[AIX Solaris HP-UX Linux Windows][z/OS]

Directives SSL

Les directives SSL (Secure Sockets Layer) sont les paramètres de configuration qui contrôlent les fonctionnalités SSL dans IBM® HTTP Server.

Vous pouvez spécifier un grand nombre de directives SSL (Secure Sockets Layer) dans IBM HTTP Server, soit dans une section <virtualHost> ou de manière globale en dehors d'une section <virtualHost>.

La plupart des directives valides dans ces deux contextes ne sont pas copiées ou fusionnées à partir de la configuration globale dans la configuration de l'hôte virtuel, à l'exception des directives suivantes : SLEnable, SSLDisable, KeyFile, SSLServerCert, SSLTrace, SSLv2Timeout et SSLv3Timeout. La plupart des autres directives valides dans la portée d'hôte virtuel activé par SSL doivent être spécifiées de manière explicite dans l'hôte virtuel activé par SSL pour prendre effet. Voici deux exemples de directives SSL qui ne sont pas fusionnées ou copiées : SSLCipherSpec et Uncompromisable.

Pour les directives SSL spécifiées dans une portée de bibliothèque (<Location>, <Directory> ou htaccess), les sections de configuration d'une portée plus générale sont fusionnées avec les sections de connfiguration d'une portée plus spécifique. Voici quelques exemples de directives de ce type : SSLCipherBan, SSLCipherRequire, SSLClientAuthRequire, and SSLVersion. Ces directives sont moins fréquentes que celles décrites précédemment.

Sauf lorsqu'il s'agit d'une directive keyfile spécifiée de manière globale, évitez dans la mesure du possible de fusionner des configurations. Prenez soin de toujours tester le résultat d'une configuration qui dépend de la fusion de plusieurs portées de configuration.

SSLOCSPResponderURL

La directive SSLOCSPResponderURL permet de vérifier les certificats client grâce à un répondeur OCSP (Online Certificate Status Protocol) configuré de manière statique.
Nom Description
Syntaxe

[AIX Solaris HP-UX Linux Windows]SSLOCSPResponderURL<URL>

Portée Hôte virtuel
Valeur par défaut Désactivé
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une par hôte virtuel
Valeurs URL qualifiée complète pointant sur un répondeur OCSP ; exemple : http://hostname:2560/.

Même si la vérification CRL est configurée, la vérification OCSP est effectuée avant celle-ci. La vérification CRL n'intervient que si le résultat de la CRL est inconnu ou non concluant.

Si la directive SSLOCSPResponderURL est définie, IBM HTTP Server utilise l'URL indiquée pour vérifier la révocation éventuelle des certificats lorsqu'un certificat client SSL est fourni.

Si les directives SSLOCSPEnable et SSLOCSPResponderURL sont configurées toutes les deux, c'est le répondeur défini par SSLOCSPResponderURL qui est vérifié en premier. Si l'état de la révocation est inconnu ou non concluant, IBM HTTP Server vérifie les répondeurs OCSP pour SSLOCSPEnable.
Eviter les incidents Eviter les incidents: Dans certains cas, IBM HTTP Server n'est pas capable de déterminer l'état de révocation d'un certificat client car le serveur dorsal, qui est la source des données de révocation, n'est pas disponible. Vous devez prendre en compte les éléments suivants :
  • Un référentiel CRL statique (SSLCRLHost) doit être configuré pour activer la vérification d'autres formats d'URI dans les zones CRLDistributionPoint.
  • Si les certificats utilisent les formats d'URI LDAP ou HTTP de CertificateDistributionPoint ou des extensions AIA, veillez à ce que le système IBM HTTP Server puisse établir des connexions sortantes de ce type. Il peut s'avérer nécessaire d'ajuster les paramètres du pare-feu.
  • [AIX Solaris HP-UX Linux Windows]La directive SSLUnknownRevocationStatus est fournie dans les cas où des erreurs rémédiables se produisent dans IBM HTTP Server lorsqu'il communique avec le serveur dorsal et où IBM HTTP Server ne peut pas déterminer l'état de révocation d'un certificat. Le comportement par défaut consiste à continuer à traiter l'établissement de liaison à moins que le serveur dorsal puisse indiquer que le certificat est révoqué.
  • [z/OS]Une demande de liste de révocation de certificat ne peut être soumise qu'à un serveur LDAP configuré de manière explicite et l'établissement de liaison SSL échoue si le serveur dorsal n'est pas accessible.
gotcha

SSLOCSPEnable

La directive SSLOCSPEnable permet la vérification des certificats client via les répondeurs OCSP définis dans l'extension AIA (Authority Information Access) de leur certificat.
Nom Description
Syntaxe

[AIX Solaris HP-UX Linux Windows]SSLOCSPEnable

Portée Hôte virtuel
Valeur par défaut Désactivé
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une seule instance autorisée pour chacun des hôtes virtuels.
Valeurs Aucune

Si la directive SSLOCSPEnable est définie et qu'une chaîne de certificats client SSL contient une extension AIA, IBM HTTP Server contacte le répondeur OCSP indiqué par cette extension pour vérifier la révocation éventuelle du certificat.

Si les vérifications OCSP et CRL sont configurées conjointement, la première est effectuée avant la seconde. La vérification CRL n'intervient que si le résultat de la vérification OCSP est inconnu ou non concluant.

Si les directives SSLOCSPEnable et SSLOCSPResponderURL sont configurées toutes les deux, c'est le répondeur défini par SSLOCSPResponderURL qui est vérifié en premier. Si l'état de la révocation est inconnu ou non concluant, IBM HTTP Server vérifie les répondeurs OCSP pour SSLOCSPEnable.

Directive Keyfile

La directive keyfile définit le fichier de clés à utiliser.
Avertissement : Cette directive peut être remplacée par la configuration du serveur de base.
Nom Description
Syntaxe
[AIX][Solaris][HP-UX][Linux][Windows]Keyfile [/prompt] /chemin d'accès complet au fichier de clés/keyfile.kdb
[z/OS]Avertissement : La fonction /prompt n'est prise en charge que lors de l'exécution à partir d'un interpréteur de commandes USS et non à partir d'un travail démarré depuis JCL. Si vous tentez d'utiliser la fonction /prompt à partir d'un travail démarré depuis JCL, une erreur de configuration se produit.
[z/OS]Vous pouvez utiliser un fichier de clé stocké dans le système hiérarchique de fichiers ou dans le SAF (System Authorization Facility). Pour utiliser un fichier de clés stockés dans HFS :
  • Keyfile /chemin d'accès complet au fichier de clés/keyfile.kdb
Pour utiliser un fichier de clés stocké dans SAF :
  • Keyfile /saf WASKeyring
    Important : Avec des fichiers de clés SAF :
    • Il n'existe aucun fichier de dissimulation lors de l'utilisation de SAF et l'accès est contrôlé par les règles SAF. Par conséquent, si vous tentez d'utiliser l'argument keyfile/prompt/saf, ce dernier n'est pas pris en charge. Une tentative d'utilisation de cet argument se traduit par une erreur de configuration.
    • L'ID utilisé pour démarrer IBM HTTP Server doit bénéficier d'un accès au fichier de clés nommé dans cette directive. Si l'ID n'a pas d'accès, l'initialisation SSL échoue.
Portée Base globale et hôte virtuel
Valeur par défaut Aucune
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global
Valeurs Nom du fichier de clés.

