本文档旨在帮助您入门,并使一些工作正常进行。强烈建议您阅读其余的SSL文档,并在继续学习高级技术之前对材料进行更深入的了解。
您的SSL配置至少需要包含以下指令。
LoadModule ssl_module modules/mod_ssl.so Listen 443 <VirtualHost *:443> ServerName www.example.com SSLEngine on SSLCertificateFile "/path/to/www.example.com.cert" SSLCertificateKeyFile "/path/to/www.example.com.key" </VirtualHost>
以下仅启用最强的密码:
SSLCipherSuite HIGH:!aNULL:!MD5
在使用以下配置时,您可以为特定的速度优化密码指定首选项(如果客户端支持,它将由mod_ssl选择):
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5 SSLHonorCipherOrder on
显然,在服务器范围SSLCipherSuite
内将密码限制为强大的变体,这不是答案。但是,
mod_ssl
可以在Location
块内重新配置,以提供按目录的解决方案,并且可以自动强制重新协商SSL参数以满足新配置。可以按照以下步骤进行:
# be liberal in general SSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL <Location "/strong/area"> # but https://hostname/strong/area/ and below # requires strong ciphers SSLCipherSuite HIGH:!aNULL:!MD5 </Location>
联机证书状态协议(OCSP)是一种用于确定服务器证书是否已被吊销的机制,而OCSP装订是一种特殊形式,其中服务器(例如httpd和mod_ssl)维护其证书的当前OCSP响应。并将它们发送给与服务器通信的客户端。大多数证书包含由签发证书颁发机构维护的OCSP响应者的地址,并且mod_ssl可以与该响应者进行通信,以获得可以发送给与服务器进行通信的客户端的签名响应。
因为客户端可以从服务器获取证书吊销状态,而无需从客户端到证书颁发机构的额外连接,所以OCSP装订是获取吊销状态的首选方法。消除客户端与证书颁发机构之间的通信的其他好处是,客户端浏览历史记录不会暴露给证书颁发机构,并且通过不依赖于可能负载较重的证书颁发机构服务器来获取状态更加可靠。
由于服务器获得的响应可以在响应有效期间被使用相同证书的所有客户端重用,因此服务器的开销很小。
一旦正确配置了常规SSL支持,启用OCSP装订通常只需要对httpd配置进行非常小的修改-这两个指令的附加内容:
SSLUseStapling On SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
这些指令位于放置其他全局SSL配置指令的任何地方的全局范围(即,不在虚拟主机定义之内),例如conf/extra/httpd-ssl.conf
用于httpd的常规开源构建,/etc/apache2/mods-enabled/ssl.conf
用于Ubuntu或Debian捆绑的httpd等的全局范围。
SSLStaplingCache
指令上的路径(例如logs/
)应与指令上的路径匹配
SSLSessionCache
。此路径是相对于的ServerRoot
。
该特定SSLStaplingCache
指令要求
mod_socache_shmcb
(从shmcb
指令参数的前缀开始)。通常已为SSLSessionCache
或代表以外的某些模块
启用了此模块
mod_ssl
。如果您使用以外的机制启用了SSL会话缓存mod_socache_shmcb
,那么也请使用该替代机制SSLStaplingCache
。例如:
SSLSessionCache "dbm:logs/ssl_scache" SSLStaplingCache "dbm:logs/ssl_stapling"
您可以使用openssl命令行程序来验证服务器是否发送了OCSP响应:
$ openssl s_client -connect www.example.com:443 -status -servername www.example.com ... OCSP response: ====================================== OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response ... Cert Status: Good ...
以下各节重点介绍了需要对配置进行进一步修改的最常见情况。另请参阅
mod_ssl
参考手册。
OCSP响应存储在SSL装订缓存中。虽然响应的大小通常为几百到几千个字节,但mod_ssl支持OCSP响应,最大大小约为1万个字节。如果证书不止几个,则可能需要增加装订缓存大小(以上示例中为32768字节)。如果存储响应时出错,将记录错误消息AH01929。
请参阅
SSLStaplingForceURL
指令。
您可以使用openssl命令行程序确认服务器证书指向OCSP响应者,如下所示:
$ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http' OCSP - URI:http://ocsp.example.com
如果提供了OCSP URI,并且Web服务器无需使用代理即可直接与其通信,则无需进行配置。请注意,控制来自Web服务器的出站连接的防火墙规则可能需要调整。
如果未提供OCSP URI,请与您的证书颁发机构联系以确定是否可用。如果是这样,请SSLStaplingForceURL
在使用证书的虚拟主机中对其进行配置
。
添加SSLUseStapling Off
到应禁用OCSP装订的虚拟主机。
有几种指令可用于处理超时和错误。请参考该文档
SSLStaplingFakeTryLater
,
SSLStaplingResponderTimeout
和
SSLStaplingReturnResponderErrors
指令。
AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!
