Listener - SSL

Beschreibung

Jeder SSL-Listener benoetigt einen passenden privaten SSL-Schluessel und ein SSL-Zertifikat. Mehrere SSL-Listener koennen denselben Schluessel und dasselbe Zertifikat gemeinsam verwenden.

Sie koennen private SSL-Schluessel selbst mit einem SSL-Softwarepaket wie OpenSSL erzeugen. SSL-Zertifikate koennen auch bei einer autorisierten Zertifizierungsstelle wie VeriSign oder Thawte gekauft werden. Sie koennen das Zertifikat auch selbst signieren. Selbstsignierte Zertifikate werden von Webbrowsern nicht als vertrauenswuerdig eingestuft und sollten nicht auf oeffentlichen Websites mit kritischen Daten verwendet werden. Fuer interne Nutzung ist ein selbstsigniertes Zertifikat jedoch ausreichend, z. B. zum Verschluesseln des Datenverkehrs zur WebAdmin-Konsole von LiteSpeed Web Server.

Beschreibung

Der Dateiname der privaten SSL-Schluesseldatei. Die Schluesseldatei sollte nicht verschluesselt sein.

Syntax

Dateiname, der ein absoluter Pfad oder ein Pfad relativ zu $SERVER_ROOT sein kann.

Tipps

Security Die private Schluesseldatei sollte in einem gesicherten Verzeichnis abgelegt werden, das dem Benutzer, unter dem der Server laeuft, nur Lesezugriff erlaubt.

Beschreibung

Der Dateiname der SSL-Zertifikatdatei.

Syntax

Dateiname, der ein absoluter Pfad oder ein Pfad relativ zu $SERVER_ROOT sein kann.

Tipps

Security Die Zertifikatdatei sollte in einem gesicherten Verzeichnis abgelegt werden, das dem Benutzer, unter dem der Server laeuft, nur Lesezugriff erlaubt.

Beschreibung

Gibt an, ob das Zertifikat ein verkettetes Zertifikat ist. Die Datei, die eine Zertifikatkette speichert, muss im PEM-Format vorliegen, und die Zertifikate muessen in der verketteten Reihenfolge stehen, von der niedrigsten Ebene (dem tatsaechlichen Client- oder Serverzertifikat) bis zur hoechsten Ebene (Root-)CA.

Syntax

Aus Optionsfeldern auswählen

Beschreibung

Gibt das Verzeichnis an, in dem die Zertifikate der Zertifizierungsstellen (CAs) abgelegt sind. Diese Zertifikate werden fuer die Client-Zertifikatauthentifizierung und zum Erstellen der Serverzertifikatkette verwendet, die zusaetzlich zum Serverzertifikat an Browser gesendet wird.

Syntax

Pfad

Beschreibung

Gibt die Datei an, die alle Zertifikate von Zertifizierungsstellen (CAs) fuer verkettete Zertifikate enthaelt. Diese Datei ist einfach die Verkettung PEM-codierter Zertifikatdateien in bevorzugter Reihenfolge. Sie kann als Alternative oder zusaetzlich zu CA-Zertifikatpfad verwendet werden. Diese Zertifikate werden fuer die Client-Zertifikatauthentifizierung und zum Erstellen der Serverzertifikatkette verwendet, die zusaetzlich zum Serverzertifikat an Browser gesendet wird.

Syntax

Dateiname, der ein absoluter Pfad oder ein Pfad relativ zu $SERVER_ROOT sein kann.

Beschreibung

Eine Auswahl von SSL-Protokollen, die vom Listener akzeptiert werden.

Optionen umfassen: SSL v3.0, TLS v1.0, TLS v1.1, TLS v1.2, TLS v1.3.

Syntax

Per Kontrollkästchen auswählen

Beschreibung

Gibt die Cipher-Suite an, die beim Aushandeln des SSL-Handshakes verwendet wird. LSWS unterstuetzt Cipher-Suites, die in SSL v3.0, TLS v1.0, TLS v1.2 und TLS v1.3 implementiert sind.

Syntax

Durch Doppelpunkte getrennte Zeichenfolge von Cipher-Spezifikationen.