[AIX Solaris HP-UX Linux Windows]Utilisez l'option d'invite pour permettre au serveur HTTP de vous inviter à entrer le mot de passe du fichier de clés lors du démarrage.

[z/OS]La protection du système de fichier peut être utilisée pour limiter l'accès. Utilisez les fichiers de clés SAF (System Authorization Facility) pour limiter l'accès aux certificats SSL.

[z/OS]Important : Le système z/OS ne prend pas en charge les fichiers de base de données de clé créés sur d'autres plateformes. Les fichiers de base de données de clés utilisés pour les systèmes z/OS doivent être créés sur des plateformes z/OS.
Une seule configuration parmi les suivantes peut être utilisée pour le type de fichier de clés :
  • [AIX Solaris HP-UX Linux Windows]Services CMS (Certificate Management Services)
  • [z/OS]Service CMS ou fonction Resource Access Control Facility (RACF)

La directive SSLAcceleratorDisable

La directive SSLAcceleratorDisable désactive l'unité d'accélérateur.
Nom Description
Syntaxe SSLAcceleratorDisable
Portée Virtuelle et globale
Valeur par défaut L'unité d'accélérateur est activée
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel.
Valeurs Aucune. Placez cette directive n'importe où dans le fichier de configuration, y compris à l'intérieur de l'hôte virtuel. Pendant l'initialisation, si le système détermine qu'une unité d'accélérateur est installée sur la machine, le système utilise cet accélérateur pour augmenter le nombre de transactions sécurisées. Cette directive n'accepte pas d'argument.
[AIX Solaris HP-UX Linux Windows]

Directive SSLAllowNonCriticalBasicConstraints

La directive SSLAllowNonCriticalBasicConstraints permet une compatibilité avec un aspect de la spécification GPKI définie par le gouvernement japonais qui va à l'encontre de la norme RFC3280.
Nom Description
Syntaxe SSLAllowNonCriticalBasicConstraints on|off
Portée Serveur global ou hôte virtuel
Valeur par défaut Désactivé
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global
Valeurs Aucune. Cette directive modifie le comportement de l'algorithme de validation de certificat, si bien que dans le cas d'une extension non critique des contraintes de base d'un certificat émis par une autorité de certification (CA), la validation n'échoue pas. Cela permet une compatibilité avec un aspect de la spécification GPKI définie par le gouvernement japonais qui va à l'encontre de la norme RFC3280.
Avertissement : La norme RFC3280 spécifie que cette extension doit apparaître en tant qu'extension critique dans tous les certificats émis par des autorisés de certification qui contiennent des clés publiques utilisées pour valider les signatures numériques des certificats.
[AIX][HP-UX][Linux][Solaris][z/OS]

La directive SSLCacheDisable

La directive SSLCacheDisable désactive la mémoire cache des ID de session SSL externes.
Nom Description
Syntaxe SSLCacheDisable
Portée Un par instance de serveur Apache physique, autorisé uniquement en dehors des sections de l'hôte virtuel.
Valeur par défaut Aucune
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Aucune.
[AIX][HP-UX][Linux][Solaris][z/OS]

La directive SSLCacheEnable

La directive SSLCacheEnable active la mémoire cache des ID de session SSL externes.
Nom Description
Syntaxe SSLCacheEnable
Portée Un par instance de serveur Apache physique, autorisé uniquement en dehors des sections de l'hôte virtuel.
Valeur par défaut Aucune
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Aucune.
[AIX][HP-UX][Linux][Solaris][z/OS]

La directive SSLCacheErrorLog

La directive SSLCacheErrorLog définit le nom du fichier pour la mise en cache des ID de session.
Nom Description
Syntaxe SSLCacheErrorLog /usr/HTTPServer/logs/sidd_logg
Portée Configuration du serveur en dehors de l'hôte virtuel.
Valeur par défaut Aucune
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Nom de fichier valide.
[AIX][HP-UX][Linux][Solaris][z/OS]

La directive SSLCachePath

La directive SSLCachePath spécifie le chemin d'accès au démon de mise en cache des ID de session. A moins que plusieurs instances d'IHS, avec plusieurs paramètres ServerRoot ou -d ne partagent une même installation, il n'est pas nécessaire de spécifier cette directive.

Si plusieurs instances d'IHS sont utilisées avec une racine de serveur autre que celle décrite précédemment, cette directive doit être utilisée pour pointez cette instance d'IHS vers le chemin d'accès au binaire bin/sidd dans la racine d'installation unique au lieu des racines de serveur utilisées par défaut.

Il n'y a aucune raison pratique de copier le binaire bin/sidd ou d'utiliser cette directive pour spécifier autre chose que le binaire bin/sidd installé sous la racine de serveur lorsque plusieurs instances sont utilisées. Il n'est pas nécessaire que cette directive varie entre les instances d'IHS qui partagent les mêmes binaires.

Nom Description
Syntaxe SSLCachePath /usr/HTTPServer/bin/sidd
Portée Configuration du serveur en dehors de l'hôte virtuel.
Valeur par défaut <racine-serveur>/bin/sidd
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Nom de chemin d'accès valide.
[AIX][HP-UX][Linux][Solaris][z/OS]

La directive SSLCachePortFilename

La directive SSLCachePortFilename définit le nom de fichier pour le socket de domaine UNIX utilisé pour communiquer entre les instances du serveur et le démon de la mémoire cache des ID de session. Vous devez définir cette directive si vous exécutez deux instances d'IBM HTTP Server à partir du même répertoire d'installation et si ces deux instances sont configurées pour SSL. Autrement, il n'est pas nécessaire de la définir.
Nom Description
Syntaxe SSLCachePortFilename /usr/HTTPServer/logs/siddport
Portée Configuration du serveur en dehors de l'hôte virtuel.
Valeur par défaut Si cette directive n'est pas indiquée et que la mémoire cache est activée, le serveur tente d'utiliser le fichier <racine-serveur>/logs/siddport.
REMARQUES
  • Pour AIX, la valeur par défaut est /usr/HTTPServer/logs/siddport.
  • Pour Solaris, la valeur par défaut est /opt/IBMHTTPD/logs/siddport.
  • Non valide sous Windows NT
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Nom de chemin d'accès valide. Le serveur Web supprime ce fichier au démarrage ; n'utilisez pas un nom de fichier existant.
[AIX][HP-UX][Linux][Solaris][z/OS]

La directive SSLCacheTraceLog

La directive SSLCacheTraceLog spécifie le fichier dans lequel les messages de trace des ID de session sont écrits. Sans cette directive, la fonction de trace est désactivée.
Nom Description
Syntaxe SSLCacheTraceLog /usr/HTTPServer/logs/sidd-trace.log
Portée Configuration du serveur en dehors de l'hôte virtuel.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Pas autorisé.
Valeurs Nom de chemin d'accès valide.

