セキュア・ソケット・レイヤー・ディレクティブの使用 (Using Secure Sockets Layer directives)
このセクションには、SSL の使用に関する情報があります。この情報には、詳細な構文、
説明、有効範囲、および関連する注 
が含まれます。
このセクションの終わりに、関連トピックへのリンクがあります。
Keyfile
- 説明: 使用する鍵ファイルを設定します。
- デフォルト: デフォルトなし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 不可
- 有効範囲: グローバル・ベースおよび仮想ホスト
- 構文: Keyfile /fully qualified path to key file/keyfile.kdb
- 値: 鍵ファイルのファイル名
LogLevel
- 説明: エラー・ログに記録されるメッセージの冗長性を調整します。あるレベルを指定すると、 サーバーは、それより重要度が高い、他の全レベルのメッセージを報告します。たとえば、 LogLevel info を指定すると、サーバーはログ・レベル notice および warn の メッセージを報告します。少なくとも level crit を指定することをお勧めします。
- デフォルト: LogLevel error
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 可。優先順位は上から下の順 (最上位が最優先) となります。 クライアントで暗号仕様をサポートしない場合、その接続はクローズします。
- 有効範囲: サーバー構成、仮想ホスト
- 構文: LogLevel level
- 値: 以下に、指定可能なレベルを重要度の高い順に示します。
レベル 説明 例 emerg 緊急: システムが使用できなくなった。 「子がロック・ファイルをオープンできません。終了します。」 alert 即時アクションをとる。 「getpwuid: uid からユーザー名を判別できませんでした。」 crit クリティカルな状態。 「ソケット: ソケットを取得できませんでした。子を終了します。」 error エラー状態。 「スクリプト・ヘッダーの早過ぎる終了」 warn 警告状態。 .「子プロセス 1234 が終了せず、新たに SIGHUP を送信しています。」 notice 通常だが重大な状態。 「httpd: SIGBUS を catch し、コアのダンプを試行しています...」 info 通知。 「サーバーは使用中のようです (StartServers または Min/MaxSpareServers を増加する必要があるかもしれません)...」 debug デバッグ・レベル・メッセージ。 「構成ファイルを開いています...」
SSLAcceleratorDisable
- 説明: アクセラレーター装置を使用不可にします。
- デフォルト: アクセラレーター装置は使用可です
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 不可
- 有効範囲: 仮想およびグローバル
- 構文: SSLAcceleratorDisable
- 値: なし
このディレクティブは構成ファイル内の任意の場所
(仮想ホスト内を含む) に入れます。
初期化時に、アクセラレーター装置がマシンにインストールされているとシステムが判断すると、
そのアクセラレーターを使用してセキュア・トランザクションの数を増やします。このディレクティブは引き数をとりません。
SSLCacheDisable
- 説明: 外部 SSL セッション ID キャッシュを使用不可にします
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 不可
- 有効範囲: 物理的な Apache サーバー・インスタンスごとに 1 つ (仮想ホスト・スタンザ外でのみ許可)
- 構文: SSLCacheDisable
- 値: なし
UNIX 環境でのみ有効です。
SSLCacheEnable
- 説明: 外部 SSL セッション ID キャッシュを使用可能にします
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 不可
- 有効範囲: 物理的な Apache サーバー・インスタンスごとに 1 つ (仮想ホスト・スタンザ外でのみ許可)
- 構文: SSLCacheEnable
- 値: なし
UNIX 環境でのみ有効です。
SSLCacheErrorLog
- 説明: セッション ID キャッシュ・エラーのロギング先のファイル名を設定します
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 不可
- 有効範囲: 物理的なサーバー・インスタンスごとに 1 つ (仮想ホスト・スタンザ外でのみ許可)
- 構文: SSLCacheErrorLog /usr/HTTPServer/log/sidd_log
- 値: 有効なファイル名
Windows NT および Windows 2000 オペレーティング・システムでは無効です。
SSLCachePath
- 説明: セッション ID キャッシング・デーモン実行可能モジュールへのパスを指定します。
- デフォルト: /usr/HTTPServer/bin/sidd
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 不可
- 有効範囲: 物理的な IBM HTTP Server ごとに 1 つ
- 構文: SSLCachePath /usr/HTTPServer/bin/sidd
- 値: 有効なパス名。
Windows NT および Windows 2000 オペレーティング・システムでは無効です。
SSLCachePortFilename
- 説明: サーバー・インスタンスとセッション ID キャッシュ・デーモンとの間の通信に使用する、 UNIX ドメイン・ソケットのファイル名を設定します。
- デフォルト: このディレクティブが指定されず、キャッシュが使用可である場合、サーバーは ファイル /usr/HTTPServer/logs/siddport の使用を試行します
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 不可
- 有効範囲: 物理的な Apache サーバー・インスタンスごとに 1 つ (仮想ホスト・スタンザ外でのみ許可)
