|
In questa sezione vengono fornite le informazioni sull'utilizzo
delle direttive SSL. Queste informazioni includono sintassi
specifiche, descrizioni, ambiti e note
associate .
I collegamenti agli argomenti correlati vengono visualizzati alla
fine di questa sezione.
 .
- Descrizione: imposta il file della chiave da utilizzare.
- Impostazione predefinita: nessuna
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: non consentite
- Ambito: base globale e host virtuale
- Sintassi: Keyfile /percorso completo al file
chiave/keyfile.kdb
- Valori: nome del file della chiave
- Descrizione: stabilisce il livello di precisione
delle informazioni dei messaggi registrati nei log degli errori. Quando
viene specificato un particolare livello, vengono riportati i
messaggi provenienti da tutti gli altri livelli di maggiore importanza. Ad
esempio, quando si specifica LogLevel info, vengono
riportati i messaggi con i livelli log notice e
warn. Si consiglia di specificare almeno level crit.
- Impostazione predefinita: LogLevel error
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: consentite. L'ordine di preferenza è
dall'alto verso il basso, dal primo
all'ultimo. Se il client non supporta specifiche di cifratura, il
collegamento viene terminato.
- Ambito: configurazione del server, host virtuale
- Sintassi: LogLevel livello
- Valori: i seguenti livelli disponibili vengono visualizzati in
ordine di importanza decrescente:
Livello |
Descrizione |
Esempio |
emerg |
Emergenze: sistema inutilizzabile. |
"Il processo secondario non è in grado di aprire il
file di blocco. Chiusura" |
alert |
Effettuare immediatamente un'operazione. |
"getpwuid: impossibile determinare il nome
utente da uid" |
crit |
Condizioni critiche. |
"socket: Impossibile richiamare un socket,
chiusura del processo secondario" |
error |
Condizione di errore. |
"Interruzione anomala delle intestazioni
dello script" |
warn |
Avvertimento. | .
"il processo secondario 1234 non esiste,
inviare un altro SIGHUP" |
notice |
Condizione normale ma significativa. |
"httpd: SIGBUS rilevato, tentativo di
eseguire il dump di memoria in corso..." |
info |
Informazioni. |
"Il server è impegnato, aumentare StartServers
oppure Min/MaxSpareServers..." |
debug |
Messaggi livello debug. |
"Apertura del file di configurazione..." |
- Descrizione: disabilita il dispositivo di accelerazione.
- Impostazione predefinita: il dispositivo acceleratore è
abilitato
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: non consentite
- Ambito: virtuale e globale
- Sintassi: SSLAcceleratorDisable
- Valori: nessuno
posizionare questa
direttiva in un punto qualsiasi del file di configurazione,
incluso un host virtuale.
Durante l'inizializzazione, se viene accertata l'installazione di un
dispositivo acceleratore su una macchina, questo acceleratore viene
utilizzato per aumentare il numero di transazioni protette. Questa
direttiva non utilizza argomenti.
|
|
- Descrizione: nega l'accesso ad un oggetto se il client tenta
di eseguire la codifica specificata.
- Impostazione predefinita: nessuna
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: consentite per sezione di directory. L'ordine di preferenza è dall'alto verso il basso.
- Ambito: istanze multiple per sezione di directory.
- Sintassi: SSLCipherBan <specifiche di cifratura>
- Valori: vedere
Specifiche della codifica di SSL Versione 2,
Specifiche di codifica di SSL Versione 3 e TLS Versione 1
- Descrizione: indica una specifica di codifica che è
possibile utilizzare in una transazione protetta.
- Impostazione predefinita: se non viene indicato alcun valore, il
server utilizza tutte le specifiche di cifratura disponibili nella
libreria GSK installata.
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: consentite. L'ordine di preferenza è
dall'alto verso il basso, dal primo
all'ultimo. Se il client non supporta specifiche di cifratura, il
collegamento viene terminato.
