IBM) signifie que l'objet n'est pas pris en charge, à moins que le certificat client ne contienne le nom commun Fred Smith ou John Deere et que l'organisation soit IBM. Les seules comparaisons valides pour les vérifications d'attributs sont égal et différent de (= et !=). Vous pouvez relier chaque vérification d'attribut avec AND, OR, ou NOT (également &&, ||, et !). Toute comparaison liée avec AND, OR ou NOT doit être placée entre parenthèses. Si la valeur de l'attribut contient un caractère non alphanumérique, vous devez délimiter la valeur avec des guillemets.
Nom long | Nom abrégé |
---|---|
CommonName | CN |
Pays | C |
E | |
IssuerCommonName | ICN |
IssuerEmail | IE |
IssuerLocality | IL |
IssuerOrg | IO |
IssuerOrgUnit | IOU |
IssuerPostalCode | IPC |
IssuerStateOrProvince | IST |
Localité | L |
Org | O |
OrgUnit | OU |
PostalCode | PC |
StateOrProvince | ST |
Le nom long ou le nom abrégé peut être utilisé dans cette directive.
SSLClientAuthGroup IBMpeople Org = IBM)
ou
SSLClientAuthGroup NotMNIBM (ST != MN) && (Org = IBM)
Un nom de groupe ne peut pas contenir d'espace. Pour plus d'informations, voir La directive SSLClientAuthRequire.
La directive SSLClientAuthRequire
La directive SSLClientAuthRequire spécifie des valeurs d'attribut, ou des groupes de valeurs d'attribut, qui doivent être validées par rapport à un certificat client pour que le serveur autorise l'accès à la ressource protégée.
Nom | Description |
---|---|
Syntaxe | SSLClientAuthRequire expression d'attribut |
Portée | Configuration du serveur, hôte virtuel. |
Valeur par défaut | Aucune. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Autorisé. La fonction relie ces directives par "AND". |
Remplacer | AuthConfig |
Valeurs | Une expression logique composée de vérifications d'attributs reliée par AND,
OR, NOT, et les parenthèses. Exemple :
|
Si le certificat que vous avez reçu ne comporte pas d'attribut particulier, dans ce cas il n'y a pas de vérification de concordance des attributs. Même si la valeur correspondante spécifiée est " ", cela peut être différent de ne pas y avoir d'attribut du tout. Tout attribut spécifié dans la directive SSLClientAuthRequire qui n'est pas disponible sur le certificat, entraîne le rejet de la requête.
Nom long | Nom abrégé |
---|---|
CommonName | CN |
Pays | C |
E | |
IssuerCommonName | ICN |
IssuerEmail | IE |
IssuerLocality | IL |
IssuerOrg | IO |
IssuerOrgUnit | IOU |
IssuerPostalCode | IPC |
IssuerStateOrProvince | IST |
Localité | L |
Org | O |
OrgUnit | OU |
PostalCode | PC |
StateOrProvince | ST |
Le nom long ou le nom abrégé peut être utilisé dans cette directive.
L'utilisateur spécifie une expression logique des attributs de certificat client spécifique. Vous pouvez utiliser logiquement AND, OR ou NOT pour plusieurs expressions afin de spécifier les groupes de valeurs d'attributs de certificat client. Toute comparaison liée avec AND, OR ou NOT doit être placée entre parenthèses. Les opérateurs valides incluent '=' et '!='. L'utilisateur peut également spécifier un nom de groupe configuré à l'aide de La directive SSLClientAuthGroup pour configurer un groupe d'attributs.
SSLClientAuthRequire
((CommonName="John Doe") || (StateOrProvince=MN)) && (Org
!=IBM)
ou
SSLClientAuthRequire
(group!=IBMpeople) && (ST=MN)
SSLClientAuthRequire (group
!= IBMpeople) && ("ST= MN")
Pour plus d'informations, voir La directive SSLClientAuthGroup. Directive SSLClientAuthVerify
La directive SSLClientAuthVerify contrôle si IBM HTTP Server fait échouer les requêtes lorsqu'un certificat client est reçu, mais n'est pas validé (car il a expiré ou a été révoqué par exemple).
