使用安全 Socket 層指引
這一節提供使用 SSL 指引的相關資訊。
這項資訊包括特定語法、說明、範圍和相關附註
。
這一節的結尾有相關主題的鏈結。
Keyfile
- 說明:設定要用的金鑰檔。
- 預設值:沒有預設值
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:不允許
- 範圍:廣域基本和虛擬主電腦
- 語法:Keyfile /fully qualified path to key file/keyfile.kdb
- 值:金鑰檔的檔案名稱
LogLevel
- 說明:調整記錄在錯誤日誌中的訊息贅言。當您指定特定層次時,伺服器也會報告所有其他較重要層次的訊息。 比方說,當您指定 LogLevel 資訊時,伺服器會報告記載層次為注意和警告的訊息。 建議至少指定 crit 層次。
- 預設值:LogLevel 錯誤
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:允許。 喜好設定的次序為由上到下,由第一個到最後一個。 如果從屬站不支援暗碼規格,就會關閉連線。
- 範圍:伺服器配置、虛擬主電腦
- 語法:LogLevel level
- 值:下列可用層次會依重要性遞減而顯示:
層次 說明 範例 emerg 緊急情況:系統成為無法使用。 "子項無法開啟鎖定檔。結束中" alert 立即採取動作。 "getpwuid: 無法從 uid 判斷使用者名稱" crit 重要狀況。 "socket:無法取得 Socket,正在結束子項" error 錯誤情況。 "Script 標題提早結束" warn 警告情況。 ."子程序 1234 沒有結束,正在傳送另一個 SIGHUP" notice 正常,但有重要的情況發生。 "httpd:取得 SIGBUS,正在嘗試傾出基核於 ..." info 參考用資訊。 "伺服器似乎很忙,(您可能必須增加 StartServers,或 Min/MaxSpareServers)..." debug 除錯層次訊息。 "正在開啟配置檔..."
SSLAcceleratorDisable
- 說明:停用加速器裝置。
- 預設值:啟用加速器裝置
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:不允許
- 範圍:虛擬和廣域
- 語法:SSLAcceleratorDisable
- 值:無
請將這個指引放在配置檔內的任何其他位置,其中包括在虛擬主電腦內。
在起始設定期間,如果系統判斷機器安裝了加速器裝置,就會利用這個加速器來增加安全交易的數量。
這個指引不會使用引數。
SSLCacheDisable
- 說明:停用外部 SSL 階段作業 ID 快取功能
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:不允許
- 範圍:每個實體 Apache 伺服器實例各一個,只能在虛擬主電腦段落之外
- 語法:SSLCacheDisable
- 值:無
只在 UNIX 環境中有效。
SSLCacheEnable
- 說明:啟用外部 SSL 階段作業 ID 快取功能
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:不允許
- 範圍:每個實體 Apache 伺服器實例各一個,只能在虛擬主電腦段落之外
- 語法:SSLCacheEnable
- 值:無
只在 UNIX 環境中有效。
SSLCacheErrorLog
- 說明:設定階段作業 ID 快取錯誤日誌記載的檔案名稱
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:不允許
- 範圍:每個實體伺服器實例各一個,只能在虛擬主電腦段落之外。
- 語法:SSLCacheErrorLog /usr/HTTPServer/log/sidd_log
- 值:有效的檔案名稱
在 Windows NT 和 Windows 2000 作業系統中無效。
SSLCachePath
- 說明:指定快取常駐程式執行檔之階段作業 ID 的路徑。
- 預設值:/usr/HTTPServer/bin/sidd
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:不允許
- 範圍:每個實體 IBM HTTP Server 各一個
- 語法:SSLCachePath /usr/HTTPServer/bin/sidd
- 值:有效的路徑名稱。
在 Windows NT 和 Windows 2000 作業系統中無效。
SSLCachePortFilename
- 說明:設定用於伺服器實例及階段作業 ID 快取常駐程式間之通信的 UNIX 網域 Socket 的檔案名稱。
- 預設值:如果沒有指定這個指引且啟用了快取,伺服器會嘗試下列檔案:/usr/HTTPServer/logs/siddport
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:不允許
- 範圍:每個實體 Apache 伺服器實例各一個,只能在虛擬主電腦段落之外。
- 語法:SSLCachePortFilename /usr/HTTPServer/logs/siddport
- 值:有效的檔案名稱。Web 伺服器會在啟動時刪除這個檔案;請勿使用現存的檔案名稱。
只在 UNIX 平台中有效。
