home *** CD-ROM | disk | FTP | other *** search
/ PCGUIA 114 / PC Guia 114.iso / Software / Produtividade / Apache 2.0.52 / apache_2.0.52-win32-x86-no_ssl.msi / Data.Cab / F278367_mod_ssl.xml < prev    next >
Encoding:
Extensible Markup Language  |  2004-04-17  |  71.7 KB  |  1,495 lines
  1. <?xml version="1.0"?>
  2. <!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
  3. <?xml-stylesheet type="text/xsl" href="../style/manual.en.xsl"?>
  4. <!-- $Revision: 1.10.2.13 $ -->
  5.  
  6. <!--
  7.  Copyright 2002-2004 The Apache Software Foundation
  8.  
  9.  Licensed under the Apache License, Version 2.0 (the "License");
  10.  you may not use this file except in compliance with the License.
  11.  You may obtain a copy of the License at
  12.  
  13.      http://www.apache.org/licenses/LICENSE-2.0
  14.  
  15.  Unless required by applicable law or agreed to in writing, software
  16.  distributed under the License is distributed on an "AS IS" BASIS,
  17.  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  18.  See the License for the specific language governing permissions and
  19.  limitations under the License.
  20. -->
  21.  
  22. <modulesynopsis metafile="mod_ssl.xml.meta">
  23.  
  24. <name>mod_ssl</name>
  25. <description>Strong cryptography using the Secure Sockets
  26. Layer (SSL) and Transport Layer Security (TLS) protocols</description>
  27. <status>Extension</status>
  28. <sourcefile>mod_ssl.c</sourcefile>
  29. <identifier>ssl_module</identifier>
  30.  
  31. <summary>
  32. <p>This module provides SSL v2/v3 and TLS v1 support for the Apache
  33. HTTP Server.  It was contributed by Ralf S. Engeschall based on his
  34. mod_ssl project and originally derived from work by Ben Laurie.</p>
  35.  
  36. <p>This module relies on <a href="http://www.openssl.org/">OpenSSL</a>
  37. to provide the cryptography engine.</p>
  38.  
  39. <p>Further details, discussion, and examples are provided in the
  40. <a href="../ssl/">SSL documentation</a>.</p>
  41. </summary>
  42.  
  43. <section id="envvars"><title>Environment Variables</title>
  44.  
  45. <p>This module provides a lot of SSL information as additional environment
  46. variables to the SSI and CGI namespace. The generated variables are listed in
  47. the table below. For backward compatibility the information can
  48. be made available under different names, too. Look in the <a
  49. href="../ssl/ssl_compat.html">Compatibility</a> chapter for details on the
  50. compatibility variables.</p>
  51.  
  52. <table border="1">
  53. <columnspec><column width=".3"/><column width=".2"/><column width=".5"/>
  54. </columnspec>
  55. <tr>
  56.  <th>Variable Name:</th>
  57.  <th>Value Type:</th>
  58.  <th>Description:</th>
  59. </tr>
  60. <tr><td><code>HTTPS</code></td>                         <td>flag</td>      <td>HTTPS is being used.</td></tr>
  61. <tr><td><code>SSL_PROTOCOL</code></td>                  <td>string</td>    <td>The SSL protocol version (SSLv2, SSLv3, TLSv1)</td></tr>
  62. <tr><td><code>SSL_SESSION_ID</code></td>                <td>string</td>    <td>The hex-encoded SSL session id</td></tr>
  63. <tr><td><code>SSL_CIPHER</code></td>                    <td>string</td>    <td>The cipher specification name</td></tr>
  64. <tr><td><code>SSL_CIPHER_EXPORT</code></td>             <td>string</td>    <td><code>true</code> if cipher is an export cipher</td></tr>
  65. <tr><td><code>SSL_CIPHER_USEKEYSIZE</code></td>         <td>number</td>    <td>Number of cipher bits (actually used)</td></tr>
  66. <tr><td><code>SSL_CIPHER_ALGKEYSIZE</code></td>         <td>number</td>    <td>Number of cipher bits (possible)</td></tr>
  67. <tr><td><code>SSL_VERSION_INTERFACE</code></td>         <td>string</td>    <td>The mod_ssl program version</td></tr>
  68. <tr><td><code>SSL_VERSION_LIBRARY</code></td>           <td>string</td>    <td>The OpenSSL program version</td></tr>
  69. <tr><td><code>SSL_CLIENT_M_VERSION</code></td>          <td>string</td>    <td>The version of the client certificate</td></tr>
  70. <tr><td><code>SSL_CLIENT_M_SERIAL</code></td>           <td>string</td>    <td>The serial of the client certificate</td></tr>
  71. <tr><td><code>SSL_CLIENT_S_DN</code></td>               <td>string</td>    <td>Subject DN in client's certificate</td></tr>
  72. <tr><td><code>SSL_CLIENT_S_DN_</code><em>x509</em></td> <td>string</td>    <td>Component of client's Subject DN</td></tr>
  73. <tr><td><code>SSL_CLIENT_I_DN</code></td>               <td>string</td>    <td>Issuer DN of client's certificate</td></tr>
  74. <tr><td><code>SSL_CLIENT_I_DN_</code><em>x509</em></td> <td>string</td>    <td>Component of client's Issuer DN</td></tr>
  75. <tr><td><code>SSL_CLIENT_V_START</code></td>            <td>string</td>    <td>Validity of client's certificate (start time)</td></tr>
  76. <tr><td><code>SSL_CLIENT_V_END</code></td>              <td>string</td>    <td>Validity of client's certificate (end time)</td></tr>
  77. <tr><td><code>SSL_CLIENT_A_SIG</code></td>              <td>string</td>    <td>Algorithm used for the signature of client's certificate</td></tr>
  78. <tr><td><code>SSL_CLIENT_A_KEY</code></td>              <td>string</td>    <td>Algorithm used for the public key of client's certificate</td></tr>
  79. <tr><td><code>SSL_CLIENT_CERT</code></td>               <td>string</td>    <td>PEM-encoded client certificate</td></tr>
  80. <tr><td><code>SSL_CLIENT_CERT_CHAIN</code><em>n</em></td> <td>string</td>    <td>PEM-encoded certificates in client certificate chain</td></tr>
  81. <tr><td><code>SSL_CLIENT_VERIFY</code></td>             <td>string</td>    <td><code>NONE</code>, <code>SUCCESS</code>, <code>GENEROUS</code> or <code>FAILED:</code><em>reason</em></td></tr>
  82. <tr><td><code>SSL_SERVER_M_VERSION</code></td>          <td>string</td>    <td>The version of the server certificate</td></tr>
  83. <tr><td><code>SSL_SERVER_M_SERIAL</code></td>           <td>string</td>    <td>The serial of the server certificate</td></tr>
  84. <tr><td><code>SSL_SERVER_S_DN</code></td>               <td>string</td>    <td>Subject DN in server's certificate</td></tr>
  85. <tr><td><code>SSL_SERVER_S_DN_</code><em>x509</em></td> <td>string</td>    <td>Component of server's Subject DN</td></tr>
  86. <tr><td><code>SSL_SERVER_I_DN</code></td>               <td>string</td>    <td>Issuer DN of server's certificate</td></tr>
  87. <tr><td><code>SSL_SERVER_I_DN_</code><em>x509</em></td> <td>string</td>    <td>Component of server's Issuer DN</td></tr>
  88. <tr><td><code>SSL_SERVER_V_START</code></td>            <td>string</td>    <td>Validity of server's certificate (start time)</td></tr>
  89. <tr><td><code>SSL_SERVER_V_END</code></td>              <td>string</td>    <td>Validity of server's certificate (end time)</td></tr>
  90. <tr><td><code>SSL_SERVER_A_SIG</code></td>              <td>string</td>    <td>Algorithm used for the signature of server's certificate</td></tr>
  91. <tr><td><code>SSL_SERVER_A_KEY</code></td>              <td>string</td>    <td>Algorithm used for the public key of server's certificate</td></tr>
  92. <tr><td><code>SSL_SERVER_CERT</code></td>               <td>string</td>    <td>PEM-encoded server certificate</td></tr>
  93. </table>
  94. <p>[ where <em>x509</em> is a component of a X.509 DN:
  95.   <code>C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email</code> ]</p>
  96. </section>
  97.  
  98. <section id="logformats"><title>Custom Log Formats</title>
  99.  
  100. <p>When <module>mod_ssl</module> is built into Apache or at least
  101. loaded (under DSO situation) additional functions exist for the <a
  102. href="mod_log_config.html#formats">Custom Log Format</a> of 
  103. <module>mod_log_config</module>. First there is an
  104. additional ``<code>%{</code><em>varname</em><code>}x</code>''
  105. eXtension format function which can be used to expand any variables
  106. provided by any module, especially those provided by mod_ssl which can
  107. you find in the above table.</p>
  108. <p>
  109. For backward compatibility there is additionally a special
  110. ``<code>%{</code><em>name</em><code>}c</code>'' cryptography format function
  111. provided. Information about this function is provided in the <a
  112. href="../ssl/ssl_compat.html">Compatibility</a> chapter.</p>
  113. <p>
  114. Example:</p>
  115. <example>
  116. CustomLog logs/ssl_request_log \
  117.           "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
  118. </example>
  119. </section>
  120.  
  121. <directivesynopsis>
  122. <name>SSLPassPhraseDialog</name>
  123. <description>Type of pass phrase dialog for encrypted private 
  124. keys</description>
  125. <syntax>SSLPassPhraseDialog <em>type</em></syntax>
  126. <default>SSLPassPhraseDialog builtin</default>
  127. <contextlist><context>server config</context></contextlist>
  128.  
  129. <usage>
  130. <p>
  131. When Apache starts up it has to read the various Certificate (see
  132. <directive module="mod_ssl">SSLCertificateFile</directive>) and
  133. Private Key (see <directive
  134. module="mod_ssl">SSLCertificateKeyFile</directive>) files of the
  135. SSL-enabled virtual servers. Because for security reasons the Private
  136. Key files are usually encrypted, mod_ssl needs to query the
  137. administrator for a Pass Phrase in order to decrypt those files. This
  138. query can be done in two ways which can be configured by
  139. <em>type</em>:</p>
  140. <ul>
  141. <li><code>builtin</code>
  142.     <p>
  143.     This is the default where an interactive terminal dialog occurs at startup
  144.     time just before Apache detaches from the terminal. Here the administrator
  145.     has to manually enter the Pass Phrase for each encrypted Private Key file.
