Secure Sockets Layer (SSL) 指引

SSLOCSPResponderURL

即使已配置 CRL 檢查，還是會先執行 OCSP 檢查，再執行任何 CRL 檢查。 唯有當 CRL 不明或不確定時，才會進行 CRL 檢查。

如果設定 SSLOCSPResponderURL ，當提供 SSL 用戶端憑證時， IBM HTTP Server 會使用所提供的 URL 來檢查憑證撤銷狀態。

SSLOCSPEnable

如果已設定 SSLOCSPEnable ，且 SSL 用戶端憑證鏈包含 AIA 延伸規格，則 IBM HTTP Server 會聯絡 AIA 延伸規格所指示的 OCSP 回應端，以檢查用戶端憑證的撤銷狀態。

如果 OCSP 和 CRL 檢查都已配置，會先執行 OCSP 檢查，再執行任何 CRL 檢查。 唯有當 OCSP 檢查不明或不確定時，才會進行 CRL 檢查。

如果同時配置 SSLOCSPEnable 及 SSLOCSPResponderURL ，則會先檢查 SSLOCSPResponderURL 所定義的回應者。 如果撤銷狀態不明或不確定， IBM HTTP Server 會檢查 SSLOCSPEnable的 OCSP 回應端。

SSLOCSPCacheSize

啟用非零 SSLOCSPCacheSize 容許對 OCSP 回應使用記憶體內快取。 快取項目的有效期限取決於下列三個因素:

1. OCSP 回應端指定的 nextUpdate 欄位。
2. OCSP 回應者指定的 HTTP 快取標頭。
3. 從完整快取收回以容納新項目。

無法檢視快取的內容，只有在 Web 伺服器重新啟動時才能清除。

Keyfile 指引

使用提示選項，使 HTTP 伺服器能夠在啟動時，提示您輸入金鑰檔密碼。 只有在從指令行以互動方式啟動伺服器時，才支援提示選項。

重要事項: z/OS® 系統不支援在其他平台上建立金鑰資料庫檔。 用於 z/OS 系統的金鑰資料庫檔必須建立在 z/OS 平台上。

用來啟動 IBM HTTP Server 的 ID 必須具有此指引中所指名之金鑰環的存取權。 如果 ID 沒有存取權，則 SSL 起始設定會失敗。

SSLAcceleratorDisable 指引

SSLAllowNonCriticalBasicConstraints 指引

SSLCacheDisable 指引

SSLCacheEnable 指引

SSLCacheErrorLog 指引

SSLCachePath 指引

SSLCachePath 指引可指定階段作業 ID 快取常駐程式的路徑。 除非您有多個 IHS 實例有多個 ServerRoot 指引或 -d 選項共用一個安裝，否則您不需要指定這個指引。

當有多個 IHS 實例與替代伺服器根目錄搭配使用時（如上述），應使用此指引，將這個 IHS 實例指向單一安裝根目錄（而不是預設使用的個別伺服器根目錄）中的 bin/sidd 二進位檔路徑。

使用多個實例時，並沒有實際的理由需要複製 bin/sidd 二進位檔，或是使用這個指引來指定安裝在伺服器根目錄下的 bin/sidd 以外的任何項目。 在共用相同二進位檔的 IHS 實例之間，此指引的值不需要改變。

SSLCachePortFilename 指引

SSLCacheTraceLog 指引

SSLCheckCertificate有效期限

SSLCipherBan 指引

SSLCipherRequire 指引

SSLCipherSpec 指引

SSLCipherSpec 指引可讓您自訂在信號交換期間支援的 SSL 密碼。 您可以自訂 SSL 密碼集，以及SSL 密碼的喜好順序。

在分散式平台上，每個通訊協定都有自己的密碼排序清單。 支援的通訊協定為 SSL 第 2 版、SSL 第 3 版、TLS 1.0 版、TLS 1.1 版和 TLS 1.2 版。

在 z/OS上，只有兩個已啟用密碼清單，一個用於 SSL 第 2 版，另一個用於其他通訊協定。 支援的通訊協定為 SSL 第 2 版、SSL 第 3 版及 TLS 1.0版，以及 TLS 1.1版。 具有 OA39422或更新版本的 z/OS V1R13 上支援 TLS 1.2 版。