La directive SSLCipherBan

La directive SSLCipherBan refuse l'accès à un objet si le client s'est connecté à l'aide de l'un des codes de chiffrement indiqués. La requête échoue avec un code d'état '403'.
Avertissement : Cette directive, lorsqu'elle est spécifiée pour un répertoire enfant, ne remplace pas la directive spécifiée pour le répertoire parent. Au contraire, les deux directives sont appliquées au répertoire enfant.
Nom Description
Syntaxe SSLCipherBan <spécification-chiffrement>
Portée Plusieurs instances par section de répertoire.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé par section du répertoire. L'ordre de préférence est de haut en bas.
Valeurs Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL.

La directive SSLCipherRequire

La directive SSLCipherRequire limite l'accès aux objets aux clients qui se sont connectés à l'aide de l'un des codes de chiffrement spécifiés. Si l'accès est refusé, la requête échoue avec le code d'état '403'.
Avertissement : Cette directive, lorsqu'elle est spécifiée pour un répertoire enfant, ne remplace pas la directive spécifiée pour le répertoire parent. Au contraire, les deux directives sont appliquées au répertoire enfant.
Nom Description
Syntaxe SSLCipherRequire <spécification-chiffrement>
Portée Plusieurs instances par section de répertoire.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé par section du répertoire.
Valeurs Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL

La directive SSLCipherSpec

La directive SSLCipherSpec permet de personnaliser les chiffrements SSL pris en charge au cours de l'établissement de la liaison. Vous pouvez personnaliser l'ensemble des chiffrements SSL et l'ordre des préférences de ces derniers.

[AIX Solaris HP-UX Linux Windows]Sur les plateformes réparties, chaque protocole possède sa propre liste ordonnée de chiffrements. Les protocoles pris en charge sont SSL version 2, SSL version 3, TLS version 1.0, TLS version 1.1 et TLS version 1.2.

[z/OS]Sous z/OS, il existe uniquement deux listes de chiffrements activés, l'une pour SSL version 2 et l'autre pour les autres protocoles. Les protocoles pris en charge sont SSL version 2, SSL version 3 et TLS version 1.0.

Les chiffrements SSL Version 2 sont configurés par défaut sur aucun chiffrement, ce qui signifie que le protocole est désactivé. Les autres protocoles sont configurés par défaut sur un ensemble de chiffrements SSL qui excluent les chiffrements null, les chiffrements d'exportation et les chiffrements faibles.

Lorsque vous utilisez le format d'argument simple de SSLCipherSpec, le chiffrement donné est activé dans tous les protocoles pour lesquels il est valide. La première fois qu'une telle modification est effectuée pour chaque protocole, les chiffrements par défaut pour le protocole sont annulés.

Lorsque vous utilisez le format d'argument simple de SSLCipherSpec en spécifiant le nom d'un protocole SSL (ou "ALL") comme premier argument, vous pouvez utiliser une syntaxe avancée offrant les avantages suivants :

  • Plusieurs chiffrements peuvent être répertoriés avec chaque occurrence de SSLCipherSpec
  • Des chiffrements individuels peuvent être supprimés de l'ensemble en cours de chiffrements activés en ajoutant le préfixe "-" à leur nom.
  • La première fois qu'une liste de chiffrements de protocole donnée est modifiée, le chiffrement donné peut être ajouté à la fin des chiffrements par défaut, au lieu de les remplacer, en ajoutant le préfixe "+" à son nom.

Si vous fournissez le nom de protocole "ALL", l'ajout ou la suppression spécifié pour chaque nom de chiffrement est appliqué à chaque protocole pour lequel ce chiffrement est valide.

Exceptionnellement, pour vider toutes les listes de chiffrements à l'aide d'une commande unique, spécifiez SSLCipherSpec ALL NONE. L'utilisation de cette commande est un moyen efficace pour démarrer une configuration à chaque fois que vous ne voulez pas utiliser les chiffrements par défaut.

Nom Description
[z/OS]Syntaxe [z/OS]SSLCipherSpec nom abrégé ou SSLCipherSpec nom long
[AIX Solaris HP-UX Linux Windows]Syntaxe [AIX Solaris HP-UX Linux Windows]SSLCipherSpec [nom_protocole] [+|-]nom abrégé|nom long [[+|-]nom abrégé|nom long ...]
Portée Configuration du serveur, hôte virtuel.
Valeur par défaut Si rien n'est indiqué, le serveur utilise toutes les spécifications des chiffrements disponibles autres que le chiffrement NULL, d'exportation et faible.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé. L'ordre de préférence est de haut en bas, du premier au dernier.
[AIX Solaris HP-UX Linux Windows]Valeurs pour le nom de protocole sur des plateformes réparties [AIX Solaris HP-UX Linux Windows]SSLv2, SSLv3, TLSv10, TLSv11, TLSv12, ALL
[z/OS]Valeurs pour le nom de protocole sous z/OS [z/OS]SSLv2, SSLv3, TLSv10, ALL
Valeurs pour les noms de chiffrement Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL
Exemple 1
Si vous souhaitez ne sélectionner qu'un nombre réduit de chiffrements, il est préférable de redéfinir tout d'abord toutes les listes de chiffrement et d'ajouter ensuite celles que vous voulez utiliser :
# Supprimer tous
les chiffrements des listes de chiffrements SSLCipherSpec ALL NONE 
# Ajouter quelques chiffrements spécifiques SSLCipherSpec ALL 
   +SSL_RSA_WITH_3DES_EDE_CBC_SHA SSLCipherSpec
ALL +TLS_RSA_WITH_AES_256_CBC_SHA 
Exemple 2 Si vous voulez utiliser la plupart des chiffrements par défaut, à l'exception d'un ou deux, vous pouvez supprimer ces derniers des listes dans lesquelles ils se trouvent :
# Delete some specific ciphers from the protocols 
where they are valid 
SSLCipherSpec ALL -SSL_RSA_WITH_RC4_128_MD5
SSLCipherSpec ALL -SSL_RSA_WITH_RC4_128_SHA 