  146.     Because a lot of SSL-enabled virtual hosts can be configured, the
  147.     following reuse-scheme is used to minimize the dialog: When a Private Key
  148.     file is encrypted, all known Pass Phrases (at the beginning there are
  149.     none, of course) are tried. If one of those known Pass Phrases succeeds no
  150.     dialog pops up for this particular Private Key file. If none succeeded,
  151.     another Pass Phrase is queried on the terminal and remembered for the next
  152.     round (where it perhaps can be reused).</p>
  153.     <p>
  154.     This scheme allows mod_ssl to be maximally flexible (because for N encrypted
  155.     Private Key files you <em>can</em> use N different Pass Phrases - but then
  156.     you have to enter all of them, of course) while minimizing the terminal
  157.     dialog (i.e. when you use a single Pass Phrase for all N Private Key files
  158.     this Pass Phrase is queried only once).</p></li>
  159.  
  160. <li><code>exec:/path/to/program</code>
  161.     <p>
  162.     Here an external program is configured which is called at startup for each
  163.     encrypted Private Key file. It is called with two arguments (the first is
  164.     of the form ``<code>servername:portnumber</code>'', the second is either
  165.     ``<code>RSA</code>'' or ``<code>DSA</code>''), which indicate for which
  166.     server and algorithm it has to print the corresponding Pass Phrase to
  167.     <code>stdout</code>. The intent is that this external program first runs
  168.     security checks to make sure that the system is not compromised by an
  169.     attacker, and only when these checks were passed successfully it provides
  170.     the Pass Phrase.</p>
  171.     <p>
  172.     Both these security checks, and the way the Pass Phrase is determined, can
  173.     be as complex as you like. Mod_ssl just defines the interface: an
  174.     executable program which provides the Pass Phrase on <code>stdout</code>.
  175.     Nothing more or less! So, if you're really paranoid about security, here
  176.     is your interface. Anything else has to be left as an exercise to the
  177.     administrator, because local security requirements are so different.</p>
  178.     <p>
  179.     The reuse-algorithm above is used here, too. In other words: The external
  180.     program is called only once per unique Pass Phrase.</p></li>
  181. </ul>
  182. <p>
  183. Example:</p>
  184. <example>
  185. SSLPassPhraseDialog exec:/usr/local/apache/sbin/pp-filter
  186. </example>
  187. </usage>
  188. </directivesynopsis>
  189.  
  190. <directivesynopsis>
  191. <name>SSLMutex</name>
  192. <description>Semaphore for internal mutual exclusion of 
  193. operations</description>
  194. <syntax>SSLMutex <em>type</em></syntax>
  195. <default>SSLMutex none</default>
  196. <contextlist><context>server config</context></contextlist>
  197.  
  198. <usage>
  199. <p>
  200. This configures the SSL engine's semaphore (aka. lock) which is used for mutual
  201. exclusion of operations which have to be done in a synchronized way between the
  202. pre-forked Apache server processes. This directive can only be used in the
  203. global server context because it's only useful to have one global mutex.
  204. This directive is designed to closely match the
  205. <a href="http://httpd.apache.org/docs-2.0/mod/mpm_common.html#acceptmutex">AcceptMutex</a> directive</p>
  206. <p>
  207. The following Mutex <em>types</em> are available:</p>
  208. <ul>
  209. <li><code>none | no</code>
  210.     <p>
  211.     This is the default where no Mutex is used at all. Use it at your own
  212.     risk. But because currently the Mutex is mainly used for synchronizing
  213.     write access to the SSL Session Cache you can live without it as long
  214.     as you accept a sometimes garbled Session Cache. So it's not recommended
  215.     to leave this the default. Instead configure a real Mutex.</p></li>
  216. <li><code>posixsem</code>
  217.     <p>
  218.     This is an elegant Mutex variant where a Posix Semaphore is used when possible.
  219.     It is only available when the underlying platform
  220.     and APR supports it.</p></li>
  221. <li><code>sysvsem</code>
  222.     <p>
  223.     This is a somewhat elegant Mutex variant where a SystemV IPC Semaphore is used when
  224.     possible. It is possible to "leak" SysV semaphores if processes crash before
  225.     the semaphore is removed. It is only available when the underlying platform
  226.     and APR supports it.</p></li>
  227. <li><code>sem</code>
  228.     <p>
  229.     This directive tells the SSL Module to pick the "best" semaphore implementation
  230.     available to it, choosing between Posix and SystemV IPC, in that order. It is only
  231.     available when the underlying platform and APR supports at least one of the 2.</p></li>
  232. <li><code>pthread</code>
  233.     <p>
  234.     This directive tells the SSL Module to use Posix thread mutexes. It is only available
  235.     if the underlying platform and APR supports it.</p></li>
  236. <li><code>fcntl:/path/to/mutex</code>
  237.     <p>
  238.     This is a portable Mutex variant where a physical (lock-)file and the <code>fcntl()</code>
  239.     fucntion are used as the Mutex.
  240.     Always use a local disk filesystem for <code>/path/to/mutex</code> and never a file
  241.     residing on a NFS- or AFS-filesystem. It is only available when the underlying platform
  242.     and APR supports it. Note: Internally, the Process ID (PID) of the
  243.     Apache parent process is automatically appended to
  244.     <code>/path/to/mutex</code> to make it unique, so you don't have to worry
  245.     about conflicts yourself. Notice that this type of mutex is not available
  246.     under the Win32 environment. There you <em>have</em> to use the semaphore
  247.     mutex.</p></li>
  248. <li><code>flock:/path/to/mutex</code>
  249.     <p>
  250.     This is similar to the <code>fcntl:/path/to/mutex</code> method with the
  251.     exception that the <code>flock()</code> function is used to provide file
  252.     locking. It is only available when the underlying platform
  253.     and APR supports it.</p></li>
  254. <li><code>file:/path/to/mutex</code>
  255.     <p>
  256.     This directive tells the SSL Module to pick the "best" file locking implementation
  257.     available to it, choosing between <code>fcntl</code> and <code>flock</code>,
  258.     in that order. It is only available when the underlying platform and APR supports
  259.     at least one of the 2.</p></li>
  260. <li><code>default | yes</code>
  261.     <p>
  262.     This directive tells the SSL Module to pick the default locking implementation
  263.     as determined by the platform and APR.</p></li>
  264. </ul>
  265. <example><title>Example</title>
  266. SSLMutex file:/usr/local/apache/logs/ssl_mutex
  267. </example>
  268. </usage>
  269. </directivesynopsis>
  270.  
  271. <directivesynopsis>
  272. <name>SSLRandomSeed</name>
  273. <description>Pseudo Random Number Generator (PRNG) seeding 
  274. source</description>
  275. <syntax>SSLRandomSeed <em>context</em> <em>source</em> 
  276. [<em>bytes</em>]</syntax>
  277. <contextlist><context>server config</context></contextlist>
  278.  
  279. <usage>
  280. <p>
  281. This configures one or more sources for seeding the Pseudo Random Number
  282. Generator (PRNG) in OpenSSL at startup time (<em>context</em> is
  283. <code>startup</code>) and/or just before a new SSL connection is established
  284. (<em>context</em> is <code>connect</code>). This directive can only be used
  285. in the global server context because the PRNG is a global facility.</p>
  286. <p>
  287. The following <em>source</em> variants are available:</p>
  288. <ul>
  289. <li><code>builtin</code>
  290.     <p> This is the always available builtin seeding source. It's usage
  291.     consumes minimum CPU cycles under runtime and hence can be always used
  292.     without drawbacks. The source used for seeding the PRNG contains of the
  293.     current time, the current process id and (when applicable) a randomly
  294.     choosen 1KB extract of the inter-process scoreboard structure of Apache.
  295.     The drawback is that this is not really a strong source and at startup
  296.     time (where the scoreboard is still not available) this source just
  297.     produces a few bytes of entropy. So you should always, at least for the
  298.     startup, use an additional seeding source.</p></li>
  299. <li><code>file:/path/to/source</code>
  300.     <p>
  301.     This variant uses an external file <code>/path/to/source</code> as the
  302.     source for seeding the PRNG. When <em>bytes</em> is specified, only the
  303.     first <em>bytes</em> number of bytes of the file form the entropy (and
  304.     <em>bytes</em> is given to <code>/path/to/source</code> as the first
  305.     argument). When <em>bytes</em> is not specified the whole file forms the
  306.     entropy (and <code>0</code> is given to <code>/path/to/source</code> as
  307.     the first argument). Use this especially at startup time, for instance
  308.     with an available <code>/dev/random</code> and/or
  309.     <code>/dev/urandom</code> devices (which usually exist on modern Unix
  310.     derivates like FreeBSD and Linux).</p>
  311.     <p>
  312.     <em>But be careful</em>: Usually <code>/dev/random</code> provides only as
  313.     much entropy data as it actually has, i.e. when you request 512 bytes of
  314.     entropy, but the device currently has only 100 bytes available two things
  315.     can happen: On some platforms you receive only the 100 bytes while on
  316.     other platforms the read blocks until enough bytes are available (which
  317.     can take a long time). Here using an existing <code>/dev/urandom</code> is
  318.     better, because it never blocks and actually gives the amount of requested
  319.     data. The drawback is just that the quality of the received data may not
  320.     be the best.</p>
  321.     <p>
  322.     On some platforms like FreeBSD one can even control how the entropy is
  323.     actually generated, i.e. by which system interrupts. More details one can
  324.     find under <em>rndcontrol(8)</em> on those platforms. Alternatively, when
  325.     your system lacks such a random device, you can use tool
  326.     like <a href="http://www.lothar.com/tech/crypto/">EGD</a>
  327.     (Entropy Gathering Daemon) and run it's client program with the
  328.     <code>exec:/path/to/program/</code> variant (see below) or use
  329.     <code>egd:/path/to/egd-socket</code> (see below).</p></li>
  330.  