Nom | Description |
---|---|
Syntaxe | SSLClientAuthVerify statuscode|OFF |
Portée | Serveur global ou hôte virtuel. |
Valeur par défaut | 500 |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par section du répertoire. |
Valeurs | Code d'état de réponse HTTP, ou OFF |
Utilisez cette directive avec SSLClientAuth Optional Noverify pour fournir une page Web conviviale à la place du message d'erreur de navigateur standard.
Si vous configurez un hôte virtuel avec SSLClientAuth Optional Noverify, une connexion SSL peut être établie lorsqu'un certificat client est reçu, mais échoue à la validation (par exemple, s'il a expiré ou a été révoqué).
Utilisez cette directive dans un contexte comme Location ou Directory pour faire échouer les requêtes qui sont reçues sur cette connexion avec un code d'erreur spécifique, ou traitées normalement en définissant la valeur OFF.
En fournissant un document d'erreur personnalisé pour cet état, l'administrateur peut contrôleur la page présentée à l'utilisateur, par exemple, pour l'informer que son certificat n'est pas valide et fournir d'autres instructions.
Si ce document a été réacheminé vers une autre adresse URL sur le même hôte virtuel, assurez-vous que le paramètre SSLClientAuthVerify OFF est défini dans son contexte afin que celui-ci n'échoue pas immédiatement. Un exemple de ce scénario est présenté ci-après.
Le code d'état spécifié doit être un état de réponse qui est valide dans HTTP et connu d'IBM HTTP Server. Les valeurs sont comprises entre 100 et 599 et sont généralement définies dans une demande de commentaire (RFC) ou une proposition de normes. En cas de doute sur le code d'état, faites un essai dans une configuration de test et utilisez apachectl -t pour déterminer s'il est valide. Autres codes inutilisés qui sont valides et pourraient être pertinents : 418, 419, 420 et 421.
Le certificat client n'étant pas valide, le document d'erreur ne dispose d'aucune variable d'environnement supposée contenir des informations sur le certificat client. La raison pour laquelle la validation du certificat client a échoué est disponible dans la variable d'environnement SSL_LAST_VALIDATION_ERROR. Il peut s'agir de la variable GSKVAL_ERROR_REVOKED_CERT ou GSKVAL_ERROR_CERT_EXPIRED. Si plusieurs problèmes de validation se posent pour un certificat, la cause signalée est souvent GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT.
A chaque fois que la validation d'un certificat client échoue, deux messages sont consignés dans le journal des erreurs dans loglevel Error. Le deuxième message inclut la cause, par exemple :
[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] SSL0208E: SSL Handshake Failed,
Certificate validation error. [9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]
[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] Certificate validation error
during handshake, last PKIX/RFC3280 certificate validation error was
GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT
[9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]
<VirtualHost *:443
SSLClientAuth Optional Noverify
<Location />
SSLClientAuthVerify 419
</Location>
ErrorDocument 419 /error419.html
<Location /error419.html>
SSLClientAuthVerify OFF
</Location>
</VirtualHost>
Directive SSLCRLHostname (obsolète)
La directive SSLCRLHostname spécifie le nom ou l'adresse TCP/IP du serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).
Nom | Description |
---|---|
Syntaxe | <SSLCRLHostName <nom ou adresse TCP/IP> |
Portée | Serveur global ou hôte virtuel. |
Valeur par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Nom ou adresse TCP/IP du serveur LDAP |
Utilisez la directive SSLCRLHostname, conjointement aux directives SSLCRLPort, SSLCRLUserID et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).
Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..
Directive SSLCRLPort (obsolète)
La directive SSLCRLPort spécifie le port du serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).
Nom | Description |
---|---|
Syntaxe | SSLCRL<port> |
Portée | Serveur global ou hôte virtuel. |
Valeur par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Port du serveur LDAP par défaut = 389. |
Utilisez la directive SSLCRLPort, conjointement aux directives SSLCRLUserID, SSLCRLHostname et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).
Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..
Directive SSLCRLUserID (obsolète)
La directive SSLCRLUserID spécifie l'ID utilisateur à envoyer au serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).
