home *** CD-ROM | disk | FTP | other *** search
/ SGI Freeware 2002 November / SGI Freeware 2002 November - Disc 1.iso / dist / fw_apache2.idb / usr / freeware / apache2 / conf / ssl.conf.z / ssl.conf
Text File  |  2002-07-08  |  12KB  |  265 lines
  1. #
  2. # This is the Apache server configuration file providing SSL support.
  3. # It contains the configuration directives to instruct the server how to
  4. # serve pages over an https connection. For detailing information about these 
  5. # directives see <URL:http://httpd.apache.org/docs-2.0/mod/mod_ssl.html>
  6. #
  7. #   For the moment, see <URL:http://www.modssl.org/docs/> for this info. 
  8. #   The documents are still being prepared from material donated by the
  9. #   modssl project.
  11. # Do NOT simply read the instructions in here without understanding
  12. # what they do.  They're here only as hints or reminders.  If you are unsure
  13. # consult the online docs. You have been warned.  
  14. #
  15. <IfDefine SSL>
  16.  
  17. #   Until documentation is completed, please check http://www.modssl.org/
  18. #   for additional config examples and module docmentation.  Directives
  19. #   and features of mod_ssl are largely unchanged from the mod_ssl project
  20. #   for Apache 1.3.
  21.  
  22. #
  23. # When we also provide SSL we have to listen to the 
  24. # standard HTTP port (see above) and to the HTTPS port
  25. #
  26. Listen 443
  27.  
  28. #
  29. # Dynamic Shared Object (DSO) Support
  30. #
  31. # To be able to use the functionality of a module which was built as a DSO you
  32. #    ErrorLog logs/dummy-host.example.com-error_log
  33. #    CustomLog logs/dummy-host.example.com-access_log common
  34.  
  35. ##
  36. ##  SSL Global Context
  37. ##
  38. ##  All SSL configuration in this context applies both to
  39. ##  the main server and all SSL-enabled virtual hosts.
  40. ##
  41.  
  42. #
  43. #   Some MIME-types for downloading Certificates and CRLs
  44. #
  45. AddType application/x-x509-ca-cert .crt
  46. AddType application/x-pkcs7-crl    .crl
  47.  
  48. #   Pass Phrase Dialog:
  49. #   Configure the pass phrase gathering process.
  50. #   The filtering dialog program (`builtin' is a internal
  51. #   terminal dialog) has to provide the pass phrase on stdout.
  52. SSLPassPhraseDialog  builtin
  53.  
  54. #   Inter-Process Session Cache:
  55. #   Configure the SSL Session Cache: First the mechanism 
  56. #   to use and second the expiring timeout (in seconds).
  57. #SSLSessionCache        none
  58. #SSLSessionCache        shmht:logs/ssl_scache(512000)
  59. #SSLSessionCache        shmcb:logs/ssl_scache(512000)
  60. SSLSessionCache         dbm:logs/ssl_scache
  61. SSLSessionCacheTimeout  300
  62.  
  63. #   Semaphore:
  64. #   Configure the path to the mutual exclusion semaphore the
  65. #   SSL engine uses internally for inter-process synchronization. 
  66. SSLMutex  file:logs/ssl_mutex
  67.  
  68. #   Pseudo Random Number Generator (PRNG):
  69. #   Configure one or more sources to seed the PRNG of the 
  70. #   SSL library. The seed data should be of good random quality.
  71. #   WARNING! On some platforms /dev/random blocks if not enough entropy
  72. #   is available. This means you then cannot use the /dev/random device
  73. #   because it would lead to very long connection times (as long as
  74. #   it requires to make more entropy available). But usually those
  75. #   platforms additionally provide a /dev/urandom device which doesn't
  76. #   block. So, if available, use this one instead. Read the mod_ssl User
  77. #   Manual for more details.
  78. SSLRandomSeed startup builtin
  79. SSLRandomSeed connect builtin
  80. #SSLRandomSeed startup file:/dev/random  512
  81. #SSLRandomSeed startup file:/dev/urandom 512
  82. #SSLRandomSeed connect file:/dev/random  512
  83. #SSLRandomSeed connect file:/dev/urandom 512
  84.  
  85. #   Logging:
  86. #   The home of the dedicated SSL protocol logfile. Errors are
  87. #   additionally duplicated in the general error log file.  Put
  88. #   this somewhere where it cannot be used for symlink attacks on
  89. #   a real server (i.e. somewhere where only root can write).
  90. #   Log levels are (ascending order: higher ones include lower ones):
  91. #   none, error, warn, info, trace, debug.