  331. <li><code>exec:/path/to/program</code>
  332.     <p>
  333.     This variant uses an external executable
  334.     <code>/path/to/program</code> as the source for seeding the
  335.     PRNG. When <em>bytes</em> is specified, only the first
  336.     <em>bytes</em> number of bytes of its <code>stdout</code> contents
  337.     form the entropy. When <em>bytes</em> is not specified, the
  338.     entirety of the data produced on <code>stdout</code> form the
  339.     entropy. Use this only at startup time when you need a very strong
  340.     seeding with the help of an external program (for instance as in
  341.     the example above with the <code>truerand</code> utility you can
  342.     find in the mod_ssl distribution which is based on the AT&T
  343.     <em>truerand</em> library). Using this in the connection context
  344.     slows down the server too dramatically, of course.  So usually you
  345.     should avoid using external programs in that context.</p></li>
  346. <li><code>egd:/path/to/egd-socket</code> (Unix only)
  347.     <p>
  348.     This variant uses the Unix domain socket of the
  349.     external Entropy Gathering Daemon (EGD) (see <a
  350.     href="http://www.lothar.com/tech/crypto/">http://www.lothar.com/tech
  351.     /crypto/</a>) to seed the PRNG. Use this if no random device exists
  352.     on your platform.</p></li>
  353. </ul>
  354. <example><title>Example</title>
  355. SSLRandomSeed startup builtin<br />
  356. SSLRandomSeed startup file:/dev/random<br />
  357. SSLRandomSeed startup file:/dev/urandom 1024<br />
  358. SSLRandomSeed startup exec:/usr/local/bin/truerand 16<br />
  359. SSLRandomSeed connect builtin<br />
  360. SSLRandomSeed connect file:/dev/random<br />
  361. SSLRandomSeed connect file:/dev/urandom 1024<br />
  362. </example>
  363. </usage>
  364. </directivesynopsis>
  365.  
  366. <directivesynopsis>
  367. <name>SSLSessionCache</name>
  368. <description>Type of the global/inter-process SSL Session 
  369. Cache</description>
  370. <syntax>SSLSessionCache <em>type</em></syntax>
  371. <default>SSLSessionCache none</default>
  372. <contextlist><context>server config</context></contextlist>
  373.  
  374. <usage>
  375. <p>
  376. This configures the storage type of the global/inter-process SSL Session
  377. Cache. This cache is an optional facility which speeds up parallel request
  378. processing. For requests to the same server process (via HTTP keep-alive),
  379. OpenSSL already caches the SSL session information locally. But because modern
  380. clients request inlined images and other data via parallel requests (usually
  381. up to four parallel requests are common) those requests are served by
  382. <em>different</em> pre-forked server processes. Here an inter-process cache
  383. helps to avoid unneccessary session handshakes.</p>
  384. <p>
  385. The following two storage <em>type</em>s are currently supported:</p>
  386. <ul>
  387. <li><code>none</code>
  388.     <p>
  389.     This is the default and just disables the global/inter-process Session
  390.     Cache. There is no drawback in functionality, but a noticeable speed
  391.     penalty can be observed.</p></li>
  392. <li><code>dbm:/path/to/datafile</code>
  393.     <p>
  394.     This makes use of a DBM hashfile on the local disk to synchronize the
  395.     local OpenSSL memory caches of the server processes. The slight increase
  396.     in I/O on the server results in a visible request speedup for your
  397.     clients, so this type of storage is generally recommended.</p></li>
  398. <li><code>shm:/path/to/datafile</code>[<code>(</code><em>size</em><code>)</code>]
  399.     <p>
  400.     This makes use of a high-performance hash table (approx. <em>size</em> bytes
  401.     in size) inside a shared memory segment in RAM (established via
  402.     <code>/path/to/datafile</code>) to synchronize the local OpenSSL memory
  403.     caches of the server processes. This storage type is not available on all
  404.     platforms.</p></li>
  405. </ul>
  406. <example><title>Examples</title>
  407. SSLSessionCache dbm:/usr/local/apache/logs/ssl_gcache_data<br />
  408. SSLSessionCache shm:/usr/local/apache/logs/ssl_gcache_data(512000)
  409. </example>
  410. </usage>
  411. </directivesynopsis>
  412.  
  413. <directivesynopsis>
  414. <name>SSLSessionCacheTimeout</name>
  415. <description>Number of seconds before an SSL session expires
  416. in the Session Cache</description>
  417. <syntax>SSLSessionCacheTimeout <em>seconds</em></syntax>
  418. <default>SSLSessionCacheTimeout 300</default>
  419. <contextlist><context>server config</context>
  420. <context>virtual host</context></contextlist>
  421.  
  422. <usage>
  423. <p>
  424. This directive sets the timeout in seconds for the information stored in the
  425. global/inter-process SSL Session Cache and the OpenSSL internal memory cache.
  426. It can be set as low as 15 for testing, but should be set to higher
  427. values like 300 in real life.</p>
  428. <example><title>Example</title>
  429. SSLSessionCacheTimeout 600
  430. </example>
  431. </usage>
  432. </directivesynopsis>
  433.  
  434. <directivesynopsis>
  435. <name>SSLEngine</name>
  436. <description>SSL Engine Operation Switch</description>
  437. <syntax>SSLEngine on|off</syntax>
  438. <default>SSLEngine off</default>
  439. <contextlist><context>server config</context>
  440. <context>virtual host</context></contextlist>
  441.  
  442. <usage>
  443. <p>
  444. This directive toggles the usage of the SSL/TLS Protocol Engine. This
  445. is usually used inside a <directive module="core"
  446. type="section">VirtualHost</directive> section to enable SSL/TLS for a
  447. particular virtual host. By default the SSL/TLS Protocol Engine is
  448. disabled for both the main server and all configured virtual hosts.</p>
  449. <example><title>Example</title>
  450. <VirtualHost _default_:443><br />
  451. SSLEngine on<br />
  452. ...<br />
  453. </VirtualHost>
  454. </example>
  455. </usage>
  456. </directivesynopsis>
  457.  
  458. <directivesynopsis>
  459. <name>SSLProtocol</name>
  460. <description>Configure usable SSL protocol flavors</description>
  461. <syntax>SSLProtocol [+|-]<em>protocol</em> ...</syntax>
  462. <default>SSLProtocol all</default>
  463. <contextlist><context>server config</context>
  464. <context>virtual host</context></contextlist>
  465. <override>Options</override>
  466.  
  467. <usage><!-- XXX Why does this have an override and not .htaccess context? -->
  468. <p>
  469. This directive can be used to control the SSL protocol flavors mod_ssl should
  470. use when establishing its server environment. Clients then can only connect
  471. with one of the provided protocols.</p>
  472. <p>
  473. The available (case-insensitive) <em>protocol</em>s are:</p>
  474. <ul>
  475. <li><code>SSLv2</code>
  476.     <p>
  477.     This is the Secure Sockets Layer (SSL) protocol, version 2.0. It is the
  478.     original SSL protocol as designed by Netscape Corporation.</p></li>
  479.  
  480. <li><code>SSLv3</code>
  481.     <p>
  482.     This is the Secure Sockets Layer (SSL) protocol, version 3.0. It is the
  483.     successor to SSLv2 and the currently (as of February 1999) de-facto
  484.     standardized SSL protocol from Netscape Corporation. It's supported by
  485.     almost all popular browsers.</p></li>
  486.  
  487. <li><code>TLSv1</code>
  488.     <p>
  489.     This is the Transport Layer Security (TLS) protocol, version 1.0. It is the
  490.     successor to SSLv3 and currently (as of February 1999) still under
  491.     construction by the Internet Engineering Task Force (IETF). It's still
  492.     not supported by any popular browsers.</p></li>
  493.  
  494. <li><code>All</code>
  495.     <p>
  496.     This is a shortcut for ``<code>+SSLv2 +SSLv3 +TLSv1</code>'' and a
  497.     convinient way for enabling all protocols except one when used in
  498.     combination with the minus sign on a protocol as the example above 
  499.     shows.</p></li>
  500. </ul>
  501. <example><title>Example</title>
  502. #   enable SSLv3 and TLSv1, but not SSLv2<br />
  503. SSLProtocol all -SSLv2
  504. </example>
  505. </usage>
  506. </directivesynopsis>
  507.  
  508. <directivesynopsis>
  509. <name>SSLCipherSuite</name>
  510. <description>Cipher Suite available for negotiation in SSL 
  511. handshake</description>
  512. <syntax>SSLCipherSuite <em>cipher-spec</em></syntax>
  513. <default>SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP</default>
  514. <contextlist><context>server config</context>
  515. <context>virtual host</context>
  516. <context>directory</context>
  517. <context>.htaccess</context></contextlist>
  518. <override>AuthConfig</override>
  519.  
  520. <usage>
  521. <p>
  522. This complex directive uses a colon-separated <em>cipher-spec</em> string
  523. consisting of OpenSSL cipher specifications to configure the Cipher Suite the
  524. client is permitted to negotiate in the SSL handshake phase. Notice that this
  525. directive can be used both in per-server and per-directory context. In
  526. per-server context it applies to the standard SSL handshake when a connection
  527. is established. In per-directory context it forces a SSL renegotation with the
  528. reconfigured Cipher Suite after the HTTP request was read but before the HTTP
  529. response is sent.</p>
  530. <p>
  531. An SSL cipher specification in <em>cipher-spec</em> is composed of 4 major
  532. attributes plus a few extra minor ones:</p>
  533. <ul>
  534. <li><em>Key Exchange Algorithm</em>:<br />
  535.     RSA or Diffie-Hellman variants.
  536. </li>
  537. <li><em>Authentication Algorithm</em>:<br />
  538.     RSA, Diffie-Hellman, DSS or none.
  539. </li>
  540. <li><em>Cipher/Encryption Algorithm</em>:<br />
  541.     DES, Triple-DES, RC4, RC2, IDEA or none.
  542. </li>
  543. <li><em>MAC Digest Algorithm</em>:<br />
  544.     MD5, SHA or SHA1.
  545. </li>
  546. </ul>
  547. <p>An SSL cipher can also be an export cipher and is either a SSLv2 or SSLv3/TLSv1
  548. cipher (here TLSv1 is equivalent to SSLv3). To specify which ciphers to use,
  549. one can either specify all the Ciphers, one at a time, or use aliases to
  550. specify the preference and order for the ciphers (see <a href="#table1">Table
  551. 1</a>).</p>
  552.  