Directive SSLClientAuth

La directive SSLClientAuth définit le mode d'authentification client à utiliser (néant (0), facultatif (1), ou requis (2)).
Nom Description
Syntaxe SSLClientAuth <niveau requis> [crl]
Portée Hôte virtuel.
Valeur par défaut SSLClientAuth none
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel.
Valeurs
  • 0/None : Aucun certificat client requis.
  • 1/Optional : Certificat client demandé, mais pas requis.
  • 2/Required : Certificat client valide requis.
  • Required_reset : Le serveur exige qu'un certificat valide soit présenté par tous les clients et, à défaut, il envoie une alerte SSL au client. Cette alerte permet au client de comprendre que l'échec SSL est lié au certificat client. Les navigateurs affichent alors des invites demandant des informations sur les certificats client lors des accès ultérieurs. Cette option requiert GSKit version 7.0.4.19 ou suivante, ou z/OS V1R8 ou suivante.
    Important : Aucune option numérique n'est fournie, contrairement aux options existantes.
  • CRL : Active et désactive la liste de révocation de certificat (CRL) sur un hôte virtuel SSL. Si vous utilisez CRL, vous devez spécifier crl comme deuxième argument pour SSLClientAuth. Par exemple : SSLClientAuth 2 crl. Si vous n'indiquez pas crl, vous ne pouvez pas effectuer une liste de retrait de certificats dans un hôte virtuel SSL.
  • noverify : Permet à l'établissement de liaison SSL d'aboutir et d'établir une connexion, même si le certificat fourni par le client n'est pas validé (par exemple, si ce dernier a expiré ou a été révoqué). Utilisez cette directive avec SSLClientAuthVerify pour fournir une page Web conviviale à la place du message d'erreur de navigateur standard. Cette option n'est valide qu'avec Optional. Utilisez SSLClientAuthVerify pour faire échouer les demandes reçues sur la connexion avec le certificat client non valide.

Si vous indiquez la valeur 0/None, vous ne pouvez pas utiliser l'option CRL.

Required_reset Le serveur exige qu'un certificat valide soit présenté par tous les clients et, à défaut, il envoie une alerte SSL au client. Cela permet au client de comprendre que l'échec SSL est lié au certificat client. Les navigateurs affichent alors des invites demandant des informations sur les certificats client lors des accès ultérieurs. Cette option requiert GSKit version 7.0.4.19 ou suivante, ou z/OS V1R8 ou suivante.
Eviter les incidents Eviter les incidents: Dans certains cas, IBM HTTP Server n'est pas capable de déterminer l'état de révocation d'un certificat client car le serveur dorsal, qui est la source des données de révocation, n'est pas disponible. Vous devez prendre en compte les éléments suivants :
  • Un référentiel CRL statique (SSLCRLHost) doit être configuré pour activer la vérification d'autres formats d'URI dans les zones CRLDistributionPoint.
  • Si les certificats utilisent les formats d'URI LDAP ou HTTP de CertificateDistributionPoint ou des extensions AIA, veillez à ce que le système IBM HTTP Server puisse établir des connexions sortantes de ce type. Il peut s'avérer nécessaire d'ajuster les paramètres du pare-feu.
  • [AIX Solaris HP-UX Linux Windows]La directive SSLUnknownRevocationStatus est fournie dans les cas où des erreurs rémédiables se produisent dans IBM HTTP Server lorsqu'il communique avec le serveur dorsal et où IBM HTTP Server ne peut pas déterminer l'état de révocation d'un certificat. Le comportement par défaut consiste à continuer à traiter l'établissement de liaison à moins que le serveur dorsal puisse indiquer que le certificat est révoqué.
  • [z/OS]Une demande de liste de révocation de certificat ne peut être soumise qu'à un serveur LDAP configuré de manière explicite et l'établissement de liaison SSL échoue si le serveur dorsal n'est pas accessible.
gotcha

La directive SSLClientAuthGroup

La directive SSLClientAuthGroup définit un groupe d'expressions désigné contenant un ensemble de paires de valeurs et d'attributs de certificats clients spécifiques. Ce groupe désigné peut être utilisé par les directives SSLClientAuthRequire. Un certificat doit être fourni par le client, transmettant cette expression, pour que le serveur autorise l'accès à la ressource protégée.

Nom Description
Syntaxe SSLClientAuthGroup expression d'attribut nom de groupe
Portée Configuration du serveur, hôte virtuel.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé.
Remplacer Aucune.
Valeurs Une expression logique composée de vérifications d'attributs reliée par AND, OR, NOT, et les parenthèses. Exemple :
SSLClientAuthGroup IBMUSpeople (Org
=  IBM) AND (Country = US)

La section ci-après fournit une description d'exemples avec des expressions logiques valides. Par exemple : SSLClientAuthGroup ((CommonName = "Fred Smith") OR (CommonName = "John Deere")) AND (Org = IBM) signifie que l'objet n'est pas pris en charge, à moins que le certificat client ne contienne le nom commun Fred Smith ou John Deere et que l'organisation soit IBM. Les seules comparaisons valides pour les vérifications d'attributs sont égal et différent de (= et !=). Vous pouvez relier chaque vérification d'attribut avec AND, OR, ou NOT (également &&, ||, et !). Toute comparaison liée avec AND, OR ou NOT doit être placée entre parenthèses. Si la valeur de l'attribut contient un caractère non alphanumérique, vous devez délimiter la valeur avec des guillemets.

Cette liste contient les valeurs d'attribut que vous pouvez spécifier pour cette directive :
Tableau 1. Valeurs d'attribut pour la directive SSLClientAuthGroup. Le tableau répertorie chaque valeur d'attribut sous forme de nom long et de nom abrégé.
Nom long Nom abrégé
CommonName CN
Pays C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
Localité L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

Le nom long ou le nom abrégé peut être utilisé dans cette directive.

L'utilisateur spécifie une expression logique des attributs de certificat client spécifique. Vous pouvez utiliser logiquement AND, OR ou NOT pour plusieurs expressions afin de spécifier les groupes de valeurs d'attributs de certificat client. Toute comparaison liée avec AND, OR ou NOT doit être placée entre parenthèses. Les opérateurs valides incluent '=' et '!='. Exemple :
SSLClientAuthGroup IBMpeople Org = IBM)
ou
SSLClientAuthGroup NotMNIBM (ST != MN) && (Org = IBM) 

Un nom de groupe ne peut pas contenir d'espace. Pour plus d'informations, voir La directive SSLClientAuthRequire.

La directive SSLClientAuthRequire

La directive SSLClientAuthRequire spécifie des valeurs d'attribut, ou des groupes de valeurs d'attribut, qui doivent être validées par rapport à un certificat client pour que le serveur autorise l'accès à la ressource protégée.

Nom Description
Syntaxe SSLClientAuthRequire expression d'attribut
Portée Configuration du serveur, hôte virtuel.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Autorisé. La fonction relie ces directives par "AND".
Remplacer AuthConfig
Valeurs Une expression logique composée de vérifications d'attributs reliée par AND, OR, NOT, et les parenthèses. Exemple :
SSLClientAuthRequire (group != IBMpeople)
 && (ST = M)

Si le certificat que vous avez reçu ne comporte pas d'attribut particulier, dans ce cas il n'y a pas de vérification de concordance des attributs. Même si la valeur correspondante spécifiée est " ", cela peut être différent de ne pas y avoir d'attribut du tout. Tout attribut spécifié dans la directive SSLClientAuthRequire qui n'est pas disponible sur le certificat, entraîne le rejet de la requête.