SSL 第 2 版密碼預設為無密碼，表示停用通訊協定。 其他通訊協定則有一組預設 SSL 密碼，其中不包括空值密碼、匯出密碼和低強度密碼。

當您使用單一引數格式 SSLCipherSpec時，密碼會在所有有效的通訊協定中啟用。 在第一次為每個通訊協定進行這類變更時，都會捨棄通訊協定的預設密碼。

當您使用 SSLCipherSpec的多引數形式，並指定 SSL 通訊協定 (或 ALL) 的名稱作為第一個引數時，您可以使用具有下列好處的加強語法:

如果您提供通訊協定名稱 ALL，則針對每一個密碼名稱指定的新增或移除會套用至該密碼有效的每一個通訊協定。

在特殊情況下，如果要以單一指令來清空所有密碼清單，您可以使用 SSLCipherSpec ALL NONE。 當您不想要使用預設密碼時，使用這個指令來啟動配置會是個好方法。

範例 1

如果您只要選取幾個密碼，最好從重設所有密碼清單開始，然後新增必要的密碼:

# Delete all ciphers from the cipher lists 
SSLCipherSpec ALL NONE 
# Add a few specific ciphers 
SSLCipherSpec ALL +SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSLCipherSpec ALL +TLS_RSA_WITH_AES_256_CBC_SHA 

範例 2

如果您想要使用大部分預設值，可以從它們所在的任何清單中移除不想要的密碼:

# Delete some specific ciphers from the protocols where they are valid 
SSLCipherSpec ALL -SSL_RSA_WITH_RC4_128_MD5
SSLCipherSpec ALL -SSL_RSA_WITH_RC4_128_SHA 

SSLClientAuth 指引

SSLClientAuthGroup 指引

SSLClientAuthGroup 指引會定義一個具名表示式群組，其中包含一組特定的用戶端憑證屬性/值配對。 此具名群組可供 SSLClientAuthRequire 指引使用。 用戶端必須提供通過此表示式的憑證，伺服器才會允許存取受保護的資源。

SSLClientAuthGroup IBMUSpeople (Org
=  IBM) AND (Country = US)

下一節將提供使用有效邏輯表示式的範例說明。 例如: SSLClientAuthGroup ((CommonName = "Fred Smith") OR (CommonName = "John Deere")) AND (Org = IBM) 表示不提供物件，除非用戶端憑證包含通用名稱 Fred Smith 或 John Deere ，且組織是 IBM。 The only valid comparisons for the attribute checks, are equal and not equal (= and !=). You can link each attribute check with AND, OR, or NOT (also &&, ||, and !). 以 AND、OR 或 NOT 來鏈結的任何比較，都必須包含在括弧內。 如果屬性的值包含非英數字元，則必須用引號來區隔該值。

此指引中可以使用完整名稱或簡稱。

SSLClientAuthGroup IBMpeople Org = IBM)

SSLClientAuthGroup
NotMNIBM (ST != MN) && (Org = IBM) 

群組名稱不能包含空格。 如需相關資訊，請參閱 SSLClientAuthRequire 指引。

SSLClientAuthRequire 指引

SSLClientAuthRequire 指引會指定屬性值或屬性值群組，在伺服器容許存取受保護資源之前，必須針對用戶端憑證來驗證這些屬性值或屬性值群組。

SSLClientAuthRequire (group != IBMpeople)
 && (ST = M)

如果您收到的憑證沒有特定屬性，則不會驗證屬性是否相符。 即使指定的相符值為 " "，這可能還是與完全沒有屬性不同。 在 SSLClientAuthRequire 指引上指定且在憑證上無法使用的任何屬性都會導致要求遭到拒絕。

此指引中可以使用完整名稱或簡稱。

使用者指定特定用戶端憑證屬性的邏輯表示式。 如果您必須指定用戶端憑證屬性值的分組，可以依邏輯將 AND、OR 或 NOT 用於多個表示式。 以 AND、OR 或 NOT 來鏈結的任何比較，都必須包含在括弧內。 有效的運算子包括 = 及 !=。 使用者也可以指定使用 SSLClientAuthGroup 指引所配置的群組名稱，以配置一組屬性。

SSLClientAuthRequire ((CommonName="John Doe") || (StateOrProvince=MN)) && (Org!=IBM)  

SSLClientAuthRequire (group!=IBMpeople) && (ST=MN)

SSLClientAuthRequire (group!= IBMpeople) && ("ST= MN")