- 構文: SSLCachePortFilename /usr/HTTPServer/logs/siddport
- 値: 有効なファイル名。
Web サーバーが始動時にこのファイルを削除するため、既存のファイル名は使用しないでください。
UNIX プラットフォームでのみ有効です。
SSLCacheTraceLog
- 説明: セッション ID トレース・メッセージが記録されるトレース・ログを指定します。
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 不可
- 有効範囲: 物理的な IBM HTTP Server ごとに 1 つ
- 構文: SSLCacheTraceLog /usr/HTTPServer/log/sidd-trace.log
- 値: 有効なパス名。
Windows NT および Windows 2000 オペレーティング・システムでは無効です。
SSLCipherBan
- 説明: 指定した暗号をクライアントが試行した場合に、オブジェクトへのアクセスを拒否します
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: ディレクトリー・スタンザごとに可。優先順位は上から下の順となります。
- 有効範囲: ディレクトリー・スタンザごとに複数のインスタンス
- 構文: SSLCipherBan <cipher specification>
- 値: SSL バージョン 2 暗号仕様 と SSL バージョン 3 および TLS バージョン 1 暗号仕様を参照してください。
SSLCipherRequire
- 説明: 指定された暗号に従ってオブジェクトへのアクセスを制限できるようにします。
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: ディレクトリー・スタンザごとに可。優先順位は上から下の順となります。
- 有効範囲: ディレクトリー・スタンザごとに複数のインスタンス
- 構文: SSLCipherRequire <cipher specification>
- 値: SSL バージョン 2 暗号仕様 と SSL バージョン 3 および TLS バージョン 1 暗号仕様を参照してください。
SSLCipherSpec
- 説明: セキュア・トランザクションで使用できる暗号仕様を指定します。
- デフォルト: なにも指定しない場合、サーバーはインストールされた GSK ライブラリーにある使用可能なすべての暗号仕様を使用します。
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 可。 優先順位は上から下の順 (最上位が最優先) となります。 クライアントでその暗号仕様をサポートしない場合、その接続はクローズします。
- 有効範囲: 仮想ホスト
- 構文: SSLCipherSpec shortname または
SSLCipherSpec longname - 値: SSL バージョン 2 暗号仕様 と SSL バージョン 3 および TLS バージョン 1 暗号仕様を参照してください。
| ショート・ネーム | ロング・ネーム | 説明 |
| 27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | トリプル DES (168 ビット) |
| 21 | SSL_RC4_128_WITH_MD5 | RC4 (128 ビット) |
| 23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | RC2 (128 ビット) |
| 26 | SSL_DES_64_CBC_WITH_MD5 | DES (56 ビット) |
| 22 | SSL_RC4_128_EXPORT40_WITH_MD5 | RC4 (40 ビット) |
| 24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | RC2 (40 ビット) |
| ショート・ネーム | ロング・ネーム | 説明 |
| 3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | トリプル DES SHA (168 ビット) |
| 33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | RC4 SHA (40 ビット) |
| 34 | SSL_RSA_WITH_RC4_128_MD5 | RC4 MD5 (128 ビット) |
| 39 | SSL_RSA_WITH_DES_CBC_SHA | DES SHA (56 ビット) |
| 35 | SSL_RSA_WITH_RC4_128_SHA | RC4 SHA (128 ビット) |
|
36 ( を参照) |
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | RC2 MD5 (40 ビット) |
| 32 | SSL_RSA_WITH_NULL_SHA | |
| 31 | SSL_RSA_WITH_NULL_MD5 | |
| 30 | SSL_NULL_WITH_NULL_NULL | |
| 62 | TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | RC4 SHA エクスポート 1024 (56 ビット) |
| 64 | TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | DES SHA エクスポート 1024 (56 ビット) |
暗号仕様 36 には Netscape Navigator V4.07 が必要です。
それ以前の Netscape ブラウザーでは機能しません。
SSLClientAuth
- 説明: 使用するクライアント認証のモードを設定します (none (0)、optional (1)、または required (2))。
- デフォルト: SSLClientAuth none
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストごとに 1 つのインスタンス。
- 有効範囲: 仮想ホスト
- 構文: SSLClientAuth <level required> [crl]
- 値:
- 0/None: クライアント証明書は要求されません。