La liste contient les valeurs d'attribut que vous pouvez spécifier pour cette directive :
Tableau 2. Valeurs d'attribut pour la directive SSLClientAuthRequire. Le tableau répertorie chaque valeur d'attribut sous forme de nom long et de nom abrégé.
Nom long Nom abrégé
CommonName CN
Pays C
Email E
IssuerCommonName ICN
IssuerEmail IE
IssuerLocality IL
IssuerOrg IO
IssuerOrgUnit IOU
IssuerPostalCode IPC
IssuerStateOrProvince IST
Localité L
Org O
OrgUnit OU
PostalCode PC
StateOrProvince ST

Le nom long ou le nom abrégé peut être utilisé dans cette directive.

L'utilisateur spécifie une expression logique des attributs de certificat client spécifique. Vous pouvez utiliser logiquement AND, OR ou NOT pour plusieurs expressions afin de spécifier les groupes de valeurs d'attributs de certificat client. Toute comparaison liée avec AND, OR ou NOT doit être placée entre parenthèses. Les opérateurs valides incluent '=' et '!='. L'utilisateur peut également spécifier un nom de groupe configuré à l'aide de La directive SSLClientAuthGroup pour configurer un groupe d'attributs.

Vous pouvez spécifier plusieurs directives SSLClientAuthRequire dans la même portée. Les expressions logiques pour chaque directive sont utilisées pour évaluer les droits d'accès de chaque certificat et les résultats des évaluations individuelles sont logiquement liées par ET (AND). Exemple :
SSLClientAuthRequire
((CommonName="John Doe") || (StateOrProvince=MN)) && (Org
!=IBM)  
ou
SSLClientAuthRequire
(group!=IBMpeople) && (ST=MN)
Vous pouvez placer les noms longs et abrégés entre guillemets. Exemple :
SSLClientAuthRequire (group
!= IBMpeople) && ("ST= MN")
Pour plus d'informations, voir La directive SSLClientAuthGroup.

Directive SSLClientAuthVerify

La directive SSLClientAuthVerify contrôle si IBM HTTP Server fait échouer les requêtes lorsqu'un certificat client est reçu, mais n'est pas validé (car il a expiré ou a été révoqué par exemple).

Nom Description
Syntaxe SSLClientAuthVerify statuscode|OFF
Portée Serveur global ou hôte virtuel.
Valeur par défaut 500
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par section du répertoire.
Valeurs Code d'état de réponse HTTP, ou OFF

Utilisez cette directive avec SSLClientAuth Optional Noverify pour fournir une page Web conviviale à la place du message d'erreur de navigateur standard.

Si vous configurez un hôte virtuel avec SSLClientAuth Optional Noverify, une connexion SSL peut être établie lorsqu'un certificat client est reçu, mais échoue à la validation (par exemple, s'il a expiré ou a été révoqué).

Utilisez cette directive dans un contexte comme Location ou Directory pour faire échouer les requêtes qui sont reçues sur cette connexion avec un code d'erreur spécifique, ou traitées normalement en définissant la valeur OFF.

En fournissant un document d'erreur personnalisé pour cet état, l'administrateur peut contrôleur la page présentée à l'utilisateur, par exemple, pour l'informer que son certificat n'est pas valide et fournir d'autres instructions.

Si ce document a été réacheminé vers une autre adresse URL sur le même hôte virtuel, assurez-vous que le paramètre SSLClientAuthVerify OFF est défini dans son contexte afin que celui-ci n'échoue pas immédiatement. Un exemple de ce scénario est présenté ci-après.

Le code d'état spécifié doit être un état de réponse qui est valide dans HTTP et connu d'IBM HTTP Server. Les valeurs sont comprises entre 100 et 599 et sont généralement définies dans une demande de commentaire (RFC) ou une proposition de normes. En cas de doute sur le code d'état, faites un essai dans une configuration de test et utilisez apachectl -t pour déterminer s'il est valide. Autres codes inutilisés qui sont valides et pourraient être pertinents : 418, 419, 420 et 421.

Le certificat client n'étant pas valide, le document d'erreur ne dispose d'aucune variable d'environnement supposée contenir des informations sur le certificat client. La raison pour laquelle la validation du certificat client a échoué est disponible dans la variable d'environnement SSL_LAST_VALIDATION_ERROR. Il peut s'agir de la variable GSKVAL_ERROR_REVOKED_CERT ou GSKVAL_ERROR_CERT_EXPIRED. Si plusieurs problèmes de validation se posent pour un certificat, la cause signalée est souvent GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT.

A chaque fois que la validation d'un certificat client échoue, deux messages sont consignés dans le journal des erreurs dans loglevel Error. Le deuxième message inclut la cause, par exemple :

[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] SSL0208E: SSL Handshake Failed, 
   Certificate validation error. [9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]
[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] Certificate validation error 
   during handshake, last PKIX/RFC3280 certificate validation error was 
   GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT 
   [9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]
Exemple de configuration :
<VirtualHost *:443
SSLClientAuth Optional Noverify
<Location />
SSLClientAuthVerify 419
</Location>
ErrorDocument 419 /error419.html
<Location /error419.html>
SSLClientAuthVerify OFF
</Location>
</VirtualHost>

Directive SSLCRLHostname (obsolète)

La directive SSLCRLHostname spécifie le nom ou l'adresse TCP/IP du serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).

Nom Description
Syntaxe <SSLCRLHostName <nom ou adresse TCP/IP>
Portée Serveur global ou hôte virtuel.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Nom ou adresse TCP/IP du serveur LDAP

Utilisez la directive SSLCRLHostname, conjointement aux directives SSLCRLPort, SSLCRLUserID et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).

Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..

Directive SSLCRLPort (obsolète)

La directive SSLCRLPort spécifie le port du serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).

Nom Description
Syntaxe SSLCRL<port>
Portée Serveur global ou hôte virtuel.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Port du serveur LDAP par défaut = 389.

Utilisez la directive SSLCRLPort, conjointement aux directives SSLCRLUserID, SSLCRLHostname et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).

Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..

Directive SSLCRLUserID (obsolète)

La directive SSLCRLUserID spécifie l'ID utilisateur à envoyer au serveur LDAP où se trouve la base de données CRL (Certificate Revocation List).

Nom Description
Syntaxe SSLCRLUserID <[message] <idutilisateur>
Portée Serveur global ou hôte virtuel.
Valeur par défaut La valeur par défaut est anonyme si un ID utilisateur n'est pas indiqué.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs ID utilisateur du serveur LDAP. Utilisez l'option d'invite pour permettre au serveur HTTP de vous inviter à entrer le mot de passe pour accéder au serveur LDAP lors du démarrage.

Utilisez la directive SSLCRLUserID, conjointement aux directives SSLCRLPort, SSLCRLHostname et SSLStashfile, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).

Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..

La directive SSLDisable

La directive SSLDisable désactive SSL pour l'hôte virtuel.
Nom Description
Syntaxe SSLDisable
Portée Serveur global ou hôte virtuel.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Aucune.