Nom | Description |
---|---|
Syntaxe | SSLCRLUserID <[message] <idutilisateur> |
Portée | Serveur global ou hôte virtuel. |
Valeur par défaut | La valeur par défaut est anonyme si un ID utilisateur n'est pas indiqué. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | ID utilisateur du serveur LDAP. Utilisez l'option d'invite pour permettre au serveur HTTP de vous inviter à entrer le mot de passe pour accéder au serveur LDAP lors du démarrage. |
Utilisez la directive SSLCRLUserID, conjointement aux directives SSLCRLPort, SSLCRLHostname et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).
Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..
La directive SSLDisable
Nom | Description |
---|---|
Syntaxe | SSLDisable |
Portée | Serveur global ou hôte virtuel. |
Valeur par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Aucune. |
La directive SSLEnable
Nom | Description |
---|---|
Syntaxe | SSLEnable |
Portée | Serveur global ou hôte virtuel. |
Valeur par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Aucune. |
La directive SSLFakeBasicAuth
La directive SSLFakeBasicAuth active la prise en charge de l'authentification factice de base.
Nom | Description |
---|---|
Syntaxe | SSLFakeBasicAuth |
Portée | Au sein d'une section de répertoire, utilisée avec AuthName, AuthType, et les directives requises. |
Valeur par défaut | Aucune. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par section du répertoire. |
Valeurs | Aucune. |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
La directive SSLFIPSDisable
Nom | Description |
---|---|
Syntaxe | SSLFIPSDisable |
Portée | Virtuelle et globale. |
Valeur par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Aucune. |
La directive SSLFIPSEnable
La directive SSLFIPSEnable active les normes FIPS (Federal Information Processing Standards).
Cette directive est applicable aux plateformes réparties.

- La directive est uniquement valide pour une portée globale.
- Si vous modifiez la valeur de la directive, vous devez arrêter puis démarrer IBM HTTP Server pour que la nouvelle valeur prenne effet. Elle ne prendra effet que si vous procédez à un redémarrage.
Nom | Description |
---|---|
Syntaxe | SSLFIPSEnable |
Portée | Virtuelle et globale. |
Valeur par défaut | Désactivé par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Aucune. |
Directive SSLInsecureRenegotiation
La directive SSLInsecureRenegotiation détermine si la renégociation SSL (antérieure à RFC5746) non sécurisée est autorisée. La renégociation SSL, quel que soit son type, n'est pas courante et cette directive doit conserver sa valeur par défaut off.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Lorsque la valeur on est spécifiée, la renégociation SSL non sécurisée est autorisée. Lorsqu'elle a la valeur off (réglage par défaut), la renégociation SSL non sécurisée n'est pas autorisée.
Nom | Description |
---|---|
Syntaxe | SSLInsecureRenogotiation directive on|off |
Portée | Hôtes virtuels |
Valeur par défaut | désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global |
Valeurs | on|off |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
La directive SSLPKCSDriver
La directive SSLPKCSDriver identifie le nom qualifié complet au module ou le pilote utilisé pour accéder à l'unité PKCS11.
Nom | Description |
---|---|
Syntaxe | Nom qualifié complet du module utilisé pour accéder à l'unité PKCS11>. Si le module existe dans le chemin d'accès de l'utilisateur, indiquez uniquement le nom du module. |
Portée | Serveur global ou hôte virtuel. |
Valeur par défaut | Aucune. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Chemin d'accès et nom du pilote ou du module PKCS11. |
- nCipher
- AIX : /opt/nfast/toolkits/pkcs11/libcknfast.so
- HP : /opt/nfast/toolkits/pkcs11/libcknfast.sl
- Solaris : /opt/nfast/toolkits/pkcs11/libcknfast.so
- Windows : c:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
- AIX : /usr/lib/pkcs11/PKCS11_API.so
- Windows : $PKCS11_HOME\bin\nt\cryptoki.dll
- IBM e-business Cryptographic Accelerator
- AIX : /usr/lib/pkcs11/PKCS11_API.so
Directive SSLProtocolDisable
La directive SSLProtocolDisable vous permet de spécifier un ou plusieurs protocoles SSL qui ne peuvent pas être utilisés par le client pour un hôte virtuel donné. Cette directive doit être située dans un conteneur <HôteVirtuel>.