  553. <table border="1">
  554. <columnspec><column width=".5"/><column width=".5"/></columnspec>
  555. <tr><th>Tag</th> <th>Description</th></tr>
  556. <tr><td colspan="2"><em>Key Exchange Algorithm:</em></td></tr>
  557. <tr><td><code>kRSA</code></td>   <td>RSA key exchange</td></tr>
  558. <tr><td><code>kDHr</code></td>   <td>Diffie-Hellman key exchange with RSA key</td></tr>
  559. <tr><td><code>kDHd</code></td>   <td>Diffie-Hellman key exchange with DSA key</td></tr>
  560. <tr><td><code>kEDH</code></td>   <td>Ephemeral (temp.key) Diffie-Hellman key exchange (no cert)</td>   </tr>
  561. <tr><td colspan="2"><em>Authentication Algorithm:</em></td></tr>
  562. <tr><td><code>aNULL</code></td>  <td>No authentication</td></tr>
  563. <tr><td><code>aRSA</code></td>   <td>RSA authentication</td></tr>
  564. <tr><td><code>aDSS</code></td>   <td>DSS authentication</td> </tr>
  565. <tr><td><code>aDH</code></td>    <td>Diffie-Hellman authentication</td></tr>
  566. <tr><td colspan="2"><em>Cipher Encoding Algorithm:</em></td></tr>
  567. <tr><td><code>eNULL</code></td>  <td>No encoding</td>         </tr>
  568. <tr><td><code>DES</code></td>    <td>DES encoding</td>        </tr>
  569. <tr><td><code>3DES</code></td>   <td>Triple-DES encoding</td> </tr>
  570. <tr><td><code>RC4</code></td>    <td>RC4 encoding</td>       </tr>
  571. <tr><td><code>RC2</code></td>    <td>RC2 encoding</td>       </tr>
  572. <tr><td><code>IDEA</code></td>   <td>IDEA encoding</td>       </tr>
  573. <tr><td colspan="2"><em>MAC Digest Algorithm</em>:</td></tr>
  574. <tr><td><code>MD5</code></td>    <td>MD5 hash function</td></tr>
  575. <tr><td><code>SHA1</code></td>   <td>SHA1 hash function</td></tr>
  576. <tr><td><code>SHA</code></td>    <td>SHA hash function</td> </tr>
  577. <tr><td colspan="2"><em>Aliases:</em></td></tr>
  578. <tr><td><code>SSLv2</code></td>  <td>all SSL version 2.0 ciphers</td></tr>
  579. <tr><td><code>SSLv3</code></td>  <td>all SSL version 3.0 ciphers</td> </tr>
  580. <tr><td><code>TLSv1</code></td>  <td>all TLS version 1.0 ciphers</td> </tr>
  581. <tr><td><code>EXP</code></td>    <td>all export ciphers</td>  </tr>
  582. <tr><td><code>EXPORT40</code></td> <td>all 40-bit export ciphers only</td>  </tr>
  583. <tr><td><code>EXPORT56</code></td> <td>all 56-bit export ciphers only</td>  </tr>
  584. <tr><td><code>LOW</code></td>    <td>all low strength ciphers (no export, single DES)</td></tr>
  585. <tr><td><code>MEDIUM</code></td> <td>all ciphers with 128 bit encryption</td> </tr>
  586. <tr><td><code>HIGH</code></td>   <td>all ciphers using Triple-DES</td>     </tr>
  587. <tr><td><code>RSA</code></td>    <td>all ciphers using RSA key exchange</td> </tr>
  588. <tr><td><code>DH</code></td>     <td>all ciphers using Diffie-Hellman key exchange</td> </tr>
  589. <tr><td><code>EDH</code></td>    <td>all ciphers using Ephemeral Diffie-Hellman key exchange</td> </tr>
  590. <tr><td><code>ADH</code></td>    <td>all ciphers using Anonymous Diffie-Hellman key exchange</td> </tr>
  591. <tr><td><code>DSS</code></td>    <td>all ciphers using DSS authentication</td> </tr>
  592. <tr><td><code>NULL</code></td>   <td>all ciphers using no encryption</td> </tr>
  593. </table>
  594. <p>
  595. Now where this becomes interesting is that these can be put together
  596. to specify the order and ciphers you wish to use. To speed this up
  597. there are also aliases (<code>SSLv2, SSLv3, TLSv1, EXP, LOW, MEDIUM,
  598. HIGH</code>) for certain groups of ciphers. These tags can be joined
  599. together with prefixes to form the <em>cipher-spec</em>. Available
  600. prefixes are:</p>
  601. <ul>
  602. <li>none: add cipher to list</li>
  603. <li><code>+</code>: add ciphers to list and pull them to current location in list</li>
  604. <li><code>-</code>: remove cipher from list (can be added later again)</li>
  605. <li><code>!</code>: kill cipher from list completely (can <strong>not</strong> be added later again)</li>
  606. </ul>
  607. <p>A simpler way to look at all of this is to use the ``<code>openssl ciphers
  608. -v</code>'' command which provides a nice way to successively create the
  609. correct <em>cipher-spec</em> string. The default <em>cipher-spec</em> string
  610. is ``<code>ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP</code>'' which
  611. means the following: first, remove from consideration any ciphers that do not
  612. authenticate, i.e. for SSL only the Anonymous Diffie-Hellman ciphers. Next,
  613. use ciphers using RC4 and RSA. Next include the high, medium and then the low
  614. security ciphers. Finally <em>pull</em> all SSLv2 and export ciphers to the
  615. end of the list.</p>
  616. <example>
  617. <pre>
  618. $ openssl ciphers -v 'ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP'
  619. NULL-SHA                SSLv3 Kx=RSA      Au=RSA  Enc=None      Mac=SHA1
  620. NULL-MD5                SSLv3 Kx=RSA      Au=RSA  Enc=None      Mac=MD5
  621. EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
  622. ...                     ...               ...     ...           ...
  623. EXP-RC4-MD5             SSLv3 Kx=RSA(512) Au=RSA  Enc=RC4(40)   Mac=MD5  export
  624. EXP-RC2-CBC-MD5         SSLv2 Kx=RSA(512) Au=RSA  Enc=RC2(40)   Mac=MD5  export
  625. EXP-RC4-MD5             SSLv2 Kx=RSA(512) Au=RSA  Enc=RC4(40)   Mac=MD5  export
  626. </pre>
  627. </example>
  628. <p>The complete list of particular RSA & DH ciphers for SSL is given in <a
  629. href="#table2">Table 2</a>.</p>
  630. <example><title>Example</title>
  631. SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW
  632. </example>
  633. <table border="1">
  634. <columnspec><column width=".3"/><column width=".1"/><column width=".13"/>
  635. <column width=".1"/><column width=".13"/><column width=".1"/>
  636. <column width=".13"/></columnspec>
  637. <tr><th>Cipher-Tag</th> <th>Protocol</th> <th>Key Ex.</th> <th>Auth.</th> <th>Enc.</th> <th>MAC</th> <th>Type</th> </tr>
  638. <tr><td colspan="7"><em>RSA Ciphers:</em></td></tr>
  639. <tr><td><code>DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>3DES(168)</td> <td>SHA1</td> <td></td> </tr>
  640. <tr><td><code>DES-CBC3-MD5</code></td> <td>SSLv2</td> <td>RSA</td> <td>RSA</td> <td>3DES(168)</td> <td>MD5</td> <td></td> </tr>
  641. <tr><td><code>IDEA-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>IDEA(128)</td> <td>SHA1</td> <td></td> </tr>
  642. <tr><td><code>RC4-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>RC4(128)</td> <td>SHA1</td> <td></td> </tr>
  643. <tr><td><code>RC4-MD5</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>RC4(128)</td> <td>MD5</td> <td></td> </tr>
  644. <tr><td><code>IDEA-CBC-MD5</code></td> <td>SSLv2</td> <td>RSA</td> <td>RSA</td> <td>IDEA(128)</td> <td>MD5</td> <td></td> </tr>
  645. <tr><td><code>RC2-CBC-MD5</code></td> <td>SSLv2</td> <td>RSA</td> <td>RSA</td> <td>RC2(128)</td> <td>MD5</td> <td></td> </tr>
  646. <tr><td><code>RC4-MD5</code></td> <td>SSLv2</td> <td>RSA</td> <td>RSA</td> <td>RC4(128)</td> <td>MD5</td> <td></td> </tr>
  647. <tr><td><code>DES-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>DES(56)</td> <td>SHA1</td> <td></td> </tr>
  648. <tr><td><code>RC4-64-MD5</code></td> <td>SSLv2</td> <td>RSA</td> <td>RSA</td> <td>RC4(64)</td> <td>MD5</td> <td></td> </tr>
  649. <tr><td><code>DES-CBC-MD5</code></td> <td>SSLv2</td> <td>RSA</td> <td>RSA</td> <td>DES(56)</td> <td>MD5</td> <td></td> </tr>
  650. <tr><td><code>EXP-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr>
  651. <tr><td><code>EXP-RC2-CBC-MD5</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>RC2(40)</td> <td>MD5</td> <td>  export</td> </tr>
  652. <tr><td><code>EXP-RC4-MD5</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>RC4(40)</td> <td>MD5</td> <td>  export</td> </tr>
  653. <tr><td><code>EXP-RC2-CBC-MD5</code></td> <td>SSLv2</td> <td>RSA(512)</td> <td>RSA</td> <td>RC2(40)</td> <td>MD5</td> <td>  export</td> </tr>
  654. <tr><td><code>EXP-RC4-MD5</code></td> <td>SSLv2</td> <td>RSA(512)</td> <td>RSA</td> <td>RC4(40)</td> <td>MD5</td> <td>  export</td> </tr>
  655. <tr><td><code>NULL-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>None</td> <td>SHA1</td> <td></td> </tr>
  656. <tr><td><code>NULL-MD5</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>None</td> <td>MD5</td> <td></td> </tr>
  657. <tr><td colspan="7"><em>Diffie-Hellman Ciphers:</em></td></tr>
  658. <tr><td><code>ADH-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>3DES(168)</td> <td>SHA1</td> <td></td> </tr>
  659. <tr><td><code>ADH-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>DES(56)</td> <td>SHA1</td> <td></td> </tr>
  660. <tr><td><code>ADH-RC4-MD5</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>RC4(128)</td> <td>MD5</td> <td></td> </tr>
  661. <tr><td><code>EDH-RSA-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>RSA</td> <td>3DES(168)</td> <td>SHA1</td> <td></td> </tr>
  662. <tr><td><code>EDH-DSS-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>DSS</td> <td>3DES(168)</td> <td>SHA1</td> <td></td> </tr>
  663. <tr><td><code>EDH-RSA-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>RSA</td> <td>DES(56)</td> <td>SHA1</td> <td></td> </tr>
  664. <tr><td><code>EDH-DSS-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>DSS</td> <td>DES(56)</td> <td>SHA1</td> <td></td> </tr>
  665. <tr><td><code>EXP-EDH-RSA-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>RSA</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr>
  666. <tr><td><code>EXP-EDH-DSS-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>DSS</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr>
  667. <tr><td><code>EXP-ADH-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>None</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr>
  668. <tr><td><code>EXP-ADH-RC4-MD5</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>None</td> <td>RC4(40)</td> <td>MD5</td> <td>  export</td> </tr>
  669. </table>
  670. </usage>
  671. </directivesynopsis>
  672.  