- 1/Optional: クライアント証明書は要求されますが、必須ではありません。
- 2/Required: 有効なクライアント証明書が必要です。
- CRL: SSL 仮想ホスト内で crl をオン / オフにします。証明書取り消しリスト (CRL) を使用する場合には、 SSLClientAuth の 2 番目の引き数として crl を指定する必要があります。 例: SSLClientAuth 2 crl。crl を指定しないと、SSL 仮想ホスト内で CRL を実行できなくなります。
値 0/None を指定すると、CRL オプションを使用できなくなります。
SSLClientAuthGroup
- 説明: SSLClientAuthRequire ディレクティブで使用する クライアント証明書属性をグループにまとめることができます。
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 可。機能はこれらのディレクティブを "AND" で結合します。
- 有効範囲: ディレクトリー・スタンザごとに複数のインスタンス
- 構文: <SSLClientAuthGroup group name> <logic string>
- 値: AND、OR、NOT、および括弧で連結された属性検査から成る論理式。
有効な論理式の説明
以下のセクションには、有効な論理式を含む例の説明があります。 たとえば次のように指定します。
SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBMこれは、クライアント証明書に Fred Smith か John Deere の共通名が入っていて、組織が IBM でない限り、 オブジェクトがサービスされないことを意味しています。 属性検査で有効な比較は equal と not equal (= および !=) だけです。 各属性検査は、AND、OR、または NOT (&&、||、および !) で連結できます。 比較をグループ化するには括弧を使用してください。 属性の値に英数字以外の文字が入っている場合には、その値を引用符で区切ってください。
有効な属性は以下のとおりです。
- CommonName
- Country
- Group
- IssuerCommonName
- IssuerCountry
- IssuerEmail
- IssuerLocality
- IssuerOrg
- IssuerOrgUnit
- IssuerStateOrProvince
- Locality
- Org
- OrgUnit
- StateOrProvince
有効なショート・ネームは以下のとおりです。
CN、C、E、G、ICN、IC、IE、IL、IO、IOU、IST、L、O、OU、ST
SSLClientAuthRequire
- 説明: オブジェクトにサービスする前のクライアント証明書情報の拡張検証を可能にします
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 可。機能はこれらのディレクティブを "AND" で結合します。
- 有効範囲: ディレクトリー
- 構文: SSLClientAuthRequire CommonName = Richard
- 値: AND、OR、NOT、および括弧で連結された属性検査から成る論理式。
有効な論理式の説明
たとえば次のように指定します。
SSLClientAuthRequire (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBMこれは、クライアント証明書に Fred Smith か John Deere の共通名が入っていて、組織が IBM でない限り、 オブジェクトがサービスされないことを意味しています。 属性検査で有効な比較は equal と not equal (= および !=) だけです。 各属性検査は、AND、OR、または NOT (&&、||、および !) で連結できます。比較をグループ化するには括弧を使用してください。 属性の値に英数字以外の文字が入っている場合には、その値を引用符で区切ってください。
有効な属性は以下のとおりです。
- CommonName
- Country
- IssuerCommonName
- IssuerCountry
- IssuerEmail
- IssuerLocality
- IssuerOrg
- IssuerOrgUnit
- IssuerStateOrProvince
- Locality
- Org
- OrgUnit
- StateOrProvince
有効なショート・ネームは以下のとおりです。
CN、C、E、ICN、IC、IE、IL、IO、IOU、IST、L、O、OU、ST
SSLCRLHostname
- 説明: CRL データベースが存在する LDAP サーバーの TCP/IP 名またはアドレス。
- デフォルト: SSLCRLHostname はデフォルトで使用不可です。
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: グローバル・サーバーまたは仮想ホスト
- 構文: SSLCRLHostname <TCP/IP name or address>
- 値: LDAP サーバーの TCP/IP 名またはアドレス
SSLCRLPort
- 説明: CRL データベースが存在する LDAP サーバーのポート。
- デフォルト: SSLCRLPort はデフォルトで使用不可です。
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: グローバル・サーバーまたは仮想ホスト
- 構文: SSLCRLPort <port number>
- 値: LDAP サーバーのポート。デフォルト =389
SSLCRLUserID
- 説明: CRL データベースが存在する LDAP サーバーに送信するユーザー ID。
- デフォルト: ユーザー ID を指定しないと、デフォルトで匿名になります。
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: グローバル・サーバーまたは仮想ホスト
- 構文: SSLCRLUserID <userid>
- 値: LDAP サーバーのユーザー ID
SSLDisable
- 説明: この仮想ホストに対して SSL を使用不可にします。
- デフォルト: SSL はデフォルトで使用不可です。