Nom | Description |
---|---|
Syntaxe | SSLProtocolDisable <nom de protocole> |
Portée | Hôte virtuel |
Valeur par défaut | Désactivé Avertissement : Le protocole SSL Version 2 est désactivé par défaut avec d'autres méthodes.
|
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Plusieurs instances autorisées par hôte virtuel. |
Valeurs | Les possibles valeurs suivantes sont disponibles pour cette directive.
|
La valeur TLS désactive toutes les versions TLS.
La valeur TLSv1 désactive TLS Version 1.0.
La valeur TLSv1.1 désactive TLS version 1.1.
La valeur TLSv1.2 désactive TLS version 1.2.
<VirtualHost *:443> SSLEnable SSLProtocolDisable SSLv2
SSLv3 (toute autre directive) </VirtualHost>
Directive SSLProtocolEnable
La directive SSLProtocolEnable peut être utilisée pour activer des protocoles SSL individuels.
Sur les plateformes réparties, cette directive a une utilité limitée car tous les protocoles utiles sontautomatiquement activés par défaut.
Sur z/OS, cette directive peut être utilisée après que le service z/OS ajoute une prise en charge pour TLSv1.1 et TLSv1.2. Les protocoles TLSv1.1 et TLSv1.2
ne sont pas activés par défaut sur un serveur IBM HTTP Server qui s'exécute sur z/OS.
Nom | Description |
---|---|
Syntaxe | SSLSuiteBMode |
Portée | Hôte virtuel |
Valeur par défaut | Non définie |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Plusieurs instances autorisées par hôte virtuel. |
Directive SSLProxyEngine
Nom | Description |
---|---|
Syntaxe | SSLProxyEngine on|off |
Portée | Hôtes virtuels basés sur l'IP |
Valeur par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une par hôte virtuel et par serveur global |
Valeurs | on|off |
Directive SSLRenegotiation
Nom | Description |
---|---|
Syntaxe | SSLRenegotiation on|off|LEGACY_AND_RFC5746 |
Valeur par défaut | Désactivé |
Module | mod_ibm_ssl |
Context | hôte virtuel |
Statut | extension |
Valeurs | on|off|LEGACY_AND_RFC5746 |
- OFF (par défaut)
- Aucune renégociation n'est autorisée.
- ON
- La renégociation sécurisée, comme définie actuellement par RFC5746, est autorisée.
- LEGACY_AND_RFC5746
- Les renégociations sécurisée et non sécurisée existante sont autorisées.
- Cette directive remplace la directive SSLInsecureRenegotiation dans IBM HTTP Server versions 8.0 et ultérieures.
- IBM HTTP Server 8.0.0.0 a la valeur par défaut ON (qui accepte les renégociations RFC5746).
- Avant la version 7.0.0.21, la bibliothèque de sécurité GSKit groupée ne considérait pas RFC5746, et "ON" se rapportait à la renégociation non sécurisée existante.
- La prise en charge de l'option LEGACY_AND_RFC5746 dépend d'IBM HTTP Server versions 7.0.0.21 et ultérieures.
Directive SSLServerCert
Nom | Description |
---|---|
Syntaxe | SSLServerCert [prompt] certificate_labelSSLServerCert [prompt|ecdsa_certificate_label]certificate_label |
Portée | Hôtes virtuels basés sur l'IP. |
Valeur par défaut | Aucune, mais un magasin de clés SSL a sa propre notion de certificat par défaut. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Libellé de certificat. Utilisez l'option /prompt pour permettre au serveur HTTP de vous inviter à entrer le mot de passe du jeton cryptographique lors du démarrage. N'utilisez pas de délimiteurs autour du libellé de certificat. Vérifiez que le libellé est indiqué sur une seule ligne ; les espaces en début et en fin de ligne sont ignorés. |
- Pour choisir un libellé de certificat autre que celui défini par défaut, spécifiez un paramètre unique dont la valeur correspond au libellé du certificat choisi.
