Utilisation des directives SSL

Cette section fournit des informations sur l'utilisation des directives SSL. Elle indique leur syntaxe et leur portée et s'accompagne, pour chacune d'elles, d'une description et de remarques signalées par l'icône . La fin de cette section comprend des liens aux rubriques connexes.

Keyfile

• Description : définit le fichier de clés à utiliser.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : non
• Portée : base globale et hôte virtuel
• Syntaxe : Keyfile /chemin complet du fichier de clés/fichierclés.kdb
• Valeurs : nom du fichier de clés

LogLevel

• Description : détermine le niveau de détails des messages consignés dans le journal des erreurs. Lorsqu'un niveau particulier est indiqué, le serveur consigne également les messages des autres niveaux plus élevés. Par exemple, lorsque vous spécifiez LogLevel info, le serveur consigne les messages des niveaux de journalisation notice (remarque) et warn (avertissement). Il est recommandé de spécifier au moins le niveau crit (situation critique).
• Valeur par défaut : LogLevel error
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : oui. L'ordre de préférence est de haut en bas, de la première à la dernière. Si le client ne supporte pas les spécifications de chiffrement, la connexion est fermée.
• Portée : configuration du serveur, hôte virtuel
• Syntaxe : LogLevel niveau
• Valeurs : les niveaux suivants sont disponibles. Ils sont cités par ordre d'importe décroissante :
  .

  Niveau	Description	Exemple
  emerg	Urgence : le système est inutilisable.	"Le processus enfant ne peut pas ouvrir le fichier verrouillé. Sortie"
  alert	Des mesures doivent être prises immédiatement.	"getpwuid : impossible de déterminer le nom d'utilisateur à partir de l'uid"
  crit	Situation critique.	"socket : Impossible d'obtenir une socket, sortie du processus enfant"
  error	Erreurs.	"Fin prématurée des en-têtes de script"
  warn	Avertissement.	"Le processus enfant 1234 n'est pas sorti, envoi d'un autre SIGHUP"
  notice	Situation normale mais à signaler.	"httpd : SIGBUS intercepté, tentative de vidage des éléments principaux dans ..."
  info	Informationnel.	"Le serveur semble occupé (augmentez StartServers ou Min/MaxSpareServers)..."
  debug	Messages de débogage.	"Ouverture du fichier de configuration ..."

SSLAcceleratorDisable

• Description : désactive l'accélérateur matériel.
• Valeur par défaut : l'accélérateur matériel est activé
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : non
• Portée : hôte virtuel et base globale
• Syntaxe : SSLAcceleratorDisable
• Valeurs : aucune

Placez cette directive n'importe où dans le fichier de configuration, y compris à l'intérieur d'une section d'hôte virtuel. Lors de l'initialisation, si la présence d'un accélérateur matériel est détectée sur la machine, cet accélérateur est utilisé pour accroître le nombre de transactions sécurisées. Cette directive ne reçoit pas d'argument.

SSLCipherBan

• Description : refuse l'accès à un objet si le client tente d'utiliser la spécification de chiffrement indiquée.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : oui (plusieurs instances par section Directory). L'ordre de préférence est de haut en bas.
• Portée : plusieurs instances par section de répertoire (Directory).
• Syntaxe : SSLCipherBan <spécification de chiffrement>
• Valeurs : voir les sections Spécifications de chiffrement SSL version 2 et Spécifications de chiffrement SSL version 3 et TLS version 1

SSLCipherRequire

• Description : limite l'accès aux objets en fonction de spécifications de chiffrement déterminées.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : oui (plusieurs instances par section Directory). L'ordre de préférence est de haut en bas.
• Portée : plusieurs instances par section de répertoire (Directory).
• Syntaxe : SSLCipherRequire <spécification de chiffrement>
• Valeurs : voir les sections Spécifications de chiffrement SSL version 2 et Spécifications de chiffrement SSL version 3 et TLS version 1

SSLCipherSpec

• Description : indique une spécification de chiffrement pouvant être utilisée dans une transaction sécurisée.
• Valeur par défaut : si aucune spécification de chiffrement n'est indiquée, le serveur utilise toutes les spécifications de chiffrement disponibles dans la bibliothèque GSK installée.
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : oui. L'ordre de préférence est de haut en bas, de la première à la dernière. Si le client ne supporte pas les spécifications de chiffrement, la connexion est fermée.
• Portée : hôte virtuel
• Syntaxe : SSLCipherSpec nom_abrégé ou
  SSLCipherSpec nom_long
• Valeurs : voir les sections Spécifications de chiffrement SSL version 2 et Spécifications de chiffrement SSL version 3 et TLS version 1

