Uso delle direttive Secure Sockets Layer

In questa sezione vengono fornite le informazioni sull'utilizzo delle direttive SSL. Queste informazioni includono sintassi specifiche, descrizioni, ambiti e note associate. I collegamenti agli argomenti correlati vengono visualizzati alla fine di questa sezione.

Keyfile

• Descrizione: imposta il file della chiave da utilizzare.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: non consentite
• Ambito: base globale e host virtuale
• Sintassi: Keyfile /percorso completo al file chiave/keyfile.kdb
• Valori: nome del file della chiave

LogLevel

• Descrizione: stabilisce il livello di precisione delle informazioni dei messaggi registrati nei log degli errori. Quando viene specificato un particolare livello, vengono riportati i messaggi provenienti da tutti gli altri livelli di maggiore importanza. Ad esempio, quando si specifica LogLevel info, vengono riportati i messaggi con i livelli log notice e warn. Si consiglia di specificare almeno level crit.
• Impostazione predefinita: LogLevel error
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: consentite. L'ordine di preferenza è dall'alto verso il basso, dal primo all'ultimo. Se il client non supporta specifiche di cifratura, il collegamento viene terminato.
• Ambito: configurazione del server, host virtuale
• Sintassi: LogLevel livello
• Valori: i seguenti livelli disponibili vengono visualizzati in ordine di importanza decrescente:
  .

  Livello	Descrizione	Esempio
  emerg	Emergenze: sistema inutilizzabile.	"Il processo secondario non è in grado di aprire il file di blocco. Chiusura"
  alert	Effettuare immediatamente un'operazione.	"getpwuid: impossibile determinare il nome utente da uid"
  crit	Condizioni critiche.	"socket: Impossibile richiamare un socket, chiusura del processo secondario"
  error	Condizione di errore.	"Interruzione anomala delle intestazioni dello script"
  warn	Avvertimento.	"il processo secondario 1234 non esiste, inviare un altro SIGHUP"
  notice	Condizione normale ma significativa.	"httpd: SIGBUS rilevato, tentativo di eseguire il dump di memoria in corso..."
  info	Informazioni.	"Il server è impegnato, aumentare StartServers oppure Min/MaxSpareServers..."
  debug	Messaggi livello debug.	"Apertura del file di configurazione..."

SSLAcceleratorDisable

• Descrizione: disabilita il dispositivo di accelerazione.
• Impostazione predefinita: il dispositivo acceleratore è abilitato
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: non consentite
• Ambito: virtuale e globale
• Sintassi: SSLAcceleratorDisable
• Valori: nessuno

posizionare questa direttiva in un punto qualsiasi del file di configurazione, incluso un host virtuale. Durante l'inizializzazione, se viene accertata l'installazione di un dispositivo acceleratore su una macchina, questo acceleratore viene utilizzato per aumentare il numero di transazioni protette. Questa direttiva non utilizza argomenti.

SSLCacheDisable

• Descrizione: disabilita la cache dell'ID della sessione SSL esterna
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: non consentite
• Ambito: uno per ogni istanza del server Apache fisico, consentito solo esternamente alle sezioni di host virtuale
• Sintassi: SSLCacheDisable
• Valori: nessuno

Valido solo negli ambienti UNIX.

SSLCacheEnable

• Descrizione: abilita la cache dell'ID della sessione SSL esterna
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: non consentite
• Ambito: uno per ogni istanza del server Apache fisico, consentito solo esternamente alle sezioni di host virtuale
• Sintassi: SSLCacheEnable
• Valori: nessuno

Valido solo negli ambienti UNIX.

SSLCacheErrorLog

• Descrizione: imposta il nome file per la registrazione degli errori della cache relativa all'ID della sessione
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: non consentite
• Ambito: uno per ogni istanza del server Apache fisico, consentito solo esternamente alle sezioni di host virtuale.
• Sintassi: SSLCacheErrorLog /usr/HTTPServer/log/sidd_log
• Valori: nome file valido

Non valido sui sistemi operativi Windows NT e Windows 2000.

SSLCachePath

• Descrizione: specifica il percorso all'eseguibile del daemon per la funzione di memorizzazione nella cache dell'ID della sessione.
• Impostazione predefinita: /usr/HTTPServer/bin/sidd
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: non consentite
• Ambito: un IBM HTTP Server fisico
• Sintassi: SSLCachePath /usr/HTTPServer/bin/sidd
• Valori: nome percorso valido.