  673. <directivesynopsis>
  674. <name>SSLCertificateFile</name>
  675. <description>Server PEM-encoded X.509 Certificate file</description>
  676. <syntax>SSLCertificateFile <em>file-path</em></syntax>
  677. <contextlist><context>server config</context>
  678. <context>virtual host</context></contextlist>
  679.  
  680. <usage>
  681. <p>
  682. This directive points to the PEM-encoded Certificate file for the server and
  683. optionally also to the corresponding RSA or DSA Private Key file for it
  684. (contained in the same file). If the contained Private Key is encrypted the
  685. Pass Phrase dialog is forced at startup time. This directive can be used up to
  686. two times (referencing different filenames) when both a RSA and a DSA based
  687. server certificate is used in parallel.</p>
  688. <example><title>Example</title>
  689. SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
  690. </example>
  691. </usage>
  692. </directivesynopsis>
  693.  
  694. <directivesynopsis>
  695. <name>SSLCertificateKeyFile</name>
  696. <description>Server PEM-encoded Private Key file</description>
  697. <syntax>SSLCertificateKeyFile <em>file-path</em></syntax>
  698. <contextlist><context>server config</context>
  699. <context>virtual host</context></contextlist>
  700.  
  701. <usage>
  702. <p>
  703. This directive points to the PEM-encoded Private Key file for the
  704. server. If the Private Key is not combined with the Certificate in the
  705. <directive>SSLCertificateFile</directive>, use this additional directive to
  706. point to the file with the stand-alone Private Key. When
  707. <directive>SSLCertificateFile</directive> is used and the file
  708. contains both the Certificate and the Private Key this directive need
  709. not be used. But we strongly discourage this practice.  Instead we
  710. recommend you to separate the Certificate and the Private Key. If the
  711. contained Private Key is encrypted, the Pass Phrase dialog is forced
  712. at startup time. This directive can be used up to two times
  713. (referencing different filenames) when both a RSA and a DSA based
  714. private key is used in parallel.</p>
  715. <example><title>Example</title>
  716. SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key
  717. </example>
  718. </usage>
  719. </directivesynopsis>
  720.  
  721. <directivesynopsis>
  722. <name>SSLCertificateChainFile</name>
  723. <description>File of PEM-encoded Server CA Certificates</description>
  724. <syntax>SSLCertificateChainFile <em>file-path</em></syntax>
  725. <contextlist><context>server config</context>
  726. <context>virtual host</context></contextlist>
  727.  
  728. <usage>
  729. <p>
  730. This directive sets the optional <em>all-in-one</em> file where you can
  731. assemble the certificates of Certification Authorities (CA) which form the
  732. certificate chain of the server certificate. This starts with the issuing CA
  733. certificate of of the server certificate and can range up to the root CA
  734. certificate. Such a file is simply the concatenation of the various
  735. PEM-encoded CA Certificate files, usually in certificate chain order.</p>
  736. <p>
  737. This should be used alternatively and/or additionally to <directive
  738. module="mod_ssl">SSLCACertificatePath</directive> for explicitly
  739. constructing the server certificate chain which is sent to the browser
  740. in addition to the server certificate. It is especially useful to
  741. avoid conflicts with CA certificates when using client
  742. authentication. Because although placing a CA certificate of the
  743. server certificate chain into <directive
  744. module="mod_ssl">SSLCACertificatePath</directive> has the same effect
  745. for the certificate chain construction, it has the side-effect that
  746. client certificates issued by this same CA certificate are also
  747. accepted on client authentication. That's usually not one expect.</p>
  748. <p>
  749. But be careful: Providing the certificate chain works only if you are using a
  750. <em>single</em> (either RSA <em>or</em> DSA) based server certificate. If you are
  751. using a coupled RSA+DSA certificate pair, this will work only if actually both
  752. certificates use the <em>same</em> certificate chain. Else the browsers will be
  753. confused in this situation.</p>
  754. <example><title>Example</title>
  755. SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt
  756. </example>
  757. </usage>
  758. </directivesynopsis>
  759.  
  760. <directivesynopsis>
  761. <name>SSLCACertificatePath</name>
  762. <description>Directory of PEM-encoded CA Certificates for 
  763. Client Auth</description>
  764. <syntax>SSLCACertificatePath <em>directory-path</em></syntax>
  765. <contextlist><context>server config</context>
  766. <context>virtual host</context></contextlist>
  767.  
  768. <usage>
  769. <p>
  770. This directive sets the directory where you keep the Certificates of
  771. Certification Authorities (CAs) whose clients you deal with. These are used to
  772. verify the client certificate on Client Authentication.</p>
  773. <p>
  774. The files in this directory have to be PEM-encoded and are accessed through
  775. hash filenames. So usually you can't just place the Certificate files
  776. there: you also have to create symbolic links named
  777. <em>hash-value</em><code>.N</code>. And you should always make sure this directory
  778. contains the appropriate symbolic links. Use the <code>Makefile</code> which
  779. comes with mod_ssl to accomplish this task.</p>
  780. <example><title>Example</title>
  781. SSLCACertificatePath /usr/local/apache2/conf/ssl.crt/
  782. </example>
  783. </usage>
  784. </directivesynopsis>
  785.  
  786. <directivesynopsis>
  787. <name>SSLCACertificateFile</name>
  788. <description>File of concatenated PEM-encoded CA Certificates 
  789. for Client Auth</description>
  790. <syntax>SSLCACertificateFile <em>file-path</em></syntax>
  791. <contextlist><context>server config</context>
  792. <context>virtual host</context></contextlist>
  793.  
  794. <usage>
  795. <p>
  796. This directive sets the <em>all-in-one</em> file where you can assemble the
  797. Certificates of Certification Authorities (CA) whose <em>clients</em> you deal
  798. with. These are used for Client Authentication. Such a file is simply the
  799. concatenation of the various PEM-encoded Certificate files, in order of
  800. preference. This can be used alternatively and/or additionally to 
  801. <directive module="mod_ssl">SSLCACertificatePath</directive>.</p>
  802. <example><title>Example</title>
  803. SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt
  804. </example>
  805. </usage>
  806. </directivesynopsis>
  807.  
  808. <directivesynopsis>
  809. <name>SSLCARevocationPath</name>
  810. <description>Directory of PEM-encoded CA CRLs for 
  811. Client Auth</description>
  812. <syntax>SSLCARevocationPath <em>directory-path</em></syntax>
  813. <contextlist><context>server config</context>
  814. <context>virtual host</context></contextlist>
  815.  
  816. <usage>
  817. <p>
  818. This directive sets the directory where you keep the Certificate Revocation
  819. Lists (CRL) of Certification Authorities (CAs) whose clients you deal with.
  820. These are used to revoke the client certificate on Client Authentication.</p>
  821. <p>
  822. The files in this directory have to be PEM-encoded and are accessed through
  823. hash filenames. So usually you have not only to place the CRL files there.
  824. Additionally you have to create symbolic links named
  825. <em>hash-value</em><code>.rN</code>. And you should always make sure this directory
  826. contains the appropriate symbolic links. Use the <code>Makefile</code> which
  827. comes with <module>mod_ssl</module> to accomplish this task.</p>
  828. <example><title>Example</title>
  829. SSLCARevocationPath /usr/local/apache2/conf/ssl.crl/
  830. </example>
  831. </usage>
  832. </directivesynopsis>
  833.  
  834. <directivesynopsis>
  835. <name>SSLCARevocationFile</name>
  836. <description>File of concatenated PEM-encoded CA CRLs for 
  837. Client Auth</description>
  838. <syntax>SSLCARevocationFile <em>file-path</em></syntax>
  839. <contextlist><context>server config</context>
  840. <context>virtual host</context></contextlist>
  841.  
  842. <usage>
  843. <p>
  844. This directive sets the <em>all-in-one</em> file where you can
  845. assemble the Certificate Revocation Lists (CRL) of Certification
  846. Authorities (CA) whose <em>clients</em> you deal with. These are used
  847. for Client Authentication.  Such a file is simply the concatenation of
  848. the various PEM-encoded CRL files, in order of preference. This can be
  849. used alternatively and/or additionally to <directive
  850. module="mod_ssl">SSLCARevocationPath</directive>.</p>
  851. <example><title>Example</title>
  852. SSLCARevocationFile /usr/local/apache2/conf/ssl.crl/ca-bundle-client.crl
  853. </example>
  854. </usage>
  855. </directivesynopsis>
  856.  
  857. <directivesynopsis>
  858. <name>SSLVerifyClient</name>
  859. <description>Type of Client Certificate verification</description>
  860. <syntax>SSLVerifyClient <em>level</em></syntax>
  861. <default>SSLVerifyClient none</default>
  862. <contextlist><context>server config</context>
  863. <context>virtual host</context>
  864. <context>directory</context>
  865. <context>.htaccess</context></contextlist>
  866. <override>AuthConfig</override>
  867.  
  868. <usage>
  869. <p>
  870. This directive sets the Certificate verification level for the Client
  871. Authentication. Notice that this directive can be used both in per-server and
  872. per-directory context. In per-server context it applies to the client
  873. authentication process used in the standard SSL handshake when a connection is
  874. established. In per-directory context it forces a SSL renegotation with the
  875. reconfigured client verification level after the HTTP request was read but
  876. before the HTTP response is sent.</p>
  877. <p>
  878. The following levels are available for <em>level</em>:</p>
  879. <ul>
  880. <li><strong>none</strong>:
  881.      no client Certificate is required at all</li>
  882. <li><strong>optional</strong>:
  883.      the client <em>may</em> present a valid Certificate</li>
  884. <li><strong>require</strong>:
  885.      the client <em>has to</em> present a valid Certificate</li>
  886. <li><strong>optional_no_ca</strong>:
  887.      the client may present a valid Certificate<br />
  888.      but it need not to be (successfully) verifiable.</li>
  889. </ul>
  890. <p>In practice only levels <strong>none</strong> and
  891. <strong>require</strong> are really interesting, because level
  892. <strong>optional</strong> doesn't work with all browsers and level
  893. <strong>optional_no_ca</strong> is actually against the idea of
  894. authentication (but can be used to establish SSL test pages, etc.)</p>
  895. <example><title>Example</title>
  896. SSLVerifyClient require
  897. </example>
  898. </usage>
  899. </directivesynopsis>
  900.  