为了在使用特定服务器证书时支持OCSP装订,必须配置该证书的证书链。如果未将其配置为启用SSL的一部分,则在启用装订时将发出AH02217错误,并且不会为使用证书的客户端提供OCSP响应。
请参阅SSLCertificateChainFile
和,SSLCertificateFile
以获取有关配置证书链的说明。
当您知道所有用户时(例如,在公司Intranet上通常如此),则可以要求普通证书身份验证。您需要做的就是创建由您自己的CA证书(ca.crt
)签名的客户端证书,然后根据该证书验证客户端。
# require a client certificate which has to be directly # signed by our CA certificate in ca.crt SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile "conf/ssl.crt/ca.crt"
要强制客户端使用证书针对特定URL进行身份验证,可以使用以下功能按目录重新配置功能
mod_ssl
:
SSLVerifyClient none SSLCACertificateFile "conf/ssl.crt/ca.crt" <Location "/secure/area"> SSLVerifyClient require SSLVerifyDepth 1 </Location>
这样做的关键是检查客户端证书的一部分是否符合您的期望。通常,这意味着检查全部或部分专有名称(DN),以查看其是否包含某些已知字符串。有两种方法可以使用mod_auth_basic
或
SSLRequire
。
mod_auth_basic
如果证书是完全任意的,或者它们的DN没有公共字段(通常是组织等),通常需要使用此方法。在这种情况下,您应该建立一个密码数据库,其中包含所有
允许的客户端,如下所示:
SSLVerifyClient none SSLCACertificateFile "conf/ssl.crt/ca.crt" SSLCACertificatePath "conf/ssl.crt" <Directory "/usr/local/apache2/htdocs/secure/area"> SSLVerifyClient require SSLVerifyDepth 5 SSLOptions +FakeBasicAuth SSLRequireSSL AuthName "Snake Oil Authentication" AuthType Basic AuthBasicProvider file AuthUserFile "/usr/local/apache2/conf/httpd.passwd" Require valid-user </Directory>
在此示例中使用的密码是DES加密字符串“ password”。有关SSLOptions
更多信息,请参阅文档。
/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA /C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA /C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA
当您的客户全部属于编码为DN的通用层次结构的一部分时,可以使用来更轻松地匹配它们SSLRequire
,如下所示:
SSLVerifyClient none SSLCACertificateFile "conf/ssl.crt/ca.crt" SSLCACertificatePath "conf/ssl.crt" <Directory "/usr/local/apache2/htdocs/secure/area"> SSLVerifyClient require SSLVerifyDepth 5 SSLOptions +FakeBasicAuth SSLRequireSSL SSLRequire %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \ and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} </Directory>
这些示例假定Intranet上的客户端IP地址在192.168.1.0/24范围内,并且您要允许Internet访问的Intranet网站部分为/usr/local/apache2/htdocs/subarea
。此配置应保留在HTTPS虚拟主机之外,以便它适用于HTTPS和HTTP。
SSLCACertificateFile "conf/ssl.crt/company-ca.crt" <Directory "/usr/local/apache2/htdocs"> # Outside the subarea only Intranet access is granted Require ip 192.168.1.0/24 </Directory> <Directory "/usr/local/apache2/htdocs/subarea"> # Inside the subarea any Intranet access is allowed # but from the Internet only HTTPS + Strong-Cipher + Password # or the alternative HTTPS + Strong-Cipher + Client-Certificate # If HTTPS is used, make sure a strong cipher is used. # Additionally allow client certs as alternative to basic auth. SSLVerifyClient optional SSLVerifyDepth 1 SSLOptions +FakeBasicAuth +StrictRequire SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128 # Force clients from the Internet to use HTTPS RewriteEngine on RewriteCond "%{REMOTE_ADDR}" "!^192\.168\.1\.[0-9]+$" RewriteCond "%{HTTPS}" "!=on" RewriteRule "." "-" [F] # Allow Network Access and/or Basic Auth Satisfy any # Network Access Control Require ip 192.168.1.0/24 # HTTP Basic Authentication AuthType basic AuthName "Protected Intranet Area" AuthBasicProvider file AuthUserFile "conf/protected.passwd" Require valid-user </Directory>