Spécifications de chiffrement SSL version 3 et TLS version 1

Nom abrégé	Nom long	Description
3A	SSL_RSA_WITH_3DES_EDE_CBC_SHA	Triple-DES SHA (168 bits)
33	SSL_RSA_EXPORT_WITH_RC4_40_MD5	RC4 SHA (40 bits)
34	SSL_RSA_WITH_RC4_128_MD5	RC4 MD5 (128 bits)
39	SSL_RSA_WITH_DES_CBC_SHA	DES SHA (56 bits)
35	SSL_RSA_WITH_RC4_128_SHA	RC4 SHA (128 bits)
36 (Voir )	SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5	RC2 MD5 (40 bits)
32	SSL_RSA_WITH_NULL_SHA
31	SSL_RSA_WITH_NULL_MD5
30	SSL_NULL_WITH_NULL_NULL
62	TLS_RSA_EXPORT1024_WITH_RC4_56_SHA	RC4 SHA Export 1024 (56 bits)
64	TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA	DES SHA Export 1024 (56 bits)

La spécification de chiffrement 36 requiert Netscape Navigator version 4.07 ; elle ne fonctionne pas avec les versions antérieures des navigateurs Netscape.

SSLClientAuth

• Description : définit le mode d'authentification des clients à utiliser (none (0), optional (1) ou required (2)).
• Valeur par défaut : SSLClientAuth none
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel
• Portée : hôte virtuel
• Syntaxe : SSLClientAuth <mode> [crl]
• Valeurs :
  • 0/None : aucun certificat de client n'est demandé.
  • 1/Optional : un certificat de client est demandé mais pas obligatoire.
  • 2/Required : un certificat de client valide est requis.
  • CRL : Permet d'activer ou de désactiver l'option CRL à l'intérieur de l'hôte virtuel SSL concerné. Si vous souhaitez utiliser une liste de retrait de certificats (CRL), vous devez ajouter crl comme second argument de la directive SSLClientAuth. Par exemple : SSLClientAuth 2 crl. Si vous ne spécifiez pas l'argument crl, vous ne pourrez pas utiliser de liste de retrait de certificats dans l'hôte virtuel SSL.

  Si la valeur 0/None est spécifiée, vous ne pouvez pas utiliser l'option CRL.

SSLClientAuthGroup

• Description : permet de constituer des groupes d'attributs de certificat de client à utiliser dans la directive SSLClientAuthRequire.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : oui. Ces directives sont alors jointes par l'opération logique "ET".

• Portée : plusieurs instances par section de répertoire (Directory).
• Syntaxe : <SSLClientAuthGroup nom de groupe> <chaîne logique>
• Valeurs : expression logique constituée de contrôles d'attributs reliés par des opérateurs booléens AND, OR et NOT et des parenthèses.

Description des expressions logiques valides

L'exemple d'expression logique : Par exemple:

SSLClientAuthGroup (CommonName = "Pierre Montel" OR CommonName = "Jean Lacroix") AND Org = IBM

Liste des attributs valides :

• CommonName
• Country
• Email
• Group
• IssuerCommonName
• IssuerCountry
• IssuerEmail
• IssuerLocality
• IssuerOrg
• IssuerOrgUnit
• IssuerStateOrProvince
• Locality
• Org
• OrgUnit
• StateOrProvince

Liste des abréviations valides :

     CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 

SSLClientAuthRequire

• Description : permet la validation étendue des informations contenues dans le certificat du client avant de servir un objet.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : oui. Ces directives sont alors jointes par l'opération logique "ET".
• Portée : Directory (répertoire)
• Syntaxe : SSLClientAuthRequire CommonName = Richard
• Valeurs : expression logique constituée de contrôles d'attributs reliés par des opérateurs booléens AND, OR et NOT et des parenthèses.

Description des expressions logiques valides

Par exemple:

SSLClientAuthRequire (CommonName = "Pierre Montel" OR CommonName = "Jean Lacroix") AND Org = IBM

Liste des attributs valides :

• CommonName
• Country
• Email
• IssuerCommonName
• IssuerCountry
• IssuerEmail
• IssuerLocality
• IssuerOrg
• IssuerOrgUnit
• IssuerStateOrProvince
• Locality
• Org
• OrgUnit
• StateOrProvince

Liste des abréviations valides :

     CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST 

SSLCRLHostname

• Description : nom ou adresse TCP/IP du serveur LDAP où réside la base de données CRL.
• Valeur par défaut : SSLCRLHostname est désactivée par défaut.
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : serveur global ou hôte virtuel
• Syntaxe : SSLCRLHostname <nom ou adresse TCP/IP>
• Valeurs : nom ou adresse TCP/IP d'un serveur LDAP

SSLCRLPort

• Description : port du serveur LDAP où réside la base de données CRL.
• Valeur par défaut : SSLCRLPort est désactivée par défaut.
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : serveur global ou hôte virtuel
• Syntaxe : SSLCRLPort <numéro de port>
• Valeurs : port du serveur LDAP ; valeur par défaut = 389

SSLCRLUserID

• Description : ID utilisateur à envoyer au serveur LDAP où réside la base de données CRL.
• Valeur par défaut : anonymous si aucun ID utilisateur n'est spécifié explicitement
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : serveur global ou hôte virtuel
• Syntaxe : SSLCRLUserID <ID utilisateur>
• Valeurs : ID utilisateur de connexion au serveur LDAP