SSLCacheTraceLog
- 說明:指定要用來記載階段作業 ID 追蹤訊息的追蹤日誌。
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:不允許
- 範圍:每個實體 IBM HTTP Server 各一個
- 語法:SSLCacheTraceLog /usr/HTTPServer/log/sidd-trace.log
- 值:有效的路徑名稱。
在 Windows NT 和 Windows 2000 作業系統中無效。
SSLCipherBan
- 說明:在從屬站嘗試指定的暗碼時,拒絕存取物件。
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:允許個別目錄段落使用。 喜好設定的次序為由上到下。
- 範圍:每個目錄段落都可以有多個實例
- 語法:SSLCipherBan <cipher specification>
- 值:請參閱 SSL 第 2 版暗碼規格、SSL 第 3 版和 TLS 第 1 版暗碼規格
SSLCipherRequire
- 說明:允許根據指定的暗碼來有限存取物件。
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:允許個別目錄段落使用。 喜好設定的次序為由上到下。
- 範圍:每個目錄段落都可以有多個實例
- 語法:SSLCipherRequire <cipher specification>
- 值:請參閱 SSL 第 2 版暗碼規格、SSL 第 3 版和 TLS 第 1 版暗碼規格
SSLCipherSpec
- 說明:指定安全交易所能使用的暗碼規格。
- 預設值:如果沒有指定,伺服器會使用所安裝之 GSK 程式庫中所有可用的暗碼規格。
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:允許。 喜好設定的次序為由上到下,由第一個到最後一個。 如果從屬站不支援暗碼規格,就會關閉連線。
- 範圍:虛擬主電腦
- 語法: SSLCipherSpec shortname 或
SSLCipherSpec longname - 值:請參閱 SSL 第 2 版暗碼規格、SSL 第 3 版和 TLS 第 1 版暗碼規格
| 短名稱 | 長名稱 | 說明 |
| 27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | 三重 DES(168 位元) |
| 21 | SSL_RC4_128_WITH_MD5 | RC4(128 位元) |
| 23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | RC2(128 位元) |
| 26 | SSL_DES_64_CBC_WITH_MD5 | DES(56 位元) |
| 22 | SSL_RC4_128_EXPORT40_WITH_MD5 | RC4(40 位元) |
| 24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | RC2(40 位元) |
| 短名稱 | 長名稱 | 說明 |
| 3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 三重 DES SHA(168 位元) |
| 33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | RC4 SHA(40 位元) |
| 34 | SSL_RSA_WITH_RC4_128_MD5 | RC4 MD5(128 位元) |
| 39 | SSL_RSA_WITH_DES_CBC_SHA | DES SHA(56 位元) |
| 35 | SSL_RSA_WITH_RC4_128_SHA | RC4 SHA(128 位元) |
|
36(請參閱) |
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | RC2 MD5(40 位元) |
| 32 | SSL_RSA_WITH_NULL_SHA | |
| 31 | SSL_RSA_WITH_NULL_MD5 | |
| 30 | SSL_NULL_WITH_NULL_NULL | |
| 62 | TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | RC4 SHA Export 1024(56 位元) |
| 64 | TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | DES SHA Export 1024(56 位元) |
暗碼規格 36 需要 Netscape Navigator 第 4.07 版;它無法在舊版 Netscape 瀏覽器上使用。
SSLClientAuth
- 說明:將從屬站鑑別的模式設為使用(無(0)、選用(1) 或必要(2))。
- 預設值:SSLClientAuth none
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦一個實例
- 範圍:虛擬主電腦
- 語法:SSLClientAuth <level required> [crl]
- 值:
- 0/無:沒有要求從屬站憑證。
- 1/選用:要求從屬站憑證,但不是必要的。