  901. <directivesynopsis>
  902. <name>SSLVerifyDepth</name>
  903. <description>Maximum depth of CA Certificates in Client 
  904. Certificate verification</description>
  905. <syntax>SSLVerifyDepth <em>number</em></syntax>
  906. <default>SSLVerifyDepth 1</default>
  907. <contextlist><context>server config</context>
  908. <context>virtual host</context>
  909. <context>directory</context>
  910. <context>.htaccess</context></contextlist>
  911. <override>AuthConfig</override>
  912.  
  913. <usage>
  914. <p>
  915. This directive sets how deeply mod_ssl should verify before deciding that the
  916. clients don't have a valid certificate. Notice that this directive can be
  917. used both in per-server and per-directory context. In per-server context it
  918. applies to the client authentication process used in the standard SSL
  919. handshake when a connection is established. In per-directory context it forces
  920. a SSL renegotation with the reconfigured client verification depth after the
  921. HTTP request was read but before the HTTP response is sent.</p>
  922. <p>
  923. The depth actually is the maximum number of intermediate certificate issuers,
  924. i.e. the number of CA certificates which are max allowed to be followed while
  925. verifying the client certificate. A depth of 0 means that self-signed client
  926. certificates are accepted only, the default depth of 1 means the client
  927. certificate can be self-signed or has to be signed by a CA which is directly
  928. known to the server (i.e. the CA's certificate is under
  929. <directive module="mod_ssl">SSLCACertificatePath</directive>), etc.</p>
  930. <example><title>Example</title>
  931. SSLVerifyDepth 10
  932. </example>
  933. </usage>
  934. </directivesynopsis>
  935.  
  936. <directivesynopsis>
  937. <name>SSLOptions</name>
  938. <description>Configure various SSL engine run-time options</description>
  939. <syntax>SSLOptions [+|-]<em>option</em> ...</syntax>
  940. <contextlist><context>server config</context>
  941. <context>virtual host</context>
  942. <context>directory</context>
  943. <context>.htaccess</context></contextlist>
  944. <override>Options</override>
  945.  
  946. <usage>
  947. <p>
  948. This directive can be used to control various run-time options on a
  949. per-directory basis. Normally, if multiple <code>SSLOptions</code>
  950. could apply to a directory, then the most specific one is taken
  951. completely; the options are not merged. However if <em>all</em> the
  952. options on the <code>SSLOptions</code> directive are preceded by a
  953. plus (<code>+</code>) or minus (<code>-</code>) symbol, the options
  954. are merged. Any options preceded by a <code>+</code> are added to the
  955. options currently in force, and any options preceded by a
  956. <code>-</code> are removed from the options currently in force.</p>
  957. <p>
  958. The available <em>option</em>s are:</p>
  959. <ul>
  960. <li><code>StdEnvVars</code>
  961.     <p>
  962.     When this option is enabled, the standard set of SSL related CGI/SSI
  963.     environment variables are created. This per default is disabled for
  964.     performance reasons, because the information extraction step is a
  965.     rather expensive operation. So one usually enables this option for
  966.     CGI and SSI requests only.</p>
  967. </li>
  968. <li><code>CompatEnvVars</code>
  969.     <p>
  970.     When this option is enabled, additional CGI/SSI environment variables are
  971.     created for backward compatibility to other Apache SSL solutions. Look in
  972.     the <a href="../ssl/ssl_compat.html">Compatibility</a> chapter for details
  973.     on the particular variables generated.</p>
  974. </li>
  975. <li><code>ExportCertData</code>
  976.     <p>
  977.     When this option is enabled, additional CGI/SSI environment variables are
  978.     created: <code>SSL_SERVER_CERT</code>, <code>SSL_CLIENT_CERT</code> and
  979.     <code>SSL_CLIENT_CERT_CHAIN</code><em>n</em> (with <em>n</em> = 0,1,2,..).
  980.     These contain the PEM-encoded X.509 Certificates of server and client for
  981.     the current HTTPS connection and can be used by CGI scripts for deeper
  982.     Certificate checking. Additionally all other certificates of the client
  983.     certificate chain are provided, too. This bloats up the environment a
  984.     little bit which is why you have to use this option to enable it on
  985.     demand.</p>
  986. </li>
  987. <li><code>FakeBasicAuth</code>
  988.     <p>
  989.     When this option is enabled, the Subject Distinguished Name (DN) of the
  990.     Client X509 Certificate is translated into a HTTP Basic Authorization
  991.     username. This means that the standard Apache authentication methods can
  992.     be used for access control. The user name is just the Subject of the
  993.     Client's X509 Certificate (can be determined by running OpenSSL's
  994.     <code>openssl x509</code> command: <code>openssl x509 -noout -subject -in
  995.     </code><em>certificate</em><code>.crt</code>). Note that no password is
  996.     obtained from the user. Every entry in the user file needs this password:
  997.     ``<code>xxj31ZMTZzkVA</code>'', which is the DES-encrypted version of the
  998.     word `<code>password</code>''. Those who live under MD5-based encryption
  999.     (for instance under FreeBSD or BSD/OS, etc.) should use the following MD5
  1000.     hash of the same word: ``<code>$1$OXLyS...$Owx8s2/m9/gfkcRVXzgoE/</code>''.</p>
  1001. </li>
  1002. <li><code>StrictRequire</code>
  1003.     <p>
  1004.     This <em>forces</em> forbidden access when <code>SSLRequireSSL</code> or
  1005.     <code>SSLRequire</code> successfully decided that access should be
  1006.     forbidden. Usually the default is that in the case where a ``<code>Satisfy
  1007.     any</code>'' directive is used, and other access restrictions are passed,
  1008.     denial of access due to <code>SSLRequireSSL</code> or
  1009.     <code>SSLRequire</code> is overridden (because that's how the Apache
  1010.     <code>Satisfy</code> mechanism should work.) But for strict access restriction
  1011.     you can use <code>SSLRequireSSL</code> and/or <code>SSLRequire</code> in
  1012.     combination with an ``<code>SSLOptions +StrictRequire</code>''. Then an
  1013.     additional ``<code>Satisfy Any</code>'' has no chance once mod_ssl has
  1014.     decided to deny access.</p>
  1015. </li>
  1016. <li><code>OptRenegotiate</code>
  1017.     <p>
  1018.     This enables optimized SSL connection renegotiation handling when SSL
  1019.     directives are used in per-directory context. By default a strict
  1020.     scheme is enabled where <em>every</em> per-directory reconfiguration of
  1021.     SSL parameters causes a <em>full</em> SSL renegotiation handshake. When this
  1022.     option is used mod_ssl tries to avoid unnecessary handshakes by doing more
  1023.     granular (but still safe) parameter checks. Nevertheless these granular
  1024.     checks sometimes maybe not what the user expects, so enable this on a
  1025.     per-directory basis only, please.</p>
  1026. </li>
  1027. </ul>
  1028. <example><title>Example</title>
  1029. SSLOptions +FakeBasicAuth -StrictRequire<br />
  1030. <Files ~ "\.(cgi|shtml)$"><br />
  1031.     SSLOptions +StdEnvVars +CompatEnvVars -ExportCertData<br />
  1032. <Files>
  1033. </example>
  1034. </usage>
  1035. </directivesynopsis>
  1036.  
  1037. <directivesynopsis>
  1038. <name>SSLRequireSSL</name>
  1039. <description>Deny access when SSL is not used for the 
  1040. HTTP request</description>
  1041. <syntax>SSLRequireSSL</syntax>
  1042. <contextlist><context>directory</context>
  1043. <context>.htaccess</context></contextlist>
  1044. <override>AuthConfig</override>
  1045.  
  1046. <usage>
  1047. <p><!-- XXX: I think the syntax is wrong -->
  1048. This directive forbids access unless HTTP over SSL (i.e. HTTPS) is enabled for
  1049. the current connection. This is very handy inside the SSL-enabled virtual
  1050. host or directories for defending against configuration errors that expose
  1051. stuff that should be protected. When this directive is present all requests
  1052. are denied which are not using SSL.</p>
  1053. <example><title>Example</title>
  1054. SSLRequireSSL
  1055. </example>
  1056. </usage>
  1057. </directivesynopsis>
  1058.  
  1059. <directivesynopsis>
  1060. <name>SSLRequire</name>
  1061. <description>Allow access only when an arbitrarily complex 
  1062. boolean expression is true</description>
  1063. <syntax>SSLRequire <em>expression</em></syntax>
  1064. <contextlist><context>directory</context>
  1065. <context>.htaccess</context></contextlist>
  1066. <override>AuthConfig</override>
  1067.  
  1068. <usage>
  1069. <p>
  1070. This directive specifies a general access requirement which has to be
  1071. fulfilled in order to allow access. It's a very powerful directive because the
  1072. requirement specification is an arbitrarily complex boolean expression
  1073. containing any number of access checks.</p>
  1074. <p>
  1075. The <em>expression</em> must match the following syntax (given as a BNF
  1076. grammar notation):</p>
  1077. <blockquote>
  1078. <pre>
  1079. expr     ::= "<strong>true</strong>" | "<strong>false</strong>"
  1080.            | "<strong>!</strong>" expr
  1081.            | expr "<strong>&&</strong>" expr
  1082.            | expr "<strong>||</strong>" expr
  1083.            | "<strong>(</strong>" expr "<strong>)</strong>"
  1084.            | comp
  1085.  
  1086. comp     ::= word "<strong>==</strong>" word | word "<strong>eq</strong>" word
  1087.            | word "<strong>!=</strong>" word | word "<strong>ne</strong>" word
  1088.            | word "<strong><</strong>"  word | word "<strong>lt</strong>" word
  1089.            | word "<strong><=</strong>" word | word "<strong>le</strong>" word
  1090.            | word "<strong>></strong>"  word | word "<strong>gt</strong>" word
  1091.            | word "<strong>>=</strong>" word | word "<strong>ge</strong>" word
  1092.            | word "<strong>in</strong>" "<strong>{</strong>" wordlist "<strong>}</strong>"
  1093.            | word "<strong>=~</strong>" regex
  1094.            | word "<strong>!~</strong>" regex
  1095.  
  1096. wordlist ::= word
  1097.            | wordlist "<strong>,</strong>" word
  1098.  