La directive SSLEnable

La directive SSLEnable active SSL pour l'hôte virtuel.
Avertissement : Cette directive ne doit pas être spécifiée dans la configuration du serveur de base si vous ne voulez pas qu'elle soit automatiquement copiée dans la configuration d'un hôte virtuel donné.
Nom Description
Syntaxe SSLEnable
Portée Serveur global ou hôte virtuel.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Aucune.

La directive SSLFakeBasicAuth

La directive SSLFakeBasicAuth active la prise en charge de l'authentification factice de base.

La prise en charge permet au nom distinctif du certificat client de devenir la partie utilisateur de la combinaison utilisateur et mot de passe utilisée pour l'authentification de base. Utilisez password comme mot de passe.
Avertissement : Cette directive peut être remplacée par la configuration du serveur de base.
Nom Description
Syntaxe SSLFakeBasicAuth
Portée Au sein d'une section de répertoire, utilisée avec AuthName, AuthType, et les directives requises.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par section du répertoire.
Valeurs Aucune.
[AIX Solaris HP-UX Linux Windows]

La directive SSLFIPSDisable

La directive SSLFIPSDisable désactive les normes FIPS (Federal Information Processing Standards).
Nom Description
Syntaxe SSLFIPSDisable
Portée Virtuelle et globale.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Aucune.

La directive SSLFIPSEnable

La directive SSLFIPSEnable active les normes FIPS (Federal Information Processing Standards).

Cette directive est applicable aux plateformes réparties.

Eviter les incidents Eviter les incidents: Cette directive est prise en charge sur la plateforme z/OS avec les limitations suivantes.
  • La directive est uniquement valide pour une portée globale.
  • Si vous modifiez la valeur de la directive, vous devez arrêter puis démarrer IBM HTTP Server pour que la nouvelle valeur prenne effet. Elle ne prendra effet que si vous procédez à un redémarrage.
gotcha
Nom Description
Syntaxe SSLFIPSEnable
Portée Virtuelle et globale.
Valeur par défaut Désactivé par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Aucune.
Avertissement : Pour connaître les valeurs, voir la rubrique de spécification du chiffrement SSL.

Directive SSLInsecureRenegotiation

La directive SSLInsecureRenegotiation détermine si la renégociation SSL (antérieure à RFC5746) non sécurisée est autorisée. La renégociation SSL, quel que soit son type, n'est pas courante et cette directive doit conserver sa valeur par défaut off.

[AIX Solaris HP-UX Linux Windows]
Avertissement : Avant la version V8.0.0.1, le serveur a un support RFC5746 et accepte les demandes de renégociation sécurisées. Dans la version V8.0.0.1 et ultérieures, les demandes de renégociation sécurisées ne sont pas acceptées sans l'activation préalable de la directive SSLRenegotiation.

Lorsque la valeur on est spécifiée, la renégociation SSL non sécurisée est autorisée. Lorsqu'elle a la valeur off (réglage par défaut), la renégociation SSL non sécurisée n'est pas autorisée.

Nom Description
Syntaxe SSLInsecureRenogotiation directive on|off
Portée Hôtes virtuels
Valeur par défaut désactivé
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global
Valeurs on|off
[AIX Solaris HP-UX Linux Windows]

La directive SSLPKCSDriver

La directive SSLPKCSDriver identifie le nom qualifié complet au module ou le pilote utilisé pour accéder à l'unité PKCS11.

Nom Description
Syntaxe Nom qualifié complet du module utilisé pour accéder à l'unité PKCS11>. Si le module existe dans le chemin d'accès de l'utilisateur, indiquez uniquement le nom du module.
Portée Serveur global ou hôte virtuel.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Chemin d'accès et nom du pilote ou du module PKCS11.
Les emplacements par défaut des modules de chaque unité PKCS11 sont les suivants :
  • nCipher
    • AIX : /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP : /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Solaris : /opt/nfast/toolkits/pkcs11/libcknfast.so
    • Windows : c:\nfast\toolkits\pkcs11\cknfast.dll
  • IBM 4758
    • AIX : /usr/lib/pkcs11/PKCS11_API.so
    • Windows : $PKCS11_HOME\bin\nt\cryptoki.dll
  • IBM e-business Cryptographic Accelerator
    • AIX : /usr/lib/pkcs11/PKCS11_API.so

Directive SSLProtocolDisable

La directive SSLProtocolDisable vous permet de spécifier un ou plusieurs protocoles SSL qui ne peuvent pas être utilisés par le client pour un hôte virtuel donné. Cette directive doit être située dans un conteneur <HôteVirtuel>.

Les protocoles pris en charge pour un hôte virtuel le sont de façon indépendante. Si tous les protocoles pris en charge sont désactivés, les clients ne peuvent pas établir de liaison SSL.
Nom Description
Syntaxe SSLProtocolDisable <nom de protocole>
Portée Hôte virtuel
Valeur par défaut Désactivé
Avertissement : Le protocole SSL Version 2 est désactivé par défaut avec d'autres méthodes.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Plusieurs instances autorisées par hôte virtuel.
Valeurs Les possibles valeurs suivantes sont disponibles pour cette directive.
  • SSLv2
  • SSLv3
  • TLS
  • TLSv1
  • [AIX Solaris HP-UX Linux Windows]TLSv1.1
  • [AIX Solaris HP-UX Linux Windows]TLSv1.2

La valeur TLS désactive toutes les versions TLS.

La valeur TLSv1 désactive TLS Version 1.0.

[AIX Solaris HP-UX Linux Windows]La valeur TLSv1.1 désactive TLS version 1.1.

[AIX Solaris HP-UX Linux Windows]La valeur TLSv1.2 désactive TLS version 1.2.

L'exemple suivant désactive la prise en charge de plusieurs protocoles sur un hôte virtuel.
<VirtualHost	*:443> SSLEnable SSLProtocolDisable	SSLv2
SSLv3 (toute autre directive) </VirtualHost>
Avertissement : SSL0230I est journalisé pour chaque tentative de connexion SSL si le client et le serveur ne partagent pas au moins un protocole et une combinaison de code de chiffrement.

Directive SSLProtocolEnable

La directive SSLProtocolEnable peut être utilisée pour activer des protocoles SSL individuels.

[AIX Solaris HP-UX Linux Windows]Sur les plateformes réparties, cette directive a une utilité limitée car tous les protocoles utiles sontautomatiquement activés par défaut.

[z/OS]Sur z/OS, cette directive peut être utilisée après que le service z/OS ajoute une prise en charge pour TLSv1.1 et TLSv1.2. Les protocoles TLSv1.1 et TLSv1.2 ne sont pas activés par défaut sur un serveur IBM HTTP Server qui s'exécute sur z/OS.

Nom Description
Syntaxe SSLSuiteBMode
Portée Hôte virtuel
Valeur par défaut Non définie
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Plusieurs instances autorisées par hôte virtuel.