Beispiel

Tipps

Security Wir empfehlen, dieses Feld leer zu lassen, um unsere Standard-Cipher zu verwenden, die den Best Practices fuer SSL-Cipher folgt.

Beschreibung

Erlaubt die Verwendung von Elliptic Curve Diffie-Hellman-Schluesselaustausch fuer weitere SSL-Verschluesselung.

Syntax

Aus Optionsfeldern auswählen

Tipps

Security ECDH-Schluesselaustausch ist sicherer als nur die Verwendung eines RSA-Schluessels. ECDH- und DH-Schluesselaustausch sind gleich sicher.

Performance Das Aktivieren von ECDH-Schluesselaustausch erhoeht die CPU-Last und ist langsamer als nur die Verwendung eines RSA-Schluessels.

Beschreibung

Erlaubt die Verwendung von Diffie-Hellman-Schluesselaustausch fuer weitere SSL-Verschluesselung.

Syntax

Aus Optionsfeldern auswählen

Tipps

Security DH-Schluesselaustausch ist sicherer als nur die Verwendung eines RSA-Schluessels. ECDH- und DH-Schluesselaustausch sind gleich sicher.

Performance Das Aktivieren von DH-Schluesselaustausch erhoeht die CPU-Last und ist langsamer als ECDH-Schluesselaustausch und RSA. ECDH-Schluesselaustausch wird bevorzugt, wenn verfuegbar.

Beschreibung

Gibt den Speicherort der Diffie-Hellman-Parameterdatei an, die fuer den DH-Schluesselaustausch erforderlich ist.

Syntax

Dateiname, der ein absoluter Pfad oder ein Pfad relativ zu $SERVER_ROOT sein kann.

Beschreibung

Gibt an, ob SSL-Renegotiation-Schutz aktiviert werden soll, um gegen Angriffe auf Basis des SSL-Handshakes zu schuetzen. Der Standardwert ist "Yes".

Syntax

Aus Optionsfeldern auswählen

Tipps

Information Diese Einstellung kann auf Listener- und Virtual-Host-Ebene aktiviert werden.

Beschreibung

Aktiviert das Caching von Sitzungs-IDs mit der OpenSSL-Standardeinstellung. Die Einstellung auf Serverebene muss auf "Yes" gesetzt sein, damit die Virtual-Host-Einstellung wirkt.

Standardwerte:
Serverebene: Yes
VH-Ebene: Yes

Syntax

Aus Optionsfeldern auswählen

Beschreibung

Aktiviert Sitzungstickets mit der OpenSSL-Standardeinstellung für Sitzungstickets. Die Einstellung auf Serverebene muss auf "Yes" gesetzt sein, damit die Virtual-Host-Einstellung wirkt.

Standardwerte:
Serverebene: Yes
VH-Ebene: Yes

Syntax

Aus Optionsfeldern auswählen

Beschreibung

Application-Layer Protocol Negotiation(ALPN) wird verwendet, um die Netzwerkprotokolle HTTP/3 und HTTP/2 selektiv zu aktivieren.

Wenn Sie HTTP/2 und HTTP3 deaktivieren moechten, markieren Sie None und lassen Sie alle anderen Kontrollkaestchen deaktiviert.

Standardwert: Alle aktiviert

Syntax

Per Kontrollkästchen auswählen

Tipps

Information Dies kann auf Listener- und Virtual-Host-Ebene gesetzt werden.

Beschreibung

Erlaubt die Verwendung des Netzwerkprotokolls HTTP3/QUIC fuer Virtual Hosts, die diesem Listener zugeordnet sind. Damit diese Einstellung wirksam wird, muss HTTP3/QUIC aktivieren auch auf Serverebene auf Yes gesetzt sein. Standardwert ist Yes.

Tipps

Information Wenn diese Einstellung auf Yes gesetzt ist, kann HTTP3/QUIC weiterhin auf Virtual-Host-Ebene ueber die Einstellung HTTP3/QUIC aktivieren deaktiviert werden.

Beschreibung

Online Certificate Status Protocol (OCSP) ist eine effizientere Methode, um zu pruefen, ob ein digitales Zertifikat gueltig ist. Es kommuniziert mit einem anderen Server, dem OCSP responder, um eine Bestaetigung zu erhalten, dass das Zertifikat gueltig ist, statt Certificate Revocation Lists (CRL) zu pruefen.