SSLDisable

• Description : désactive SSL pour cet hôte virtuel.
• Valeur par défaut : SSL est désactivé par défaut.
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : serveur global ou hôte virtuel
• Syntaxe : SSLDisable
• Valeurs : aucune

SSLEnable

• Description : active SSL pour cet hôte virtuel.
• Valeur par défaut : SSL est désactivé par défaut.
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : serveur global ou hôte virtuel
• Syntaxe : SSLEnable
• Valeurs : aucune

SSLFakeBasicAuth

• Description : active le support d'authentification de base factice. Le nom distinctif (DN) du certificat du client devient la partie utilisateur de la combinaison utilisateur/mot de passe servant à l'authentification de base. Utilisez le mot de passe password.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : dans une section de répertoire (Directory), utilisée conjointement avec les directives AuthName, AuthType et require.
• Syntaxe : SSLFakeBasicAuth
• Valeurs : aucune

SSLPKCSDriver

• Description : identifie le chemin complet et le nom du module ou pilote utilisé pour accéder au dispositif PKCS11.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : serveur global ou hôte virtuel
• Syntaxe : <chemin et nom du module utilisé pour l'accès au dispositif PKCS11> Si le module se trouve dans le chemin (path) de l'utilisateur, spécifiez simplement son nom.
• Valeurs : chemin et nom du module ou pilote PKCS11.

Voici l'emplacement par défaut des modules d'accès à chaque dispositif PKCS11, par plateforme :

nCipher

• AIX : /opt/nfast/toolkits/pkcs11/libcknfast.so
• HP : /opt/nfast/toolkits/pkcs11/libcknfast.sl
• Solaris : /opt/nfast/toolkits/pkcs11/libcknfast.so
• Windows NT et Windows 2000 : c:\nfast\toolkits\pkcs11\cknfast.dll

IBM 4758

• AIX : /usr/lib/pkcs11/PKCS11_API.so
• Windows NT et Windows 2000 : $PKCS11_HOME\bin\nt\cryptoki.dll

IBM e-business Cryptographic Accelerator

• AIX : /usr/lib/pkcs11/PKCS11_API.so

SSLServerCert

• Description : définit le certificat de serveur à utiliser pour cet hôte virtuel.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel
• Portée : hôtes virtuels IP.
• Syntaxe : SSLServerCert label_mon_certificat ;
  En présence d'un dispositif PKCS11 : SSLServerCert label_mon_jeton:label_ma_clé
• Valeurs : label de certificat

N'utilisez pas de délimiteurs avant et après le label de certificat. Veillez à faire figurer ce label sur une seule ligne. Les caractères d'espacement au début et en fin de ligne sont ignorés.

SSLStashfile

• Description : chemin et nom du fichier contenant le mot de passe chiffré destiné à l'ouverture du dispositif PKCS11.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : hôte virtuel et serveur global
• Syntaxe : sslstash [-c] <fichier> <fonction> <mot_de_passe>, où :
  • -c = Crée un nouveau fichier de dissimulation. Si cette option n'est pas spécifiée, le serveur modifie un fichier de dissimulation existant.
  • fichier = Nom qualifié complet du fichier à créer ou à modifier.
  • fonction = Fonction avec laquelle utiliser le mot de passe. Les valeurs admises sont crl et crypto.
  • mot_de_passe = Mot de passe à dissimuler dans le fichier.
  • Syntaxe - sslstash -c conf\pkcs11.passwd crypto pkcs11
• Valeurs : chemin avec nom de fichier

Une commande sslstash doit être accessible dans le répertoire bin d'IBM HTTP Server (pour UNIX) ou dans le répertoire racine d'installation du serveur (pour Windows). Cette commande sert à stocker le mot de passe d'ouverture du dispositif PKCS11. Le fichier de dissimulation (stash) créé après l'exécution de la commande sslstash peut contenir deux mots de passe différents pour deux fonctions différentes : crl et cryptographie.

SSLV2Timeout

• Description : définit le délai d'expiration des ID de session SSL version 2.
• Valeur par défaut : 40
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : base globale et hôte virtuel
• Syntaxe : SSLV2Timeout 60
• Valeurs : 0 à 100 secondes

SSLV3Timeout

• Description : définit le délai d'expiration des ID de session SSL version 3.
• Valeur par défaut : 120
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : base globale et hôte virtuel
• Syntaxe : SSLV3Timeout 1000
• Valeurs : 0 à 86400 secondes

SSLVersion

• Description : permet de refuser l'accès aux objets si le client tente de se connecter avec une version de protocole SSL différente de celle indiquée.
• Valeur par défaut : aucune
• Module : mod_ibm_ssl
• Plusieurs instances autorisées dans le fichier de configuration : une par instance d'hôte virtuel et serveur global
• Portée : une par section de répertoire (Directory)
• Syntaxe : SSLVersion ALL
• Valeurs : SSLV2|SSLV3|TLSV1|ALL

     (Retour au début)