表 3. 與「主體替代名稱 (SAN)」TLS 用戶端憑證延伸相關的屬性。 每一個屬性都必須以介於 0 到 3 (含) 之間的數字作為字尾，例如 SANDNSNAME0 或 SANIPADDRESS3。

屬性字首	說明
SANDNSNAME	DNS 名稱
SANIPADDRESS	IP 位址
SANRFC822NAME	RFC822 名稱 (電子郵件)
SANDIRECTORYNAME	目錄名稱
SANURI	通用資源 ID (URI)

附註: 每一種延伸類型的前四個值都只能作為屬性使用。 如需更複雜的需求，請參閱 用戶端憑證環境變數 表示式剖析器支援。

SSLClientAuthVerify 指引

SSLClientAuthVerify 指引可控制 IBM HTTP Server 在收到用戶端憑證但驗證失敗 (例如過期或撤銷) 時是否會使要求失敗。

將這個指引與 SSLClientAuth Optional Noverify 搭配使用，可提供對使用者友善的網頁，而不是預設的瀏覽器錯誤訊息。

如果您使用 SSLClientAuth Optional Noverify 來配置虛擬主機，當收到用戶端憑證，但其驗證失敗時（例如過期或撤銷），可建立 SSL 連線。

在 Location 或 Directory 之類的環境定義中使用這個指引，會使在該連線上接收的要求失敗，並產生特定錯誤碼，或是設定 OFF，以正常處理。

管理者可以針對該狀態提供自訂錯誤文件，以控制對使用者顯示的頁面，例如，告知使用者其憑證無效，並提供進一步的指示。

如果錯誤文件是在內部重新導向至相同虛擬主機中的另一個 URL，您必須確定該 URL 的環境定義中有 SSLClientAuthVerify OFF，使其不會也立即失效。 此實務的範例如下所示。

指定的狀態碼必須是在 HTTP 中有效且 IBM HTTP Server已知的回應狀態。 這些值介於 100 到 599，通常會定義在 RFC 或標準提案中。 如果您不確定，請在測試配置中試用狀態碼，並使用 apachectl -t 來查看其是否有效。 其他有效且為好選擇的未使用代碼包括：418、419、420 和 421。

因為用戶端憑證無效，所以錯誤文件不會有包含用戶端憑證相關資訊的任何環境變數可用。 用戶端憑證驗證失敗的原因在 SSL_LAST_VALIDATION_ERROR 環境變數中。 變數可以是 GSKVAL_ERROR_REVOKED_CERT 或 GSKVAL_ERROR_CERT_EXPIRED。 如果憑證有多個驗證問題，所報告的原因通常是 GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT。

每當用戶端憑證驗證失敗，就會在錯誤日誌中，於 loglevel Error 記載兩則訊息。 第二則訊息包含原因，例如：

[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] SSL0208E: SSL Handshake Failed, 
   憑證驗證錯誤。 [9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]
[Tue Jun 08 08:54:25 2010] [error] [client 9.37.243.128] [9e44c28] [731] Certificate validation error 
   during handshake, last PKIX/RFC3280 certificate validation error was 
   GSKVAL_ERROR_CA_MISSING_CRITICAL_BASIC_CONSTRAINT 
   [9.37.243.128:60347 -> 9.37.243.67:443] [08:54:25.000223331]

<VirtualHost *:443
SSLClientAuth Optional Noverify
<Location />
SSLClientAuthVerify 419
</Location>
ErrorDocument 419 /error419.html
<Location /error419.html>
SSLClientAuthVerify OFF
</Location>
</VirtualHost>

SSLCRLHostname 指引（已淘汰）

SSLCRLHostname 指引指定「憑證撤銷清冊 (CRL)」資料庫所在 LDAP 伺服器的 TCP/IP 名稱或位址。

針對 LDAP 型 CRL 儲存庫的靜態配置，搭配使用 SSLCRLHostname 指引與 SSLCRLPort、 SSLCRLUserID及 SSLStashfile 指引。 只有在明確的 CRLDistributionPoint X.509v3 憑證延伸不存在或延伸中指定的伺服器沒有回應 (即無法使用) 時，才需要使用這些指引來查詢 LDAP 型 CRL 儲存庫。

如果憑證中存在 CRLDistributionPoint 延伸，且延伸中指定的伺服器可回應 (即可用) ，則會匿名查詢 CRLDistributionPoint 中指定的 LDAP 伺服器，而不使用這些指引。