- Ambito: host virtuale
- Sintassi: SSLCipherSpec nome breve o
SSLCipherSpec nome esteso
- Valori: vedere Specifiche della codifica di
SSL Versione 2, Specifiche di codifica di SSL
Versione 3 e TLS Versione 1
Specifiche della codifica di SSL
Versione 2
Nome breve |
Nome esteso |
Descrizione |
27 |
SSL_DES_192_EDE3_CBC_WITH_MD5 |
Triple-DES (168 bit) |
21 |
SSL_RC4_128_WITH_MD5 |
RC4 (128 bit) |
23 |
SSL_RC2_CBC_128_CBC_WITH_MD5 |
RC2 (128 bit) |
26 |
SSL_DES_64_CBC_WITH_MD5 |
DES (56 bit) |
22 |
SSL_RC4_128_EXPORT40_WITH_MD5 |
RC4 (40 bit) |
24 |
SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 |
RC2 (40 bit) |
Specifiche di codifica SSL Versione 3 e TLS Versione 1
Nome breve |
Nome esteso |
Descrizione |
3A |
SSL_RSA_WITH_3DES_EDE_CBC_SHA |
Triple-DES SHA (168 bit) |
33 |
SSL_RSA_EXPORT_WITH_RC4_40_MD5 |
RC4 SHA (40 bit) |
34 |
SSL_RSA_WITH_RC4_128_MD5 |
RC4 MD5 (128 bit) |
39 |
SSL_RSA_WITH_DES_CBC_SHA |
DES SHA (56 bit) |
35 |
SSL_RSA_WITH_RC4_128_SHA |
RC4 SHA (128 bit) |
36 (Vedere  |
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 |
RC2 MD5 (40 bit) |
32 |
SSL_RSA_WITH_NULL_SHA |
|
31 |
SSL_RSA_WITH_NULL_MD5 |
|
30 |
SSL_NULL_WITH_NULL_NULL |
|
62 |
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA |
RC4 SHA Export 1024 (56 bit)
|
64 |
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA |
DES SHA Export 1024 (56 bit)
|
La specifica di
codifica 36 richiede Netscape Navigator V4.07;
non funziona con le versioni precedenti del browser Netscape.
- Descrizione: abilita l'utente a raggruppare gli attributi
del certificato client per utilizzarli nella direttiva SSLClientAuthRequire.
- Impostazione predefinita: nessuna
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: consentite. La
funzione unisce queste direttive con "AND".
- Ambito: istanze multiple per sezione di directory.
- Sintassi: <SSLClientAuthGroup nome gruppo>
<stringa logica>
- Valori: espressione logica costituita da controlli
di attributi collegati mediante AND, OR, NOT e parentesi.
Nella sezione seguente viene fornita una descrizione di esempi
con espressioni logiche valide.
Ad esempio:
SSLClientAuthGroup (CommonName = "Federico Verdi" OR CommonName = "Giovanni Volpe") AND Org = IBM
significa che l'oggetto non sarà utilizzato a meno che il
certificato del client non contenga il nome Federico Verdi o
Giovanni Volpe e la società IBM.
Gli unici attributi di confronto validi per i controlli degli attributi
sono uguale e non uguale (= and !=).
È possibile collegare ogni controllo di attributo con AND, OR o NOT
(anche
&&, ||, e !).
Utilizzare le parentesi per unire più paragoni.
Se il valore dell'attributo contiene un carattere non alfanumerico, è
necessario delimitare il valore tra apici.
Segue un elenco di attributi validi:
- CommonName
- Country
- Email
- Group
- IssuerCommonName
- IssuerCountry
- IssuerEmail
- IssuerLocality
- IssuerOrg
- IssuerOrgUnit
- IssuerStateOrProvince
- Locality
- Org
- OrgUnit
- StateOrProvince
Segue un elenco di nomi brevi validi:
CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST
- Descrizione: abilita la convalida completa delle informazioni sul
certificato client prima di utilizzare un oggetto.
- Impostazione predefinita: nessuna
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: consentite. La
funzione unisce queste direttive con "AND".