Non valido sui sistemi operativi Windows NT e Windows 2000.

SSLCachePortFilename

• Descrizione: imposta il nome file per il socket di dominio UNIX utilizzato per la comunicazione tra le istanze del server e il daemon della cache dell'ID di sessione.
• Impostazione predefinita: se la direttiva non viene specificata e la cache è abilitata, viene tentato di utilizzare il file: /usr/HTTPServer/logs/siddport
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: non consentite
• Ambito: uno per ogni istanza del server Apache fisico, consentito solo esternamente alle sezioni di host virtuale.
• Sintassi: SSLCachePortFilename /usr/HTTPServer/logs/siddport
• Valori: nome file valido. il server Web cancella questo file durante l'avvio; non utilizzare il nome file esistente.

Valido solo sulle piattaforme UNIX.

SSLCacheTraceLog

• Descrizione: specifica il log traccia in cui vengono registrati i messaggi di traccia dell'ID della sessione.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: non consentite
• Ambito: un IBM HTTP Server fisico
• Sintassi: SSLCacheTraceLog /usr/HTTPServer/log/sidd-trace.log
• Valori: nome percorso valido.

non valido sui sistemi operativi Windows NT e Windows 2000.

SSLCipherBan

• Descrizione: nega l'accesso ad un oggetto se il client tenta di eseguire la codifica specificata.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: consentite per sezione di directory. L'ordine di preferenza è dall'alto verso il basso.
• Ambito: istanze multiple per sezione di directory.
• Sintassi: SSLCipherBan <specifiche di cifratura>
• Valori: vedere Specifiche della codifica di SSL Versione 2, Specifiche di codifica di SSL Versione 3 e TLS Versione 1

SSLCipherRequire

• Descrizione: consente accesso limitato agli oggetti secondo le codifiche specificate.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: consentite per sezione di directory. L'ordine di preferenza è dall'alto verso il basso.
• Ambito: istanze multiple per sezione di directory.
• Sintassi: SSLCipherRequire <specifiche di cifratura>
• Valori: vedere Specifiche della codifica di SSL Versione 2, Specifiche di codifica di SSL Versione 3 e TLS Versione 1

SSLCipherSpec

• Descrizione: indica una specifica di codifica che è possibile utilizzare in una transazione protetta.
• Impostazione predefinita: se non viene indicato alcun valore, il server utilizza tutte le specifiche di cifratura disponibili nella libreria GSK installata.
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: consentite. L'ordine di preferenza è dall'alto verso il basso, dal primo all'ultimo. Se il client non supporta specifiche di cifratura, il collegamento viene terminato.
• Ambito: host virtuale
• Sintassi: SSLCipherSpec nome breve o
  SSLCipherSpec nome esteso
• Valori: vedere Specifiche della codifica di SSL Versione 2, Specifiche di codifica di SSL Versione 3 e TLS Versione 1

Specifiche di codifica SSL Versione 3 e TLS Versione 1

Nome breve	Nome esteso	Descrizione
3A	SSL_RSA_WITH_3DES_EDE_CBC_SHA	Triple-DES SHA (168 bit)
33	SSL_RSA_EXPORT_WITH_RC4_40_MD5	RC4 SHA (40 bit)
34	SSL_RSA_WITH_RC4_128_MD5	RC4 MD5 (128 bit)
39	SSL_RSA_WITH_DES_CBC_SHA	DES SHA (56 bit)
35	SSL_RSA_WITH_RC4_128_SHA	RC4 SHA (128 bit)
36 (Vedere	SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5	RC2 MD5 (40 bit)
32	SSL_RSA_WITH_NULL_SHA
31	SSL_RSA_WITH_NULL_MD5
30	SSL_NULL_WITH_NULL_NULL
62	TLS_RSA_EXPORT1024_WITH_RC4_56_SHA	RC4 SHA Export 1024 (56 bit)
64	TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA	DES SHA Export 1024 (56 bit)

La specifica di codifica 36 richiede Netscape Navigator V4.07; non funziona con le versioni precedenti del browser Netscape.