Directive SSLProxyEngine

SSLProxyEngine bascule si le serveur utilise SSL pour les connexions traitées par proxy. SSLProxyEngine on si votre serveur agit en tant que proxy inverse pour une ressource SSL.
Nom Description
Syntaxe SSLProxyEngine on|off
Portée Hôtes virtuels basés sur l'IP
Valeur par défaut Désactivé
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une par hôte virtuel et par serveur global
Valeurs on|off

Directive SSLRenegotiation

La directive SSLRenegotiation contrôle la prise en charge IBM HTTP Server de la renégociation Transport Layer Security (TLS). Elle contrôle les types de renégociation autorisés par IBM HTTP Server. La renégociation TLS gère la manière dont les clients peuvent initier un nouvel établissement de liaison SSL sur une connexion sécurisée existante, ce qui est rarement utilisé par les clients basés sur navigateur standard.
Nom Description
Syntaxe SSLRenegotiation on|off|LEGACY_AND_RFC5746
Valeur par défaut Désactivé
Module mod_ibm_ssl
Context hôte virtuel
Statut extension
Valeurs on|off|LEGACY_AND_RFC5746
OFF (par défaut)
Aucune renégociation n'est autorisée.
ON
La renégociation sécurisée, comme définie actuellement par RFC5746, est autorisée.
LEGACY_AND_RFC5746
Les renégociations sécurisée et non sécurisée existante sont autorisées.
Compatibilité
  • Cette directive remplace la directive SSLInsecureRenegotiation dans IBM HTTP Server versions 8.0 et ultérieures.
  • IBM HTTP Server 8.0.0.0 a la valeur par défaut ON (qui accepte les renégociations RFC5746).
  • Avant la version 7.0.0.21, la bibliothèque de sécurité GSKit groupée ne considérait pas RFC5746, et "ON" se rapportait à la renégociation non sécurisée existante.
  • La prise en charge de l'option LEGACY_AND_RFC5746 dépend d'IBM HTTP Server versions 7.0.0.21 et ultérieures.

Directive SSLServerCert

La directive SSLServerCert définit le certificat de serveur à utiliser pour cet hôte virtuel.
Nom Description
Syntaxe SSLServerCert [prompt] certificate_labelSSLServerCert [prompt|ecdsa_certificate_label]certificate_label
Portée Hôtes virtuels basés sur l'IP.
Valeur par défaut Aucune, mais un magasin de clés SSL a sa propre notion de certificat par défaut.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Libellé de certificat. Utilisez l'option /prompt pour permettre au serveur HTTP de vous inviter à entrer le mot de passe du jeton cryptographique lors du démarrage. N'utilisez pas de délimiteurs autour du libellé de certificat. Vérifiez que le libellé est indiqué sur une seule ligne ; les espaces en début et en fin de ligne sont ignorés.
Chaque magasin de clés SSL keyfile peut spécifier un certificat par défaut. Cette directive configure le serveur pour qu'il utilise un autre certificat que celui défini par défaut pour le magasin de clés.
  • Pour choisir un libellé de certificat autre que celui défini par défaut, spécifiez un paramètre unique dont la valeur correspond au libellé du certificat choisi.
  • Pour utiliser un jeton cryptographique, spécifiez un nom de jeton cryptographique et un libellé de certificat séparés par un signe deux-points (mytoken:mylabel). Vous pouvez éventuellement spécifier /prompt comme premier paramètre afin d'afficher une invite interactive pour demander à l'utilisateur d'entrer le mot de passe de jeton cryptographique au lieu d'utiliser SSLStashFile.
  • Pour configurer un certificat basé sur ECDSA et un certificat basé sur RSA, spécifiez deux libellés de certificat, séparés par un espace. Le certificat RSA sera utilisé par défaut, mais les clients prenant en charge le niveau TLS1.2 ou suivant peuvent nécessiter le certificat ECDSA lors de l'établissement de liaison.
Exemples de la directive SSLServerCert :
SSLServerCert example.com
SSLServerCert myRSA, myECDSA
SSLServerCert swtoken:cert1
Important : Si vous utilisez un accélérateur PKCS11, faites précéder le libellé du nom du jeton PKCS11 et d'un signe deux-points ":".

SSLSNIMap

La directive SSLSNIMap mappe les noms d'hôte SNI (Server Name Indication) TLS aux libellés de certificat.

Nom Description
Syntaxe SSLSNIMap hostname cert-label
Portée Hôte virtuel
Valeur par défaut Désactivé
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Plusieurs par hôte virtuel
Valeurs Noms d'hôte utilisés par le client et les libellés de certificat présents dans le fichier de clés configuré

La directive SSLSNIMap permet au serveur de répondre avec un certificat TLS différent, en fonction du nom d'hôte demandé par le client. Si des hôtes virtuels basés sur un nom sont utilisés, SSLSNIMap doit être présent uniquement dans le premier hôte virtuel de la liste pour une combinaison ip:port (hôte virtuel par défaut pour un ensemble d'hôtes virtuels basés sur un nom).

Directive SSLStashfile

La directive SSLStashfile indique le chemin d'accès au fichier avec le nom du fichier contenant le mot de passe chiffré pour l'ouverture de l'unité PKCS1.

Nom Description
Syntaxe SSLStashFile /usr/HTTPServer/mystashfile.sth
Portée Hôte virtuel et serveur global.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs Nom de fichier d'un fichier de dissimulation LDAP et/ou PKCS11 créé à l'aide de la commande sslstash.

La directive SSLStashFile ne fait pas référence à un fichier de dissimulation du fichier de clés utilisé, car il est calculé automatiquement en se basant sur le nom du fichier de clés et constitue un type de fichier de dissimulation différent.

Utilisez la commande sslstash, située dans le répertoire bin d'IBM HTTP Server, afin de créer votre fichier CRL ou fichier de dissimulation d'appareil cryptographique. Le mot de passe indiqué à l'aide la commande sslstash doit être identique à celui que vous avez utilisé pour vous connecter au serveur LDAP ou au matériel de cryptographie.

Le fichier de dissimulation (stash) créé par la commande sslstash est complètement indépendant du fichier de dissimulation qui accompagne souvent un fichier de clés CMS (*.kdb). Par conséquent, veillez aux points suivants :
  • Ne remplacez pas un fichier *.sth existant lorsque vous émettez la commande sslstash.
  • Ne choisissez jamais de nom de fichier pour la sortie de la commande sslstash qui correspond au nom d'un fichier de clés CMS (*.kdb).

Syntaxe : sslstash [-c] <répertoire_du_fichier_des_mots_de_passe_et_nom_du_fichier> <nom_de_fonction> <mot_de_passe>

où :
  • -c : crée un fichier de stockage. Si rien n'est indiqué, un fichier existant est mis à jour.
  • Fichier : représente le nom complet du fichier à créer ou à mettre à jour.
  • Fonction : indique la fonction pour laquelle utiliser le mot de passe. Les valeurs valides sont crl, ou crypto.
  • Mot de passe : représente le mot de passe à stocker.