- 2/必要:需要有效的從屬站憑證。
- CRL: 開啟和關閉 SSL 虛擬主電腦中的 crl。 如果使用憑證廢止清冊 (CRL),您必須指定 crl 作為 SSLClientAuth 的第二個引數。 例如:SSLClientAuth 2 crl。 如果沒有指定 crl,就無法在 SSL 虛擬主電腦中執行 CRL。
如果指定「0/無」值,就不能使用 CRL 選項。
SSLClientAuthGroup
- 說明:使您能夠將憑證屬性分組在一起,供 SSLClientAuthRequire 指引使用。
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:允許。函數會利用 "AND" 將這些指引合併起來。
- 範圍:每個目錄段落都可以有多個實例
- 語法:<SSLClientAuthGroup 群組名稱> <logic string>
- 值:由 AND、OR、NOT 及括弧鏈結的屬性檢查所組成的邏輯表示式。
有效邏輯表示式的說明
下一節提供有效邏輯表示式的範例說明。 例如:
SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM表示除非從屬站憑證包含 Fred Smith 或 John Deere 的一般名稱,且組織是 IBM,否則,不提供物件服務。 屬性檢查的有效比較只有等於和不等於(= 和 !=)。 您可以利用 AND、OR 或 NOT(也可以使用 &&、|| 及 !)來鏈結每個屬性檢查。 可以使用括弧將比較分組。 如果屬性值含有非英數字元,您必須用引號括住值。
以下是有效屬性清單:
- CommonName
- Country
- Group
- IssuerCommonName
- IssuerCountry
- IssuerEmail
- IssuerLocality
- IssuerOrg
- IssuerOrgUnit
- IssuerStateOrProvince
- Locality
- Org
- OrgUnit
- StateOrProvince
以下是有效短名稱清單:
CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST
SSLClientAuthRequire
- 說明:在提供物件服務之前,啟用從屬站憑證資訊的加強驗證
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:允許。函數會利用 "AND" 將這些指引合併起來。
- 範圍:目錄
- 語法:SSLClientAuthRequire CommonName = Richard
- 值:由 AND、OR、NOT 及括弧鏈結的屬性檢查所組成的邏輯表示式。
有效邏輯表示式的說明
例如:
SSLClientAuthRequire (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM表示除非從屬站憑證包含 Fred Smith 或 John Deere 的一般名稱,且組織是 IBM,否則,不提供物件服務。 屬性檢查的有效比較只有等於和不等於(= 和 !=)。 您可以利用 AND、OR 或 NOT(也可以使用 &&、|| 及 !)來鏈結每個屬性檢查。 可以使用括弧將比較分組。 如果屬性值含有非英數字元,您必須用引號括住值。
以下是有效屬性清單:
- CommonName
- Country
- IssuerCommonName
- IssuerCountry
- IssuerEmail
- IssuerLocality
- IssuerOrg
- IssuerOrgUnit
- IssuerStateOrProvince
- Locality
- Org
- OrgUnit
- StateOrProvince
以下是有效短名稱清單:
CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST
SSLCRLHostname
- 說明:CRL 資料庫所在的 LDAP 伺服器的 TCP/IP 名稱或位址。
- 預設值:依預設,會停用 SSLCRLHostname。
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:廣域伺服器或虛擬主電腦
- 語法:SSLCRLHostname <TCP/IP name or address>
- 值:LDAP 伺服器 TCP/IP 名稱或位址
SSLCRLPort
- 說明:CRL 資料庫所在的 LDAP 伺服器的埠。
- 預設值:依預設,會停用 SSLCRLPort。
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:廣域伺服器或虛擬主電腦
- 語法:SSLCRLPort <port number>
- 值:LDAP 伺服器埠,預設值=389
SSLCRLUserID
- 說明:要傳送至 CRL 資料庫所在 LDAP 伺服器的使用者 ID。
- 預設值:如果您沒有指定使用者 ID 的話,預設值為匿名
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:廣域伺服器或虛擬主電腦
- 語法:SSLCRLUserID <userid>
- 值:LDAP 伺服器的使用者 ID
SSLDisable
- 說明:停用這個虛擬主電腦的 SSL。