SSLCRLPort 指引（已淘汰）

SSLCRLPort 指引指定「憑證撤銷清冊 (CRL)」資料庫所在的 LDAP 伺服器埠。

針對 LDAP 型 CRL 儲存庫的靜態配置，搭配使用 SSLCRLPort 指引與 SSLCRLUserID、 SSLCRLHostname及 SSLStashfile 指引。 只有在明確的 CRLDistributionPoint X.509v3 憑證延伸不存在或延伸中指定的伺服器沒有回應 (無法使用) 時，才需要使用這些指引來查詢 LDAP 型 CRL 儲存庫。

如果憑證中有 CRLDistributionPoint 延伸存在，且延伸中指定的伺服器有回應（可用），則會以匿名方式查詢 CRLDistributionPoint 中指定的 LDAP 伺服器，而不會使用這些指引。

SSLCRLUserID 指引（已淘汰）

SSLCRLUserID 指引指定要傳送至 LDAP 伺服器的使用者 ID ，這是「憑證撤銷清冊 (CRL)」資料庫所在的位置。

針對 LDAP 型 CRL 儲存庫的靜態配置，使用 SSLCRLUserID 指引，以及 SSLCRLPort、 SSLCRLHostname和 SSLStashfile 指引。 只有在明確的 CRLDistributionPoint X.509v3 憑證延伸不存在或延伸中指定的伺服器沒有回應 (即無法使用) 時，才需要使用這些指引來查詢 LDAP 型 CRL 儲存庫。

如果憑證中有 CRLDistributionPoint 延伸存在，且延伸中指定的伺服器有回應（可用），則會以匿名方式查詢 CRLDistributionPoint 中指定的 LDAP 伺服器，而不會使用這些指引。

SSLDisable 指引

SSLEnable 指引

SSLFakeBasicAuth 指引

SSLFakeBasicAuth 指引會啟用偽造基本鑑別支援。

SSLFIPSDisable 指引

SSLFIPSEnable 指引

SSLFIPSEnable 指引會啟用「聯邦資訊存取安全標準 (FIPS)」。

這個指令適用於分散式平台。

避免麻煩: z/OS 平台支援這個指引，但有下列限制。

• 這個指引只在廣域範圍中有效。
• 如果您變更指引的值，則必須停止然後啟動 IBM HTTP Server ，新值才會生效。 如果您執行重新啟動，則新值不會生效。

SSLInsecureRenegotiation 指引

SSLInsecureRenegotiation 指引決定是否允許不安全 ( RFC5746之前) SSL 重新協議。 任何類型的 SSL 重新協議都不常見，不應將此指引從其預設值 off 變更。

注意: 在 V8.0.0.1之前，伺服器具有 RFC5746 支援並接受安全重新協議要求。 在 V8.0.0.1 以及更新版本中，除非先啟用 SSLRenegotiation 指引，否則不會接受安全重新協議要求。

指定 on 時，可允許不安全的 SSL 重新協議。 指定 off（預設值）時，不允許不安全的 SSL 重新協議。

SSLMinimumRSAKeySize 指引

SSLMinimumRSAKeySize 指引主要用來對收到的用戶端憑證施行 RSA 金鑰大小下限。 指引的行為取決於平台安全程式庫提供的功能。

在伺服器接收的用戶端憑證上施行金鑰大小。 不會檢查用戶端憑證的發證者。

在 mod_ibm_ssl所傳送或接收的所有憑證上施行金鑰大小，包括其完整憑證鏈。 在記載及條件式表示式中使用環境變數 SSL_CLIENT_KEY_ALG，例如 RSA 及 EC_ecPublicKey，以及 SSL_CLIENT_KEY_SIZE 。

如果不符合 RSA 金鑰大小下限， SSL 信號交換會失敗。

SSLPKCSDriver 指引

SSLPKCSDriver 指引可識別模組的完整名稱，或用來存取 PKCS11 裝置的驅動程式。

SSLProtocolDisable 指引

SSLProtocolDisable 指引可讓您指定用戶端無法針對特定虛擬主機使用的一或多個 SSL 通訊協定。 此指引必須位於 <VirtualHost> 儲存器中。

<VirtualHost *:443> 
   SSLEnable 
   SSLProtocolDisable TLSv10
   # Any other directives ...
</VirtualHost>