  1099. word     ::= digit
  1100.            | cstring
  1101.            | variable
  1102.            | function
  1103.  
  1104. digit    ::= [0-9]+
  1105. cstring  ::= "..."
  1106. variable ::= "<strong>%{</strong>" varname "<strong>}</strong>"
  1107. function ::= funcname "<strong>(</strong>" funcargs "<strong>)</strong>"
  1108. </pre>
  1109. </blockquote>
  1110. <p>while for <code>varname</code> any variable from <a
  1111. href="#table3">Table 3</a> can be used. Finally for
  1112. <code>funcname</code> the following functions are available:</p>
  1113. <ul>
  1114. <li><code>file(</code><em>filename</em><code>)</code>
  1115.     <p>
  1116.     This function takes one string argument and expands to the contents of the
  1117.     file. This is especially useful for matching this contents against a
  1118.     regular expression, etc.</p>
  1119. </li>
  1120. </ul>
  1121. <p>Notice that <em>expression</em> is first parsed into an internal machine
  1122. representation and then evaluated in a second step. Actually, in Global and
  1123. Per-Server Class context <em>expression</em> is parsed at startup time and
  1124. at runtime only the machine representation is executed. For Per-Directory
  1125. context this is different: here <em>expression</em> has to be parsed and
  1126. immediately executed for every request.</p>
  1127. <example><title>Example</title>
  1128. SSLRequire (    %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \<br />
  1129.             and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \<br />
  1130.             and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \<br />
  1131.             and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \<br />
  1132.             and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20       ) \<br />
  1133.            or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
  1134. </example>
  1135.  
  1136. <p><em>Standard CGI/1.0 and Apache variables:</em></p>
  1137. <pre>
  1138. HTTP_USER_AGENT        PATH_INFO             AUTH_TYPE
  1139. HTTP_REFERER           QUERY_STRING          SERVER_SOFTWARE
  1140. HTTP_COOKIE            REMOTE_HOST           API_VERSION
  1141. HTTP_FORWARDED         REMOTE_IDENT          TIME_YEAR
  1142. HTTP_HOST              IS_SUBREQ             TIME_MON
  1143. HTTP_PROXY_CONNECTION  DOCUMENT_ROOT         TIME_DAY
  1144. HTTP_ACCEPT            SERVER_ADMIN          TIME_HOUR
  1145. HTTP:headername        SERVER_NAME           TIME_MIN
  1146. THE_REQUEST            SERVER_PORT           TIME_SEC
  1147. REQUEST_METHOD         SERVER_PROTOCOL       TIME_WDAY
  1148. REQUEST_SCHEME         REMOTE_ADDR           TIME
  1149. REQUEST_URI            REMOTE_USER           ENV:<strong>variablename</strong>
  1150. REQUEST_FILENAME
  1151. </pre>
  1152. <p><em>SSL-related variables:</em></p>
  1153. <pre>
  1154. HTTPS                  SSL_CLIENT_M_VERSION   SSL_SERVER_M_VERSION
  1155.                        SSL_CLIENT_M_SERIAL    SSL_SERVER_M_SERIAL
  1156. SSL_PROTOCOL           SSL_CLIENT_V_START     SSL_SERVER_V_START
  1157. SSL_SESSION_ID         SSL_CLIENT_V_END       SSL_SERVER_V_END
  1158. SSL_CIPHER             SSL_CLIENT_S_DN        SSL_SERVER_S_DN
  1159. SSL_CIPHER_EXPORT      SSL_CLIENT_S_DN_C      SSL_SERVER_S_DN_C
  1160. SSL_CIPHER_ALGKEYSIZE  SSL_CLIENT_S_DN_ST     SSL_SERVER_S_DN_ST
  1161. SSL_CIPHER_USEKEYSIZE  SSL_CLIENT_S_DN_L      SSL_SERVER_S_DN_L
  1162. SSL_VERSION_LIBRARY    SSL_CLIENT_S_DN_O      SSL_SERVER_S_DN_O
  1163. SSL_VERSION_INTERFACE  SSL_CLIENT_S_DN_OU     SSL_SERVER_S_DN_OU
  1164.                        SSL_CLIENT_S_DN_CN     SSL_SERVER_S_DN_CN
  1165.                        SSL_CLIENT_S_DN_T      SSL_SERVER_S_DN_T
  1166.                        SSL_CLIENT_S_DN_I      SSL_SERVER_S_DN_I
  1167.                        SSL_CLIENT_S_DN_G      SSL_SERVER_S_DN_G
  1168.                        SSL_CLIENT_S_DN_S      SSL_SERVER_S_DN_S
  1169.                        SSL_CLIENT_S_DN_D      SSL_SERVER_S_DN_D
  1170.                        SSL_CLIENT_S_DN_UID    SSL_SERVER_S_DN_UID
  1171.                        SSL_CLIENT_S_DN_Email  SSL_SERVER_S_DN_Email
  1172.                        SSL_CLIENT_I_DN        SSL_SERVER_I_DN
  1173.                        SSL_CLIENT_I_DN_C      SSL_SERVER_I_DN_C
  1174.                        SSL_CLIENT_I_DN_ST     SSL_SERVER_I_DN_ST
  1175.                        SSL_CLIENT_I_DN_L      SSL_SERVER_I_DN_L
  1176.                        SSL_CLIENT_I_DN_O      SSL_SERVER_I_DN_O
  1177.                        SSL_CLIENT_I_DN_OU     SSL_SERVER_I_DN_OU
  1178.                        SSL_CLIENT_I_DN_CN     SSL_SERVER_I_DN_CN
  1179.                        SSL_CLIENT_I_DN_T      SSL_SERVER_I_DN_T
  1180.                        SSL_CLIENT_I_DN_I      SSL_SERVER_I_DN_I
  1181.                        SSL_CLIENT_I_DN_G      SSL_SERVER_I_DN_G
  1182.                        SSL_CLIENT_I_DN_S      SSL_SERVER_I_DN_S
  1183.                        SSL_CLIENT_I_DN_D      SSL_SERVER_I_DN_D
  1184.                        SSL_CLIENT_I_DN_UID    SSL_SERVER_I_DN_UID
  1185.                        SSL_CLIENT_I_DN_Email  SSL_SERVER_I_DN_Email
  1186.                        SSL_CLIENT_A_SIG       SSL_SERVER_A_SIG
  1187.                        SSL_CLIENT_A_KEY       SSL_SERVER_A_KEY
  1188.                        SSL_CLIENT_CERT        SSL_SERVER_CERT
  1189.                        SSL_CLIENT_CERT_CHAIN<strong>n</strong>
  1190.                        SSL_CLIENT_VERIFY
  1191. </pre>
  1192. </usage>
  1193. </directivesynopsis>
  1194.  
  1195. <directivesynopsis>
  1196. <name>SSLProxyMachineCertificatePath</name>
  1197. <description>Directory of PEM-encoded client certificates and keys to be used by the proxy</description>
  1198. <syntax>SSLProxyMachineCertificatePath <em>directory</em></syntax>
  1199. <contextlist><context>server config</context></contextlist>
  1200. <override>Not applicable</override>
  1201.  
  1202. <usage>
  1203. <p>
  1204. This directive sets the directory where you keep the certificates and
  1205. keys used for authentication of the proxy server to remote servers.
  1206. </p>
  1207. <p>The files in this directory must be PEM-encoded and are accessed through
  1208. hash filenames. Additionally, you must create symbolic links named
  1209. <code><em>hash-value</em>.N</code>. And you should always make sure this
  1210. directory contains the appropriate symbolic links. Use the Makefile which
  1211. comes with mod_ssl to accomplish this task.
  1212. </p>
  1213. <note type="warning">
  1214. <p>Currently there is no support for encrypted private keys</p>
  1215. </note>
  1216. <p>
  1217. Example:</p>
  1218. <example>
  1219. SSLProxyMachineCertificatePath /usr/local/apache2/conf/proxy.crt/
  1220. </example> 
  1221. </usage> 
  1222. </directivesynopsis>
  1223.  
  1224.  
  1225. <directivesynopsis>
  1226. <name>SSLProxyMachineCertificateFile</name>
  1227. <description>File of concatenated PEM-encoded client certificates and keys to be used by the proxy</description>
  1228. <syntax>SSLProxyMachineCertificateFile <em>filename</em></syntax>
  1229. <contextlist><context>server config</context></contextlist>
  1230. <override>Not applicable</override>
  1231.  
  1232. <usage>
  1233. <p>
  1234. This directive sets the all-in-one file where you keep the certificates and
  1235. keys used for authentication of the proxy server to remote servers.
  1236. </p>
  1237. <p>
  1238. This referenced file is simply the concatenation of the various PEM-encoded
  1239. certificate files, in order of preference. Use this directive alternatively
  1240. or additionally to <code>SSLProxyMachineCertificatePath</code>.
  1241. </p>
  1242. <note type="warning">
  1243. <p>Currently there is no support for encrypted private keys</p>
  1244. </note>
  1245. <p>
  1246. Example:</p>
  1247. <example>
  1248. SSLProxyMachineCertificateFile /usr/local/apache2/conf/ssl.crt/proxy.pem
  1249. </example>
  1250. </usage>
  1251. </directivesynopsis>
  1252.  
  1253. <directivesynopsis>
  1254. <name>SSLProxyVerify</name>
  1255. <description>Type of remote server Certificate verification</description>
  1256. <syntax>SSLProxyVerify <em>level</em></syntax>
  1257. <default>SSLProxyVerify none</default>
  1258. <contextlist><context>server config</context>
  1259. <context>virtual host</context>
  1260. <context>directory</context>
  1261. <context>.htaccess</context></contextlist>
  1262. <override>AuthConfig</override>
  1263.  
  1264. <usage>
  1265. <p>
  1266. This directive sets the Certificate verification level for the remote server
  1267. Authentication. Notice that this directive can be used both in per-server and
  1268. per-directory context. In per-server context it applies to the remote server
  1269. authentication process used in the standard SSL handshake when a connection is
  1270. established. In per-directory context it forces a SSL renegotation with the
  1271. reconfigured remote server verification level after the HTTP request was read but
  1272. before the HTTP response is sent.</p>
  1273. <p>
  1274. The following levels are available for <em>level</em>:</p>
  1275. <ul>
  1276. <li><strong>none</strong>:
  1277.      no remote server Certificate is required at all</li>
  1278. <li><strong>optional</strong>:
  1279.      the remote server <em>may</em> present a valid Certificate</li>
  1280. <li><strong>require</strong>:
  1281.      the remote server <em>has to</em> present a valid Certificate</li>
  1282. <li><strong>optional_no_ca</strong>:
  1283.      the remote server may present a valid Certificate<br />
  1284.      but it need not to be (successfully) verifiable.</li>
  1285. </ul>
  1286. <p>In practice only levels <strong>none</strong> and
  1287. <strong>require</strong> are really interesting, because level
  1288. <strong>optional</strong> doesn't work with all servers and level
  1289. <strong>optional_no_ca</strong> is actually against the idea of
  1290. authentication (but can be used to establish SSL test pages, etc.)</p>
  1291. <example><title>Example</title>
  1292. SSLProxyVerify require
  1293. </example>
  1294. </usage>
  1295. </directivesynopsis>
  1296.  