Utilisez la directive SSLStashFile, conjointement avec les directives SSLCRLPort, SSLCRLHostname et SSLCRLUserID, pour obtenir une configuration statique d'un référentiel CRL basé sur LDAP. Il est nécessaire d'utiliser ces directives pour interroger un référentiel CRL basé sur LDAP uniquement si une extension de certificat CRLDistributionPoint X.509v3 explicite est absente ou si le serveur spécifié dans l'extension ne répond pas (indisponible).

Si une extension CRLDistributionPoint est présente dans le certificat et si le serveur spécifié dans l'extension répond (disponible), le serveur LDAP spécifié dans la directive CRLDistributionPoint est interrogé de façon anonyme sans utiliser ces directives..

SSLSuiteBMode

La directive SSSLSuiteBMode peut être utilisée pour configurer l'hôte virtuel afin d'utiliser le profil Suite B pour TLS.

Le profil Suite B réduit considérablement l'algorithme de signature disponible et les spécifications de chiffrement utilisées par le serveur. L'ensemble d'algorithmes et de chiffrements acceptables peut être modifié en cas de modification des normes appropriées. Les arguments 128 et 192 font référence aux deux niveaux de sécurité décrit dans la spécification RFC 6460.

Lorsque cette directive est indiquée, elle remplace la plupart des directives préalablement spécifiées. Le paramètre SSLAttributeSet n'est pas remplacé par cette directive car il a une plus priorité plus élevée. Tous les profils SuiteB impliquent que la chaîne de certificats du serveur soit utilise pour les signatures ECC fortes. La spécification RFC 6460 détaille les restrictions du profil Suite B.

Nom Description
Syntaxe SSLSuiteBMode
Portée Hôte virtuel
Valeur par défaut Non définie
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une fois par hôte virtuel

Directive SSLTrace

La directive SSLTrace permet la journalisation du débogage dans mod_ibm_ssl. Elle est utilisée en association avec la directive LogLevel. Pour activer la consignation du débogage dans mod_ibm_ssl, définissez LogLevel pour le débogage et ajoutez la directive SSLTrace à la portée globale dans le fichier de configuration d'IBM HTTP Server, après la directive LoadModule de mod_ibm_ssl. Cette directive est généralement utilisée à la demande du support technique d'IBM lors de la recherches liées à un problème suspecté avec mod_ibm_ssl. Il n'est pas recommandé d'activer cette directive dans des conditions de fonctionnement normal.

Nom Description
Syntaxe SSLTrace
Portée Global
Valeur par défaut La journalisation du débogage mod_ibm_ssl n'est pas activée
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Ignoré
Valeurs Aucune
Avertissement : Voir aussi LogLevel Directive.
[AIX Solaris HP-UX Linux Windows]

SSLUnknownRevocationStatus

La directive SSLUnknownRevocationStatus indique comment IBM HTTP Server réagit lorsqu'IBM HTTP Server ne peut pas déterminer d'emblée l'état de révocation, acheminé via CRL ou OCSP.

Nom Description
Syntaxe SSLUnknownRevocationStatus ignore | log | log_always | deny
Portée Hôte virtuel
Valeur par défaut Ignorer
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une seule instance autorisée pour chacun des hôtes virtuels.
Valeurs
Ignorer
Indique qu'un message de niveau de débogage est émis lorsqu'un établissement de liaison s'achève et que l'état de révocation est inconnu. Ce message n'est pas émis à nouveau lors de la reprise de session SSL.
log
Indique qu'un message de niveau information est émis lorsqu'un établissement de liaison s'achève et que l'état de révocation est inconnu. Ce message n'est pas émis à nouveau lors de la reprise de session SSL.
log_always
Indique qu'un message de niveau information est émis lorsqu'un établissement de liaison s'achève et que l'état de révocation est inconnu. IBM HTTP Server émet le message pour les établissements de liaison ultérieurs.
deny
Indique qu'un message de niveau information est émis lorsqu'un établissement de liaison s'achève, que l'état de révocation est inconnu, que la session ne peut pas faire l'objet d'une reprise et que la connexion HTTPS est immédiatement fermée. IBM HTTP Server émet le même message pour les établissements de liaison ultérieurs.
configuration : A chaque fois qu'un message est consigné pour UnknownRevocationStatus, la variable SSL_UNKNOWNREVOCATION_SUBJECT, qui est une variable d'environnement SSL interne, est définie. Vous pouvez consigner cette variable avec la syntaxe suivante :
%{SSL_UNKNOWNREVOCATION_SUBJECT}e
Vous pouvez également utiliser la variable dans des expressions mod_rewrite lorsque la directive SSLUnknownRevocationStatus a une valeur autre que deny. Utilisez le nom de variable suivant :
%{ENV:SSL_UNKNOWNREVOCATION_SUBJECT}

Directive SSLV2Timeout

La directive SSLV2Timeout définit le délai pour les ID de la session SSL version 2.

Nom Description
Syntaxe SSLV2Timeout 60
Portée Base globale et hôte virtuel.
Valeur par défaut 40
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs 0 à 100 secondes.

La directive SSLV3Timeout

La directive SSLV3Timeout définit le délai pour les ID de session SSL version 3 et de session TLS.

Nom Description
Syntaxe SSLV3Timeout 1000
Portée Base globale et hôte virtuel.

[Windows]La portée de l'hôte virtuel ou la portée globale s'applique.

[AIX][HP-UX][Linux][Solaris]La portée de l'hôte virtuel est applicable si la directive SSLCacheDisable est également utilisée. Sinon, seule la portée globale est autorisée.

Valeur par défaut 120
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par hôte virtuel et par serveur global.
Valeurs 0 à 86400 secondes.

La directive SSLVersion

La directive SSLVersion entraîne le refus d'accès aux objets, avec une réponse 403, si le client s'est connecté avec une version du protocole SSL autre que celle indiquée.

Dans la plupart des cas, la directive SSLProtocolDisable est un choix plus judicieux que la directive SSLVersion pour garantir l'utilisation de versions de protocoles SSL particulières. La directive SSLProtocolDisable permet, le cas échéant, au navigateur client de négocier une autre version du protocole, tandis que la directive SSLVersion oblige IBM HTTP Server à envoyer une réponse 403, ce qui peut dérouter l'utilisateur.

Nom Description
Syntaxe SSLVersion ALL
Portée Un par section du répertoire.
Valeur par défaut Aucune.
Module mod_ibm_ssl
Plusieurs instances dans le fichier de configuration Une instance par section <Directory> ou <Location>.
Valeurs [AIX Solaris HP-UX Linux Windows]SSLV2|SSLV3|TLS|TLSV1|TLSV11|TLSV12|ALL [z/OS]SSLV2|SSLV3|TLS|TLSV1|ALL

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ssldirs
Nom du fichier : rihs_ssldirs.html