- Pour utiliser un jeton cryptographique, spécifiez un nom de jeton cryptographique et un libellé de certificat séparés par un signe deux-points (mytoken:mylabel). Vous pouvez éventuellement spécifier /prompt comme premier paramètre afin d'afficher une invite interactive pour demander à l'utilisateur d'entrer le mot de passe de jeton cryptographique au lieu d'utiliser SSLStashFile.
- Pour configurer un certificat basé sur ECDSA et un certificat basé sur RSA, spécifiez deux libellés de certificat, séparés par un espace. Le certificat RSA sera utilisé par défaut, mais les clients prenant en charge le niveau TLS1.2 ou suivant peuvent nécessiter le certificat ECDSA lors de l'établissement de liaison.
SSLServerCert example.com
SSLServerCert myRSA, myECDSA
SSLServerCert swtoken:cert1
SSLSNIMap
La directive SSLSNIMap mappe les noms d'hôte SNI (Server Name Indication) TLS aux libellés de certificat.
Nom | Description |
---|---|
Syntaxe | SSLSNIMap hostname cert-label |
Portée | Hôte virtuel |
Valeur par défaut | Désactivé |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Plusieurs par hôte virtuel |
Valeurs | Noms d'hôte utilisés par le client et les libellés de certificat présents dans le fichier de clés configuré |
La directive SSLSNIMap permet au serveur de répondre avec un certificat TLS différent, en fonction du nom d'hôte demandé par le client. Si des hôtes virtuels basés sur un nom sont utilisés, SSLSNIMap doit être présent uniquement dans le premier hôte virtuel de la liste pour une combinaison ip:port (hôte virtuel par défaut pour un ensemble d'hôtes virtuels basés sur un nom).
Directive SSLStashfile
La directive SSLStashfile indique le chemin d'accès au fichier avec le nom du fichier contenant le mot de passe chiffré pour l'ouverture de l'unité PKCS1.
Nom | Description |
---|---|
Syntaxe | SSLStashFile /usr/HTTPServer/mystashfile.sth |
Portée | Hôte virtuel et serveur global. |
Valeur par défaut | Aucune. |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | Nom de fichier d'un fichier de dissimulation LDAP et/ou PKCS11 créé à l'aide de la commande sslstash. |
La directive SSLStashFile ne fait pas référence à un fichier de dissimulation du fichier de clés utilisé, car il est calculé automatiquement en se basant sur le nom du fichier de clés et constitue un type de fichier de dissimulation différent.
Utilisez la commande sslstash, située dans le répertoire bin d'IBM HTTP Server, afin de créer votre fichier CRL ou fichier de dissimulation d'appareil cryptographique. Le mot de passe indiqué à l'aide la commande sslstash doit être identique à celui que vous avez utilisé pour vous connecter au serveur LDAP ou au matériel de cryptographie.
- Ne remplacez pas un fichier *.sth existant lorsque vous émettez la commande sslstash.
- Ne choisissez jamais de nom de fichier pour la sortie de la commande sslstash qui correspond au nom d'un fichier de clés CMS (*.kdb).
Syntaxe : sslstash [-c] <répertoire_du_fichier_des_mots_de_passe_et_nom_du_fichier> <nom_de_fonction> <mot_de_passe>
- -c : crée un fichier de stockage. Si rien n'est indiqué, un fichier existant est mis à jour.
- Fichier : représente le nom complet du fichier à créer ou à mettre à jour.
- Fonction : indique la fonction pour laquelle utiliser le mot de passe. Les valeurs valides sont crl, ou crypto.
- Mot de passe : représente le mot de passe à stocker.
Utilisez la directive SSLStashFile, conjointement avec les directives SSLCRLPort, SSLCRLHostname et SSLCRLUserID, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).
Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..
SSLSuiteBMode
La directive SSSLSuiteBMode peut être utilisée pour configurer l'hôte virtuel afin d'utiliser le profil Suite B pour TLS.
Le profil Suite B réduit considérablement l'algorithme de signature disponible et les spécifications de chiffrement utilisées par le serveur. L'ensemble d'algorithmes et de chiffrements acceptables peut être modifié en cas de modification des normes appropriées. Les arguments 128 et 192 font référence aux deux niveaux de sécurité décrit dans la spécification RFC 6460.