  92. SSLLog      logs/ssl_engine_log
  93. SSLLogLevel info
  94.  
  95. ##
  96. ## SSL Virtual Host Context
  97. ##
  98.  
  99. <VirtualHost _default_:443>
  100.  
  101. #  General setup for the virtual host
  102. DocumentRoot "/usr/freeware/apache2/htdocs"
  103. ServerName new.host.name:443
  104. ServerAdmin you@your.address
  105. ErrorLog logs/error_log
  106. TransferLog logs/access_log
  107.  
  108. #   SSL Engine Switch:
  109. #   Enable/Disable SSL for this virtual host.
  110. SSLEngine on
  111.  
  112. #   SSL Cipher Suite:
  113. #   List the ciphers that the client is permitted to negotiate.
  114. #   See the mod_ssl documentation for a complete list.
  115. SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
  116.  
  117. #   Server Certificate:
  118. #   Point SSLCertificateFile at a PEM encoded certificate.  If
  119. #   the certificate is encrypted, then you will be prompted for a
  120. #   pass phrase.  Note that a kill -HUP will prompt again. A test
  121. #   certificate can be generated with `make certificate' under
  122. #   built time. Keep in mind that if you've both a RSA and a DSA
  123. #   certificate you can configure both in parallel (to also allow
  124. #   the use of DSA ciphers, etc.)
  125. SSLCertificateFile /usr/freeware/apache2/conf/ssl.crt/server.crt
  126. #SSLCertificateFile /usr/freeware/apache2/conf/ssl.crt/server-dsa.crt
  127.  
  128. #   Server Private Key:
  129. #   If the key is not combined with the certificate, use this
  130. #   directive to point at the key file.  Keep in mind that if
  131. #   you've both a RSA and a DSA private key you can configure
  132. #   both in parallel (to also allow the use of DSA ciphers, etc.)
  133. SSLCertificateKeyFile /usr/freeware/apache2/conf/ssl.key/server.key
  134. #SSLCertificateKeyFile /usr/freeware/apache2/conf/ssl.key/server-dsa.key
  135.  
  136. #   Server Certificate Chain:
  137. #   Point SSLCertificateChainFile at a file containing the
  138. #   concatenation of PEM encoded CA certificates which form the
  139. #   certificate chain for the server certificate. Alternatively
  140. #   the referenced file can be the same as SSLCertificateFile
  141. #   when the CA certificates are directly appended to the server
  142. #   certificate for convinience.
  143. #SSLCertificateChainFile /usr/freeware/apache2/conf/ssl.crt/ca.crt
  144.  
  145. #   Certificate Authority (CA):
  146. #   Set the CA certificate verification path where to find CA
  147. #   certificates for client authentication or alternatively one
  148. #   huge file containing all of them (file must be PEM encoded)
  149. #   Note: Inside SSLCACertificatePath you need hash symlinks
  150. #         to point to the certificate files. Use the provided
  151. #         Makefile to update the hash symlinks after changes.
  152. #SSLCACertificatePath /usr/freeware/apache2/conf/ssl.crt
  153. #SSLCACertificateFile /usr/freeware/apache2/conf/ssl.crt/ca-bundle.crt
  154.  
  155. #   Certificate Revocation Lists (CRL):
  156. #   Set the CA revocation path where to find CA CRLs for client
  157. #   authentication or alternatively one huge file containing all
  158. #   of them (file must be PEM encoded)
  159. #   Note: Inside SSLCARevocationPath you need hash symlinks
  160. #         to point to the certificate files. Use the provided
  161. #         Makefile to update the hash symlinks after changes.
  162. #SSLCARevocationPath /usr/freeware/apache2/conf/ssl.crl
  163. #SSLCARevocationFile /usr/freeware/apache2/conf/ssl.crl/ca-bundle.crl
  164.  
  165. #   Client Authentication (Type):
  166. #   Client certificate verification type and depth.  Types are
  167. #   none, optional, require and optional_no_ca.  Depth is a
  168. #   number which specifies how deeply to verify the certificate
  169. #   issuer chain before deciding the certificate is not valid.
  170. #SSLVerifyClient require
  171. #SSLVerifyDepth  10
  172.  
  173. #   Access Control:
  174. #   With SSLRequire you can do per-directory access control based
  175. #   on arbitrary complex boolean expressions containing server
  176. #   variable checks and other lookup directives.  The syntax is a
  177. #   mixture between C and Perl.  See the mod_ssl documentation
  178. #   for more details.
