Listeners d'administration - SSL

Description

Chaque listener SSL requiert une cle privee SSL et un certificat SSL associes. Plusieurs listeners SSL peuvent partager la meme cle et le meme certificat.

Vous pouvez generer vous-meme des cles privees SSL avec un paquet logiciel SSL, comme OpenSSL. Les certificats SSL peuvent aussi etre achetes aupres d'une autorite de certification autorisee comme VeriSign ou Thawte. Vous pouvez aussi signer le certificat vous-meme. Les certificats autosignes ne seront pas approuves par les navigateurs web et ne doivent pas etre utilises sur des sites publics contenant des donnees critiques. Toutefois, un certificat autosigne suffit pour un usage interne, par exemple pour chiffrer le trafic vers la console WebAdmin de LiteSpeed Web Server.

Description

Nom de fichier de la cle privee SSL. Le fichier de cle ne doit pas etre chiffre.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Conseils

Security Le fichier de cle privee doit etre place dans un repertoire securise qui autorise un acces en lecture seule a l’utilisateur sous lequel le serveur s’execute.

Description

Nom de fichier du certificat SSL.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Conseils

Security Le fichier de certificat doit etre place dans un repertoire securise qui autorise un acces en lecture seule a l’utilisateur sous lequel le serveur s’execute.

Description

Indique si le certificat est un certificat chaine ou non. Le fichier qui stocke une chaine de certificats doit etre au format PEM, et les certificats doivent etre dans l’ordre chaine, du niveau le plus bas (le certificat client ou serveur reel) au niveau le plus haut, la CA racine.

Syntaxe

Sélectionner avec les boutons radio

Description

Indique le repertoire ou sont conserves les certificats des autorites de certification (CA). Ces certificats sont utilises pour l’authentification par certificat client et pour construire la chaine de certificats du serveur, qui sera envoyee aux navigateurs en plus du certificat serveur.

Syntaxe

chemin

Description

Indique le fichier contenant tous les certificats des autorites de certification (CA) pour les certificats chaines. Ce fichier est simplement la concatenation de fichiers de certificat encodes en PEM, par ordre de preference. Il peut etre utilise comme alternative ou en complement de Chemin des certificats CA. Ces certificats sont utilises pour l’authentification par certificat client et pour construire la chaine de certificats du serveur, qui sera envoyee aux navigateurs en plus du certificat serveur.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Selection de protocoles SSL acceptes par le listener.

Les options comprennent: SSL v3.0, TLS v1.0, TLS v1.1, TLS v1.2, TLS v1.3.

Syntaxe

Sélectionner avec des cases à cocher

Description

Indique la suite de chiffrement a utiliser lors de la negociation du handshake SSL. LSWS prend en charge les suites de chiffrement implementees dans SSL v3.0, TLS v1.0, TLS v1.2 et TLS v1.3.

Syntaxe

Chaine de specifications de chiffrement separees par des deux-points.

Exemple

Conseils

Security Nous recommandons de laisser ce champ vide afin d’utiliser notre chiffrement par defaut, qui suit les bonnes pratiques de chiffrement SSL.

Description

Permet l’utilisation de l’echange de cles Elliptic Curve Diffie-Hellman pour un chiffrement SSL supplementaire.

Syntaxe

Sélectionner avec les boutons radio

Conseils

Security L’echange de cles ECDH est plus sur que l’utilisation d’une simple cle RSA. Les echanges de cles ECDH et DH sont aussi surs l’un que l’autre.

Performance Activer l’echange de cles ECDH augmentera la charge CPU et sera plus lent que l’utilisation d’une simple cle RSA.

Description

Permet l’utilisation de l’echange de cles Diffie-Hellman pour un chiffrement SSL supplementaire.

Syntaxe

Sélectionner avec les boutons radio

Conseils

Security L’echange de cles DH est plus sur que l’utilisation d’une simple cle RSA. Les echanges de cles ECDH et DH sont aussi surs l’un que l’autre.

Performance Activer l’echange de cles DH augmentera la charge CPU et sera plus lent que l’echange de cles ECDH et RSA. L’echange de cles ECDH est prefere lorsqu’il est disponible.

Description

Indique l’emplacement du fichier de parametres Diffie-Hellman necessaire a l’echange de cles DH.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Indique s’il faut activer la protection contre la renegociation SSL pour se defendre contre les attaques basees sur le handshake SSL. La valeur par defaut est "Yes".

Syntaxe

Sélectionner avec les boutons radio

Conseils

Information Ce parametre peut etre active aux niveaux listener et hote virtuel.

Description

Active la mise en cache des ID de session avec le réglage par défaut d’OpenSSL. Le réglage de niveau serveur doit être défini sur "Yes" pour que le réglage Virtual Host prenne effet.

Valeurs par défaut:
Niveau serveur: Yes
Niveau VH: Yes

Syntaxe

Sélectionner avec les boutons radio

Description

Active les tickets de session avec le réglage par défaut des tickets de session d’OpenSSL. Le réglage de niveau serveur doit être défini sur "Yes" pour que le réglage Virtual Host prenne effet.

Valeurs par défaut:
Niveau serveur: Yes
Niveau VH: Yes

Syntaxe

Sélectionner avec les boutons radio

Description

Application-Layer Protocol Negotiation(ALPN) sert a activer selectivement les protocoles reseau HTTP/3 et HTTP/2.

Si vous souhaitez desactiver HTTP/2 et HTTP3, cochez None et laissez toutes les autres cases decochees.

Valeur par defaut: tout active

Syntaxe

Sélectionner avec des cases à cocher

Conseils

Information Cela peut etre defini aux niveaux listener et hote virtuel.

Description

Autorise l’utilisation du protocole reseau HTTP3/QUIC pour les hotes virtuels mappes sur ce listener. Pour que ce parametre prenne effet, Activer HTTP3/QUIC doit aussi etre defini sur Yes au niveau serveur. La valeur par defaut est Yes.

Conseils

Information Lorsque ce parametre est defini sur Yes, HTTP3/QUIC peut toujours etre desactive au niveau hote virtuel via le parametre Activer HTTP3/QUIC.

Description

Indique le type d’authentification par certificat client. Les types disponibles sont:

• None: aucun certificat client n’est requis.
• Optional: le certificat client est facultatif.
• Require: le client doit avoir un certificat valide.
• Optional_no_ca: identique a optional.

Syntaxe

Sélectionner dans la liste déroulante

Conseils

Information "None" ou "Require" sont recommandes.

Description

Indique jusqu’a quelle profondeur un certificat doit etre verifie avant de determiner que le client n’a pas de certificat valide. La valeur par defaut est "1".

Syntaxe

Sélectionner dans la liste déroulante

Description

Indique le repertoire contenant des fichiers CRL de CA encodes en PEM pour les certificats client revoques. Les fichiers de ce repertoire doivent etre encodes en PEM. Ces fichiers sont accessibles via des noms de fichier de hash, hash-value.rN. Consultez la documentation openSSL ou Apache mod_ssl pour la creation du nom de fichier de hash.

Syntaxe

chemin

Description

Indique le fichier contenant des fichiers CRL de CA encodes en PEM qui enumerent les certificats client revoques. Cela peut etre utilise comme alternative ou en complement de Chemin de revocation client.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.