SSLProtocolEnable 指引

SSLProtocolEnable 指引可用來啟用個別 SSL 通訊協定。

SSLProxyEngine 指引

SSLProxyCheckPeerCN 指引

SSLRenegotiation 指引

SSLServerCert 指引

SSLStashfile 指引

SSLStashfile 指引指出檔名包含開啟 PKCS11 裝置之加密密碼的檔案路徑。

SSLStashfile 不會指向使用中 KeyFile 的隱藏檔，因為它會根據 KeyFile的名稱自動計算，而且是不同類型的隱藏檔。

使用 sslstash 指令 (位於 IBM HTTP Server的 bin 目錄中) 來建立 CRL 或加密裝置隱藏檔。 您使用 sslstash 指令來指定的密碼，應該與您用來登入 LDAP 伺服器或加密硬體的密碼相同。

用法：sslstash [-c] <directory_to_password_file_and_file_name> <function_name> <password>

針對 LDAP 型 CRL 儲存庫的靜態配置，搭配使用 SSLStashFile 指引與 SSLCRLPort、 SSLCRLHostname及 SSLCRLUserID 指引。 唯有當明確的 CRLDistributionPoint X.509v3 憑證延伸不存在，或是延伸中指定的伺服器無回應（無法使用）時，才需要使用這些指引來查詢 LDAP 型 CRL 儲存庫。

如果憑證中有 CRLDistributionPoint 延伸存在，且延伸中指定的伺服器有回應（可用），則會以匿名方式查詢 CRLDistributionPoint 中指定的 LDAP 伺服器，而不會使用這些指引。

SSLSuiteBMode

SSLSuiteBMode 指引可用來將含括虛擬主機配置成使用 TLS 的 Suite B 設定檔。

此 Suite B 設定檔會大幅減少伺服器可用的簽章演算法及密碼規格。 可接受的演算法與密碼組合，會因為相關的標準變更，而隨之變更。 128 和 192 引數是指 RFC 6460 中討論的兩個安全等級。

指定這個指引會置換大部分先前指定的 SSL 指引。 此指引不會置換 SSLAttributeSet 設定，因為它具有較高的優先順序。 所有 Suite B 設定檔都需要伺服器的憑證鏈，才能使用強型 ECC 簽章。 RFC 6460 中有提供 Suite B 設定檔的限制說明。

SSLSupportedCurves

SSLSupportedCurves 指引容許在信號交換使用 ECDHE 金鑰交換的環境中自訂伺服器提供的曲線。 用戶端和伺服器必須協議雙方都支援的具名曲線。

SSLTrace 指引

SSLTrace 指引可在 mod_ibm_ssl中啟用除錯記載。 它與 LogLevel 指引一起使用。 若要在 mod_ibm_ssl中啟用除錯記載，請將 LogLevel 設定為除錯，並在 IBM HTTP Server 配置檔中，在 mod_ibm_ssl的 LoadModule 指引之後，將 SSLTrace 指引新增至廣域範圍。 在調查 mod_ibm_ssl的可疑問題時，通常會在 IBM 支援中心要求時使用此指引。 在一般工作狀況下，建議不要啟用此指引。

SSLUnknownRevocationStatus

SSLUnknownRevocationStatus 指引指定當 IBM HTTP Server 無法隨時判定撤銷狀態 (透過 CRL 或 OCSP 進入) 時， IBM HTTP Server 如何反應。

%{SSL_UNKNOWNREVOCATION_SUBJECT}e

%{ENV:SSL_UNKNOWNREVOCATION_SUBJECT}

SSLV2Timeout 指引

SSLV2Timeout 指引設定 SSL 第 2 版階段作業 ID 的逾時值。

SSLV3Timeout 指引

SSLV3Timeout 指引設定 SSL 第 3 版和 TLS 階段作業 ID 的逾時值。 當重複使用 SSL 階段作業時，不會重設快取 SSL 階段作業的有效期間。

SSLVersion 指引

如果用戶端連接的 SSL 通訊協定版本不是指定的版本，則 SSLVersion 指引會導致物件存取拒絕 403 回應。

在大部分情況下， SSLProtocolDisable 指引是比 SSLVersion 指引更好的選擇，可確保使用特定的 SSL 通訊協定版本。 SSLProtocolDisable 指引可讓用戶端瀏覽器協議另一個通訊協定版本 (如果可能的話) ，而 SSLVersion 指引可讓 IBM HTTP Server 傳送 403 回應，這可能會讓使用者感到困惑。