  179. #<Location />
  180. #SSLRequire (    %{SSL_CIPHER} !~ m/^(EXP|NULL)/ \
  181. #            and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
  182. #            and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
  183. #            and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \
  184. #            and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20       ) \
  185. #           or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
  186. #</Location>
  187.  
  188. #   SSL Engine Options:
  189. #   Set various options for the SSL engine.
  190. #   o FakeBasicAuth:
  191. #     Translate the client X.509 into a Basic Authorisation.  This means that
  192. #     the standard Auth/DBMAuth methods can be used for access control.  The
  193. #     user name is the `one line' version of the client's X.509 certificate.
  194. #     Note that no password is obtained from the user. Every entry in the user
  195. #     file needs this password: `xxj31ZMTZzkVA'.
  196. #   o ExportCertData:
  197. #     This exports two additional environment variables: SSL_CLIENT_CERT and
  198. #     SSL_SERVER_CERT. These contain the PEM-encoded certificates of the
  199. #     server (always existing) and the client (only existing when client
  200. #     authentication is used). This can be used to import the certificates
  201. #     into CGI scripts.
  202. #   o StdEnvVars:
  203. #     This exports the standard SSL/TLS related `SSL_*' environment variables.
  204. #     Per default this exportation is switched off for performance reasons,
  205. #     because the extraction step is an expensive operation and is usually
  206. #     useless for serving static content. So one usually enables the
  207. #     exportation for CGI and SSI requests only.
  208. #   o CompatEnvVars:
  209. #     This exports obsolete environment variables for backward compatibility
  210. #     to Apache-SSL 1.x, mod_ssl 2.0.x, Sioux 1.0 and Stronghold 2.x. Use this
  211. #     to provide compatibility to existing CGI scripts.
  212. #   o StrictRequire:
  213. #     This denies access when "SSLRequireSSL" or "SSLRequire" applied even
  214. #     under a "Satisfy any" situation, i.e. when it applies access is denied
  215. #     and no other module can change it.
  216. #   o OptRenegotiate:
  217. #     This enables optimized SSL connection renegotiation handling when SSL
  218. #     directives are used in per-directory context. 
  219. #SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars +StrictRequire
  220. <Files ~ "\.(cgi|shtml|phtml|php3?)$">
  221.     SSLOptions +StdEnvVars
  222. </Files>
  223. <Directory "/usr/freeware/apache2/cgi-bin">
  224.     SSLOptions +StdEnvVars
  225. </Directory>
  226.  
  227. #   SSL Protocol Adjustments:
  228. #   The safe and default but still SSL/TLS standard compliant shutdown
  229. #   approach is that mod_ssl sends the close notify alert but doesn't wait for
  230. #   the close notify alert from client. When you need a different shutdown
  231. #   approach you can use one of the following variables:
  232. #   o ssl-unclean-shutdown:
  233. #     This forces an unclean shutdown when the connection is closed, i.e. no
  234. #     SSL close notify alert is send or allowed to received.  This violates
  235. #     the SSL/TLS standard but is needed for some brain-dead browsers. Use
  236. #     this when you receive I/O errors because of the standard approach where
  237. #     mod_ssl sends the close notify alert.
  238. #   o ssl-accurate-shutdown:
  239. #     This forces an accurate shutdown when the connection is closed, i.e. a
  240. #     SSL close notify alert is send and mod_ssl waits for the close notify
  241. #     alert of the client. This is 100% SSL/TLS standard compliant, but in
  242. #     practice often causes hanging connections with brain-dead browsers. Use
  243. #     this only for browsers where you know that their SSL implementation
  244. #     works correctly. 
  245. #   Notice: Most problems of broken clients are also related to the HTTP
  246. #   keep-alive facility, so you usually additionally want to disable
  247. #   keep-alive for those clients, too. Use variable "nokeepalive" for this.
  248. #   Similarly, one has to force some clients to use HTTP/1.0 to workaround
  249. #   their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
  250. #   "force-response-1.0" for this.
  251. SetEnvIf User-Agent ".*MSIE.*" \
  252.          nokeepalive ssl-unclean-shutdown \
  253.          downgrade-1.0 force-response-1.0
  254.  
  255. #   Per-Server Logging:
  256. #   The home of a custom SSL log file. Use this when you want a
  257. #   compact non-error SSL logfile on a virtual host basis.
  258. CustomLog logs/ssl_request_log \
  259.           "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
  260.  
  261. </VirtualHost>                                  
  262.  
  263. </IfDefine>
  264.  
  265.