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: グローバル・サーバーまたは仮想ホスト
- 構文: SSLDisable
- 値: なし
SSLEnable
- 説明: この仮想ホストに対して SSL を使用可能にします。
- デフォルト: SSL はデフォルトで使用不可です。
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: グローバル・サーバーまたは仮想ホスト
- 構文: SSLEnable
- 値: なし
SSLFakeBasicAuth
- 説明: 偽の基本認証サポートを使用可能にします。 これにより、クライアント証明書の識別名が「ユーザーおよびパスワード」の基本認証ペアのユーザー部分になります。 パスワード password を使用します。
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: ディレクトリー・スタンザ内で AuthName、AuthType とともに使用され、ディレクティブを必要とします。
- 構文: SSLFakeBasicAuth
- 値: なし
SSLPKCSDriver
- 説明: PKCS11 装置のアクセスに使用されるモジュール、またはドライバーへの完全修飾名を指示します
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: グローバル・サーバー、または仮想ホスト
- 構文: <PKCS11 装置のアクセスに使用されるモジュールへの完全修飾名> モジュールがユーザーのパスにある場合には、モジュールの名前のみを指定してください。
- 値: PKCS11 モジュール、またはドライバーのパスおよび名前。
以下に、プラットフォーム別に各 PKCS11 装置のモジュールのデフォルト位置を示します。
nCipher
- AIX: /opt/nfast/toolkits/pkcs11/libcknfast.so
- HP: /opt/nfast/toolkits/pkcs11/libcknfast.sl
- Solaris: /opt/nfast/toolkits/pkcs11/libcknfast.so
- Windows NT および Windows 2000: c:\nfast\toolkits\pkcs11\cknfast.dll
IBM 4758
- AIX: /usr/lib/pkcs11/PKCS11_API.so
- Windows NT および Windows 2000: $PKCS11_HOME\bin\nt\cryptoki.dll
IBM e-business Cryptographic Accelerator
- AIX: /usr/lib/pkcs11/PKCS11_API.so
SSLServerCert
- 説明: この仮想ホストで使用するサーバー証明書を設定します。
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストごとに 1 つのインスタンス。
- 有効範囲: IP をベースとした仮想ホスト
- 構文: SSLServerCert my_certificate_label; PKCS11 装置上 - SSLServerCert mytokenlabel:mykeylabel
- 値: 証明書ラベル
証明書ラベルの前後に区切り文字を使わないでください。
ラベルは必ず 1 行に収めるようにしてください。先行または後続の空白は無視されます。
SSLStashfile
- 説明: PKCS11 装置をオープンするための暗号化パスワードが入っているファイルへの、ファイル名を含んだパスを指示します。
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: 仮想ホストおよびグローバル・サーバー
- 構文: sslstash [-c] <file> <function> <password>,
ここで、
- -c = 新規 stash ファイルを作成します。指定されないと、サーバーは既存の stash ファイルを更新します。
- File = 作成または更新するファイルの完全修飾名
- Function = パスワードを使用する機能。 有効な値には、crl または crypto が含まれます
- Password = 隠しておくパスワード
- 使用法 - sslstash -c conf\pkcs11.passwd crypto pkcs11
- 値: ファイル名を含むパス
sslstash コマンドは、
UNIX の場合 IBM HTTP Server の bin ディレクトリー、
Windows プラットフォームの場合サーバー・インストール・ルートにあります。
このコマンドは、PKCS11 装置のパスワードを保管するために使用されます。
sslstash コマンドを使用した後に作成された stash ファイルは、
2 つの異なる機能、すなわち crl および暗号方式について 2 つの異なるパスワードを保持することができます。
SSLV2Timeout
- 説明: SSL バージョン 2 セッション ID に対するタイムアウトを設定します。
- デフォルト: 40
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: グローバル・ベースおよび仮想ホスト
- 構文: SSLV2Timeout 60
- 値: 0 から 100 秒
SSLV3Timeout
- 説明: SSL バージョン 3 セッション ID に対するタイムアウトを設定します。
- デフォルト: 120
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: グローバル・ベースおよび仮想ホスト
- 構文: SSLV3Timeout 1000
- 値: 0 から 86400 秒
SSLVersion
- 説明: クライアントが、指定されたもの以外の SSL プロトコル・バージョンで接続しようとしたときに、 オブジェクトへのアクセスを拒否できるようにします。
- デフォルト: なし
- モジュール: mod_ibm_ssl
- 構成ファイル内の複数インスタンス: 仮想ホストおよびグローバル・サーバーごとに 1 つのインスタンス。
- 有効範囲: ディレクトリー・スタンザごとに 1 つ
- 構文: SSLVersion ALL
- 値: SSLV2|SSLV3|TLSV1|ALL
| 関連情報 |
(トップに戻る)