SSLClientAuth

• Descrizione: imposta la modalità da utilizzare per l'autenticazione del client (nessuna (0), facoltativa (1) o obbligatoria (2)).
• Impostazione predefinita: SSLClientAuth none
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale
• Ambito: host virtuale
• Sintassi: SSLClientAuth <livello richiesto> [crl]
• Valori:
  • 0/Nessuno: nessun certificato client necessario.
  • 1/Facoltativo: certificato client richiesto ma non necessario.
  • 2/Obbligatorio: certificato client valido necessario.
  • CRL: attiva e disattiva crl in un host virtuale SSL. Se si utilizza un CRL (Certificate Revocation List), è necessario specificare crl come secondo argomento di SSLClientAuth. Ad esempio: SSLClientAuth 2 crl. Se non si specifica crl, non è possibile eseguire un CRL in un host virtuale SSL.

  Se si specifica il valore 0/Nessuno, non è possibile utilizzare l'opzione CRL.

SSLClientAuthGroup

• Descrizione: abilita l'utente a raggruppare gli attributi del certificato client per utilizzarli nella direttiva SSLClientAuthRequire.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: consentite. La funzione unisce queste direttive con "AND".

• Ambito: istanze multiple per sezione di directory.
• Sintassi: <SSLClientAuthGroup nome gruppo> <stringa logica>
• Valori: espressione logica costituita da controlli di attributi collegati mediante AND, OR, NOT e parentesi.

Descrizione di espressioni logiche valide

Nella sezione seguente viene fornita una descrizione di esempi con espressioni logiche valide. Ad esempio:

SSLClientAuthGroup (CommonName = "Federico Verdi" OR CommonName = "Giovanni Volpe") AND Org = IBM

Segue un elenco di attributi validi:

• CommonName
• Country
• Email
• Group
• IssuerCommonName
• IssuerCountry
• IssuerEmail
• IssuerLocality
• IssuerOrg
• IssuerOrgUnit
• IssuerStateOrProvince
• Locality
• Org
• OrgUnit
• StateOrProvince

Segue un elenco di nomi brevi validi:

     CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 

SSLClientAuthRequire

• Descrizione: abilita la convalida completa delle informazioni sul certificato client prima di utilizzare un oggetto.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: consentite. La funzione unisce queste direttive con "AND".
• Ambito: directory
• Sintassi: SSLClientAuthRequire CommonName = Riccardo
• Valori: espressione logica costituita da controlli di attributi collegati mediante AND, OR, NOT e parentesi.

Descrizione di espressioni logiche valide

Ad esempio:

SSLClientAuthRequire (CommonName = "Federico Verdi" OR CommonName = "Giovanni Volpe") AND Org = IBM

Segue un elenco di attributi validi:

• CommonName
• Country
• Email
• IssuerCommonName
• IssuerCountry
• IssuerEmail
• IssuerLocality
• IssuerOrg
• IssuerOrgUnit
• IssuerStateOrProvince
• Locality
• Org
• OrgUnit
• StateOrProvince

Segue un elenco di nomi brevi validi:

     CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 

SSLCRLHostname

• Descrizione: indirizzo o nome TCP/IP del server LDAP dove risiede il database CRL.
• Impostazione predefinita: per impostazione predefinita SSLCRLHostname è disabilitata.
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: server globale o host virtuale
• Sintassi: SSLCRLHostname <nome o indirizzo TCP/IP>
• Valori: nome o indirizzo TCP/IP del server LDAP

SSLCRLPort

• Descrizione: porta del server LDAP in cui si trova il database CRL.
• Impostazione predefinita: per impostazione predefinita SSLCRLPort è disabilitata.
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: server globale o host virtuale
• Sintassi: SSLCRLPort <numero porta>
• Valori: porta del server LDAP; impostazione predefinita=389

SSLCRLUserID

• Descrizione: ID utente da inviare al server LDAP dove risiede il database CRL.
• Impostazione predefinita: impostato in modo predefinito su anonimo se non si specifica un ID utente
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: server globale o host virtuale
• Sintassi: SSLCRLUserID <idutente>
• Valori: ID utente del server LDAP

SSLDisable

• Descrizione: disabilita SSL per questo host virtuale.
• Impostazione predefinita: per impostazione predefinita SSL è disabilitato.
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: server globale o host virtuale
• Sintassi: SSLDisable
• Valori: nessuno