- Ambito: directory
- Sintassi: SSLClientAuthRequire CommonName = Riccardo
- Valori: espressione logica costituita
da controlli di attributi collegati mediante AND, OR, NOT e parentesi.
Ad esempio:
SSLClientAuthRequire (CommonName = "Federico Verdi" OR CommonName = "Giovanni Volpe") AND Org = IBM
significa che l'oggetto non sarà utilizzato a meno che il certificato
del client non contenga il nome Federico Verdi o Giovanni Volpe e la
società IBM.
Gli unici attributi di confronto validi per i controlli di
attributi sono uguale e non uguale (= and !=).
È possibile collegare gli attributi con AND, OR o NOT (anche
&&,
||, e !). Utilizzare le parentesi per unire più attributi di
confronto.
Se il valore dell'attributo contiene un carattere non alfanumerico, è
necessario delimitare il valore con apici.
Segue un elenco di attributi validi:
- CommonName
- Country
- Email
- IssuerCommonName
- IssuerCountry
- IssuerEmail
- IssuerLocality
- IssuerOrg
- IssuerOrgUnit
- IssuerStateOrProvince
- Locality
- Org
- OrgUnit
- StateOrProvince
Segue un elenco di nomi brevi validi:
CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST
- Descrizione: indirizzo o nome TCP/IP del server LDAP
dove risiede
il database CRL.
- Impostazione predefinita: per impostazione predefinita
SSLCRLHostname è disabilitata.
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: un'istanza per host
virtuale e server globale
- Ambito: server globale o host virtuale
- Sintassi: SSLCRLHostname <nome o indirizzo TCP/IP>
- Valori: nome o indirizzo TCP/IP del server LDAP
- Descrizione: porta del server LDAP in cui si trova il
database CRL.
- Impostazione predefinita: per impostazione predefinita
SSLCRLPort è disabilitata.
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: un'istanza per host
virtuale e server globale
- Ambito: server globale o host virtuale
- Sintassi: SSLCRLPort <numero porta>
- Valori: porta del server LDAP; impostazione predefinita=389
- Descrizione: ID utente da inviare al server LDAP dove risiede il
database CRL.
- Impostazione predefinita: impostato in modo predefinito su
anonimo se non si specifica un ID utente
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: un'istanza per host
virtuale e server globale
- Ambito: server globale o host virtuale
- Sintassi: SSLCRLUserID <idutente>
- Valori: ID utente del server LDAP
- Descrizione: disabilita SSL per questo host virtuale.
- Impostazione predefinita: per impostazione predefinita SSL è
disabilitato.
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: un'istanza per host
virtuale e server globale
- Ambito: server globale o host virtuale
- Sintassi: SSLDisable
- Valori: nessuno
- Descrizione: abilita SSL per questo host virtuale.
- Impostazione predefinita: per impostazione predefinita SSL è
disabilitata.
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: un'istanza per host
virtuale e server globale
- Ambito: server globale o host virtuale
- Sintassi: SSLEnable
- Valore: nessuno
- Descrizione: abilita il supporto di autenticazione base
falsa.
Questo supporto consente al nome distinto del certificato client di
diventare parte utente nella coppia di autenticazione di base
utente e password.
Utilizzare la password password.
- Impostazione predefinita: nessuna
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: un'istanza per host
virtuale e server globale
- Ambito: in una sezione della directory utilizzata con AuthName,
AuthType e direttive di richiesta.
- Sintassi: SSLFakeBasicAuth
- Valori: nessuno
- Descrizione: identifica il nome completo per il modulo o
il driver utilizzato per accedere al dispositivo PKCS11
- Impostazione predefinita: nessuna
- Modulo: mod_ibm_ssl
- Istanze multiple nel file di configurazione: un'istanza per host
virtuale e server globale
- Ambito: server globale o host virtuale
- Sintassi: <nome completo per il modulo utilizzato
per accedere al dispositivo PKCS11>
Se il modulo si trova nel percorso utente, specificare solo il nome
del modulo.
- Valori: percorso e nome del driver o del modulo PKCS11.
|