Lorsque cette directive est indiquée, elle remplace la plupart des directives préalablement spécifiées. Le paramètre SSLAttributeSet n'est pas remplacé par cette directive car il a une plus priorité plus élevée. Tous les profils SuiteB impliquent que la chaîne de certificats du serveur soit utilise pour les signatures ECC fortes. La spécification RFC 6460 détaille les restrictions du profil Suite B.
Nom | Description |
---|---|
Syntaxe | SSLSuiteBMode |
Portée | Hôte virtuel |
Valeur par défaut | Non définie |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une fois par hôte virtuel |
Directive SSLTrace
La directive SSLTrace permet la journalisation du débogage dans mod_ibm_ssl. Elle est utilisée en association avec la directive LogLevel. Pour activer la consignation du débogage dans mod_ibm_ssl, définissez LogLevel pour le débogage et ajoutez la directive SSLTrace à la portée globale dans le fichier de configuration d'IBM HTTP Server, après la directive LoadModule de mod_ibm_ssl. Cette directive est généralement utilisée à la demande du support technique d'IBM lors de la recherches liées à un problème suspecté avec mod_ibm_ssl. Il n'est pas recommandé d'activer cette directive dans des conditions de fonctionnement normal.
Nom | Description |
---|---|
Syntaxe | SSLTrace |
Portée | Global |
Valeur par défaut | La journalisation du débogage mod_ibm_ssl n'est pas activée |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Ignoré |
Valeurs | Aucune |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
SSLUnknownRevocationStatus
La directive SSLUnknownRevocationStatus indique comment IBM HTTP Server réagit lorsqu'IBM HTTP Server ne peut pas déterminer d'emblée l'état de révocation, acheminé via CRL ou OCSP.
Nom | Description |
---|---|
Syntaxe | SSLUnknownRevocationStatus ignore | log | log_always | deny |
Portée | Hôte virtuel |
Valeur par défaut | Ignorer |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une seule instance autorisée pour chacun des hôtes virtuels. |
Valeurs |
|
%{SSL_UNKNOWNREVOCATION_SUBJECT}e
Vous pouvez également utiliser la variable dans des expressions mod_rewrite lorsque la directive SSLUnknownRevocationStatus a une valeur autre que deny. Utilisez le nom de variable suivant :
%{ENV:SSL_UNKNOWNREVOCATION_SUBJECT}
Directive SSLV2Timeout
La directive SSLV2Timeout définit le délai pour les ID de la session SSL version 2.
Nom | Description |
---|---|
Syntaxe | SSLV2Timeout 60 |
Portée | Base globale et hôte virtuel. |
Valeur par défaut | 40 |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | 0 à 100 secondes. |
La directive SSLV3Timeout
La directive SSLV3Timeout définit le délai pour les ID de session SSL version 3 et de session TLS.
Nom | Description |
---|---|
Syntaxe | SSLV3Timeout 1000 |
Portée | Base globale et hôte virtuel.
|
Valeur par défaut | 120 |
Module | mod_ibm_ssl |
Plusieurs instances dans le fichier de configuration | Une instance par hôte virtuel et par serveur global. |
Valeurs | 0 à 86400 secondes. |
La directive SSLVersion
La directive SSLVersion entraîne le refus d'accès aux objets, avec une réponse 403, si le client s'est connecté avec une version du protocole SSL autre que celle indiquée.
Dans la plupart des cas, la directive SSLProtocolDisable est un choix plus judicieux que la directive SSLVersion pour garantir l'utilisation de versions de protocoles SSL particulières. La directive SSLProtocolDisable permet, le cas échéant, au navigateur client de négocier une autre version du protocole, tandis que la directive SSLVersion oblige IBM HTTP Server à envoyer une réponse 403, ce qui peut dérouter l'utilisateur.
Nom | Description | |
---|---|---|
Syntaxe | SSLVersion ALL | |
Portée | Un par section du répertoire. | |
Valeur par défaut | Aucune. | |
Module | mod_ibm_ssl | |
Plusieurs instances dans le fichier de configuration | Une instance par section <Directory> ou <Location>. | |
Valeurs | ![]() |
![]() |