- 預設值:依預設,會停用 SSL。
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:廣域伺服器或虛擬主電腦
- 語法:SSLDisable
- 值:無
SSLEnable
- 說明:啟用這個虛擬主電腦的 SSL。
- 預設值:依預設,會停用 SSL。
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例>
- 範圍:廣域伺服器或虛擬主電腦
- 語法:SSLEnable
- 值:無
SSLFakeBasicAuth
- 說明:啟用偽造基本鑑別支援。 這個支援使從屬站憑證識別名稱能夠成為使用者和密碼基本鑑別配對的使用者部分。 請使用 password 密碼。
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:在目錄段落內,與 AuthName、AuthType 及所需要的指引一起使用。
- 語法:SSLFakeBasicAuth
- 值:無
SSLPKCSDriver
- 說明:識別模組的完整名稱或用來存取 PKCS11 裝置的驅動程式。
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:廣域伺服器或虛擬主電腦
- 語法:<Fully qualified name to module used to access PKCS11 device>。 如果使用者路徑中有模組存在,只指定模組的名稱就行了。
- 值:PKCS11 模組或驅動程式的路徑和名稱。
以下是各平台中每個 PKCS11 裝置的預設模組位置:
nCipher
- AIX:/opt/nfast/toolkits/pkcs11/libcknfast.so
- HP:/opt/nfast/toolkits/pkcs11/libcknfast.sl
- Solaris:/opt/nfast/toolkits/pkcs11/libcknfast.so
- Windows NT 和 Windows 2000:c:\nfast\toolkits\pkcs11\cknfast.dll
IBM 4758
- AIX:/usr/lib/pkcs11/PKCS11_API.so
- Windows NT 和 Windows 2000:$PKCS11_HOME\bin\nt\cryptoki.dll
IBM 電子商業加密加速器
- AIX:/usr/lib/pkcs11/PKCS11_API.so
SSLServerCert
- 說明:設定伺服器憑證,供這個虛擬主電腦使用
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦一個實例
- 範圍:IP 型虛擬主電腦
- 語法:SSLServerCert my_certificate_label; 在 PKCS11 裝置中 - SSLServerCert mytokenlabel:mykeylabel
- 值:憑證標籤
不要用定界符號來括住憑證標籤。
請確定該標籤是在同一行上;前導和尾端空格都會予以忽略。
SSLStashfile
- 說明:指出開啟 PKCS11 裝置的加密密碼所在檔案的檔案名稱和路徑。
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:虛擬主電腦和廣域伺服器
- 語法:sslstash [-c] <file> <function> <password>,
其中:
- -c = 建立新的貯藏檔。如果沒有指定,伺服器會更新現有的貯藏檔
- file = 要建立或更新之檔案的完整名稱
- function = 要使用密碼的函數。有效值包括 crl 或 crypto
- Password = 要貯藏的密碼
- 用法 - sslstash -c conf\pkcs11.passwd crypto pkcs11
- 值:含檔案名稱的路徑
請在 UNIX 的 IBM HTTP Server bin 目錄或 Windows 平台的伺服器安裝根目錄中找到 sslstash 指令。
請利用這個指令來儲存 PKCS11 裝置的密碼。
使用 sslstash 指令之後建立的貯藏檔可包含兩個不同密碼,供兩個不同的功能使用:crl 和 cryptography。
SSLV2Timeout
- 說明:設定 SSL 第 2 版階段作業 ID 的逾時值
- 預設值:40
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:廣域基本和虛擬主電腦
- 語法:SSLV2Timeout 60
- 值:0 至 100 秒
SSLV3Timeout
- 說明:設定 SSL 第 3 版階段作業 ID 的逾時值
- 預設值:120
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:廣域基本和虛擬主電腦
- 語法:SSLV3Timeout 1000
- 值:0 至 86400 秒
SSLVersion
- 說明:當從屬站試圖連接未指定的 SSL 通信協定版本時,用來拒絕物件存取。
- 預設值:無
- 模組:mod_ibm_ssl
- 配置檔中包含多個實例:每個虛擬主電腦和廣域伺服器一個實例
- 範圍:每個目錄段落一個
- 語法:SSLVersion ALL
- 值:SSLV2|SSLV3|TLSV1|ALL
| 尋找相關資訊 |
(返回最上面)