SSLEnable

• Descrizione: abilita SSL per questo host virtuale.
• Impostazione predefinita: per impostazione predefinita SSL è disabilitata.
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: server globale o host virtuale
• Sintassi: SSLEnable
• Valore: nessuno

SSLFakeBasicAuth

• Descrizione: abilita il supporto di autenticazione base falsa. Questo supporto consente al nome distinto del certificato client di diventare parte utente nella coppia di autenticazione di base utente e password. Utilizzare la password password.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: in una sezione della directory utilizzata con AuthName, AuthType e direttive di richiesta.
• Sintassi: SSLFakeBasicAuth
• Valori: nessuno

SSLPKCSDriver

• Descrizione: identifica il nome completo per il modulo o il driver utilizzato per accedere al dispositivo PKCS11
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: server globale o host virtuale
• Sintassi: <nome completo per il modulo utilizzato per accedere al dispositivo PKCS11> Se il modulo si trova nel percorso utente, specificare solo il nome del modulo.
• Valori: percorso e nome del driver o del modulo PKCS11.

Di seguito sono riportate le ubicazioni predefinite dei moduli per ogni dispositivo PKCS11 per piattaforma:

nCipher

• AIX: /opt/nfast/toolkits/pkcs11/libcknfast.so
• HP: /opt/nfast/toolkits/pkcs11/libcknfast.sl
• Solaris: /opt/nfast/toolkits/pkcs11/libcknfast.so
• Windows NT e Windows 2000: c:\nfast\toolkits\pkcs11\cknfast.dll

IBM 4758

• AIX: /usr/lib/pkcs11/PKCS11_API.so
• Windows NT e Windows 2000: $PKCS11_HOME\bin\nt\cryptoki.dll

IBM e-business Cryptographic Accelerator

• AIX: /usr/lib/pkcs11/PKCS11_API.so

SSLServerCert

• Descrizione: imposta il certificato del server da utilizzare per questo host virtuale
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale
• Ambito: host virtuali basati su IP
• Sintassi: SSLServerCert my_certificate_label; su dispositivo PKCS11 - SSLServerCert mytokenlabel:mykeylabel
• Valori: etichetta certificato

Non utilizzare delimitatori intorno all'etichetta del certificato. Verificare che l'etichetta sia contenuta in una sola riga. Gli spazi vuoti iniziali e finali vengono ignorati.

SSLStashfile

• Descrizione: indica il percorso al file con il nome file contenente la password codificata per l'apertura del dispositivo PKCS11.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: host virtuale e server globale
• Sintassi: sslstash [-c] <file> <funzione> <password>, dove:
  • -c = crea un nuovo file stash. Se non specificato, viene aggiornato il file stash esistente.
  • File = nome completo del file da creare o aggiornare
  • Funzione = funzione con cui utilizzare la password I valori validi includono crl o crypto
  • Password = Password da memorizzare
  • Uso - sslstash -c conf\pkcs11.passwd crypto pkcs11
• Valori: percorso con nome file

Individuare un comando sslstash nella directory bin di IBM HTTP Server per UNIX e la root di installazione del server per la piattaforma Windows. Utilizzare questo comando per memorizzare la password del dispositivo PKCS11. Il file stash creato dopo l'utilizzo del comando sslstash può contenere due diverse password per due diverse funzioni: crl e cryptography.

SSLV2Timeout

• Descrizione: imposta il timeout per gli ID della sessione SSL versione 2
• Impostazione predefinita: 40
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: base globale e host virtuale
• Sintassi: SSLV2Timeout 60
• Valori: da 0 a 100 secondi

SSLV3Timeout

• Descrizione: imposta il timeout per gli ID della sessione SSL versione 3
• Impostazione predefinita: 120
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: base globale e host virtuale
• Sintassi: SSLV3Timeout 1000
• Valori: da 0 a 86400 secondi

SSLVersion

• Descrizione: abilita il rifiuto di accesso all'oggetto se il client tenta di connettersi con una versione del protocollo SSL diversa da quella specificata.
• Impostazione predefinita: nessuna
• Modulo: mod_ibm_ssl
• Istanze multiple nel file di configurazione: un'istanza per host virtuale e server globale
• Ambito: uno per sezione di directory
• Sintassi: SSLVersion ALL
• Valori: SSLV2|SSLV3|TLSV1|ALL

     (Torna all'inizio)