  1297. <directivesynopsis>
  1298. <name>SSLProxyVerifyDepth</name>
  1299. <description>Maximum depth of CA Certificates in Remote Server
  1300. Certificate verification</description>
  1301. <syntax>SSLProxyVerifyDepth <em>number</em></syntax>
  1302. <default>SSLProxyVerifyDepth 1</default>
  1303. <contextlist><context>server config</context>
  1304. <context>virtual host</context>
  1305. <context>directory</context>
  1306. <context>.htaccess</context></contextlist>
  1307. <override>AuthConfig</override>
  1308.  
  1309. <usage>
  1310. <p>
  1311. This directive sets how deeply mod_ssl should verify before deciding that the
  1312. remote server does not have a valid certificate. Notice that this directive can be
  1313. used both in per-server and per-directory context. In per-server context it
  1314. applies to the client authentication process used in the standard SSL
  1315. handshake when a connection is established. In per-directory context it forces
  1316. a SSL renegotation with the reconfigured remote server verification depth after the
  1317. HTTP request was read but before the HTTP response is sent.</p>
  1318. <p>
  1319. The depth actually is the maximum number of intermediate certificate issuers,
  1320. i.e. the number of CA certificates which are max allowed to be followed while
  1321. verifying the remote server certificate. A depth of 0 means that self-signed
  1322. remote server certificates are accepted only, the default depth of 1 means
  1323. the remote server certificate can be self-signed or has to be signed by a CA
  1324. which is directly known to the server (i.e. the CA's certificate is under
  1325. <directive module="mod_ssl">SSLProxyCACertificatePath</directive>), etc.</p>
  1326. <example><title>Example</title>
  1327. SSLProxyVerifyDepth 10
  1328. </example>
  1329. </usage>
  1330. </directivesynopsis>
  1331.  
  1332. <directivesynopsis>
  1333. <name>SSLProxyEngine</name>
  1334. <description>SSL Proxy Engine Operation Switch</description>
  1335. <syntax>SSLProxyEngine on|off</syntax>
  1336. <default>SSLProxyEngine off</default>
  1337. <contextlist><context>server config</context>
  1338. <context>virtual host</context></contextlist>
  1339.  
  1340. <usage>
  1341. <p>
  1342. This directive toggles the usage of the SSL/TLS Protocol Engine for proxy. This
  1343. is usually used inside a <directive module="core"
  1344. type="section">VirtualHost</directive> section to enable SSL/TLS for proxy
  1345. usage in a particular virtual host. By default the SSL/TLS Protocol Engine is
  1346. disabled for proxy image both for the main server and all configured virtual hosts.</p>
  1347. <example><title>Example</title>
  1348. <VirtualHost _default_:443><br />
  1349. SSLProxyEngine on<br />
  1350. ...<br />
  1351. </VirtualHost>
  1352. </example>
  1353. </usage>
  1354. </directivesynopsis>
  1355.  
  1356. <directivesynopsis>
  1357. <name>SSLProxyProtocol</name>
  1358. <description>Configure usable SSL protocol flavors for proxy usage</description>
  1359. <syntax>SSLProxyProtocol [+|-]<em>protocol</em> ...</syntax>
  1360. <default>SSLProxyProtocol all</default>
  1361. <contextlist><context>server config</context>
  1362. <context>virtual host</context></contextlist>
  1363. <override>Options</override>
  1364.  
  1365. <usage>
  1366. <!-- XXX Why does this have an override and not .htaccess context? -->
  1367. <p>
  1368. This directive can be used to control the SSL protocol flavors mod_ssl should
  1369. use when establishing its server environment for proxy . It will only connect
  1370. to servers using one of the provided protocols.</p>
  1371. <p>Please refer to <directive module="mod_ssl">SSLProtocol</directive>
  1372. for additional information.
  1373. </p>
  1374. </usage>
  1375. </directivesynopsis>
  1376.  
  1377. <directivesynopsis>
  1378. <name>SSLProxyCipherSuite</name>
  1379. <description>Cipher Suite available for negotiation in SSL 
  1380. proxy handshake</description>
  1381. <syntax>SSLProxyCipherSuite <em>cipher-spec</em></syntax>
  1382. <default>SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP</default>
  1383. <contextlist><context>server config</context>
  1384. <context>virtual host</context>
  1385. <context>directory</context>
  1386. <context>.htaccess</context></contextlist>
  1387. <override>AuthConfig</override>
  1388. <usage>
  1389. <p>Equivalent to <code>SSLCipherSuite</code>, but for the proxy connection.
  1390. Please refer to <directive module="mod_ssl">SSLCipherSuite</directive>
  1391. for additional information.</p>
  1392. </usage>
  1393.  
  1394. </directivesynopsis>
  1395. <directivesynopsis>
  1396. <name>SSLProxyCACertificatePath</name>
  1397. <description>Directory of PEM-encoded CA Certificates for 
  1398. Remote Server Auth</description>
  1399. <syntax>SSLProxyCACertificatePath <em>directory-path</em></syntax>
  1400. <contextlist><context>server config</context>
  1401. <context>virtual host</context></contextlist>
  1402.  
  1403. <usage>
  1404. <p>
  1405. This directive sets the directory where you keep the Certificates of
  1406. Certification Authorities (CAs) whose remote servers you deal with. These are used to
  1407. verify the remote server certificate on Remote Server Authentication.</p>
  1408. <p>
  1409. The files in this directory have to be PEM-encoded and are accessed through
  1410. hash filenames. So usually you can't just place the Certificate files
  1411. there: you also have to create symbolic links named
  1412. <em>hash-value</em><code>.N</code>. And you should always make sure this directory
  1413. contains the appropriate symbolic links. Use the <code>Makefile</code> which
  1414. comes with mod_ssl to accomplish this task.</p>
  1415. <example><title>Example</title>
  1416. SSLProxyCACertificatePath /usr/local/apache2/conf/ssl.crt/
  1417. </example>
  1418. </usage>
  1419. </directivesynopsis>
  1420.  
  1421. <directivesynopsis>
  1422. <name>SSLProxyCACertificateFile</name>
  1423. <description>File of concatenated PEM-encoded CA Certificates 
  1424. for Remote Server Auth</description>
  1425. <syntax>SSLProxyCACertificateFile <em>file-path</em></syntax>
  1426. <contextlist><context>server config</context>
  1427. <context>virtual host</context></contextlist>
  1428.  
  1429. <usage>
  1430. <p>
  1431. This directive sets the <em>all-in-one</em> file where you can assemble the
  1432. Certificates of Certification Authorities (CA) whose <em>remote servers</em> you deal
  1433. with. These are used for Remote Server Authentication. Such a file is simply the
  1434. concatenation of the various PEM-encoded Certificate files, in order of
  1435. preference. This can be used alternatively and/or additionally to 
  1436. <directive module="mod_ssl">SSLProxyCACertificatePath</directive>.</p>
  1437. <example><title>Example</title>
  1438. SSLProxyCACertificateFile /usr/local/apache2/conf/ssl.crt/ca-bundle-remote-server.crt
  1439. </example>
  1440. </usage>
  1441. </directivesynopsis>
  1442.  
  1443. <directivesynopsis>
  1444. <name>SSLProxyCARevocationPath</name>
  1445. <description>Directory of PEM-encoded CA CRLs for 
  1446. Remote Server Auth</description>
  1447. <syntax>SSLProxyCARevocationPath <em>directory-path</em></syntax>
  1448. <contextlist><context>server config</context>
  1449. <context>virtual host</context></contextlist>
  1450.  
  1451. <usage>
  1452. <p>
  1453. This directive sets the directory where you keep the Certificate Revocation
  1454. Lists (CRL) of Certification Authorities (CAs) whose remote servers you deal with.
  1455. These are used to revoke the remote server certificate on Remote Server Authentication.</p>
  1456. <p>
  1457. The files in this directory have to be PEM-encoded and are accessed through
  1458. hash filenames. So usually you have not only to place the CRL files there.
  1459. Additionally you have to create symbolic links named
  1460. <em>hash-value</em><code>.rN</code>. And you should always make sure this directory
  1461. contains the appropriate symbolic links. Use the <code>Makefile</code> which
  1462. comes with <module>mod_ssl</module> to accomplish this task.</p>
  1463. <example><title>Example</title>
  1464. SSLProxyCARevocationPath /usr/local/apache2/conf/ssl.crl/
  1465. </example>
  1466. </usage>
  1467. </directivesynopsis>
  1468.  
  1469. <directivesynopsis>
  1470. <name>SSLProxyCARevocationFile</name>
  1471. <description>File of concatenated PEM-encoded CA CRLs for 
  1472. Remote Server Auth</description>
  1473. <syntax>SSLProxyCARevocationFile <em>file-path</em></syntax>
  1474. <contextlist><context>server config</context>
  1475. <context>virtual host</context></contextlist>
  1476.  
  1477. <usage>
  1478. <p>
  1479. This directive sets the <em>all-in-one</em> file where you can
  1480. assemble the Certificate Revocation Lists (CRL) of Certification
  1481. Authorities (CA) whose <em>remote servers</em> you deal with. These are used
  1482. for Remote Server Authentication.  Such a file is simply the concatenation of
  1483. the various PEM-encoded CRL files, in order of preference. This can be
  1484. used alternatively and/or additionally to <directive
  1485. module="mod_ssl">SSLProxyCARevocationPath</directive>.</p>
  1486. <example><title>Example</title>
  1487. SSLProxyCARevocationFile /usr/local/apache2/conf/ssl.crl/ca-bundle-remote-server.crl
  1488. </example>
  1489. </usage>
  1490. </directivesynopsis>
  1491.  
  1492.  
  1493.  
  1494. </modulesynopsis>
  1495.