OCSP stapling ist eine weitere Verbesserung dieses Protokolls. Dabei kann der Server in regelmaessigen Abstaenden beim OCSP responder pruefen, statt jedes Mal, wenn ein Zertifikat angefordert wird. Weitere Details finden Sie auf der Wikipedia-Seite zu OCSP.

Beschreibung

Bestimmt, ob OCSP stapling aktiviert werden soll, eine effizientere Methode zur Pruefung von Public-Key-Zertifikaten.

Syntax

Aus Optionsfeldern auswählen

Beschreibung

Diese Option legt das maximal zulaessige Alter einer OCSP-Antwort fest. Wenn eine OCSP-Antwort aelter als dieses maximale Alter ist, kontaktiert der Server den OCSP responder fuer eine neue Antwort. Der Standardwert ist 86400. Das maximale Alter kann deaktiviert werden, indem dieser Wert auf -1 gesetzt wird.

Syntax

Ganzzahl in Sekunden

Beschreibung

Gibt die URL des zu verwendenden OCSP responder an. Wenn nicht gesetzt, versucht der Server, den OCSP responder zu kontaktieren, der im Ausstellerzertifikat der Zertifizierungsstelle angegeben ist. Einige Ausstellerzertifikate haben moeglicherweise keine OCSP responder-URL.

Syntax

URL beginnend mit http://

Beispiel

Beschreibung

Gibt den Speicherort der Datei an, in der OCSP-Zertifizierungsstellenzertifikate (CA) gespeichert sind. Diese Zertifikate werden verwendet, um Antworten des OCSP responder zu pruefen (und sicherzustellen, dass diese Antworten nicht gefaelscht oder anderweitig kompromittiert sind). Diese Datei sollte die gesamte Zertifikatkette enthalten. Wenn diese Datei das Root-Zertifikat nicht enthaelt, sollte LSWS das Root-Zertifikat in Ihrem Systemverzeichnis finden koennen, ohne dass Sie es der Datei hinzufuegen; wenn diese Validierung jedoch fehlschlaegt, sollten Sie versuchen, Ihr Root-Zertifikat zu dieser Datei hinzuzufuegen.

Diese Einstellung ist optional. Wenn sie nicht gesetzt ist, prueft der Server automatisch CA-Zertifikatdatei.

Syntax

Dateiname, der ein absoluter Pfad oder ein Pfad relativ zu $SERVER_ROOT sein kann.

Beschreibung

Gibt den Typ der Client-Zertifikatauthentifizierung an. Verfuegbare Typen sind:

• None: Kein Client-Zertifikat ist erforderlich.
• Optional: Client-Zertifikat ist optional.
• Require: Der Client muss ein gueltiges Zertifikat haben.
• Optional_no_ca: Gleich wie optional.

Syntax

Aus Dropdown-Liste auswählen

Tipps

Information "None" oder "Require" werden empfohlen.

Beschreibung

Gibt an, wie tief ein Zertifikat geprueft werden soll, bevor festgestellt wird, dass der Client kein gueltiges Zertifikat besitzt. Der Standardwert ist "1".

Syntax

Aus Dropdown-Liste auswählen

Beschreibung

Gibt das Verzeichnis mit PEM-codierten CA-CRL-Dateien fuer widerrufene Client-Zertifikate an. Die Dateien in diesem Verzeichnis muessen PEM-codiert sein. Auf diese Dateien wird ueber Hash-Dateinamen, hash-value.rN, zugegriffen. Informationen zum Erstellen des Hash-Dateinamens finden Sie in der Dokumentation zu openSSL oder Apache mod_ssl.

Syntax

Pfad

Beschreibung

Gibt die Datei mit PEM-codierten CA-CRL-Dateien an, die widerrufene Client-Zertifikate auflisten. Dies kann als Alternative oder zusaetzlich zu Client-Revocation-Pfad verwendet werden.

Syntax

Dateiname, der ein absoluter Pfad oder ein Pfad relativ zu $SERVER_ROOT sein kann.