Listeners de administración - SSL

Descripción

Cada listener SSL requiere una clave privada SSL y un certificado SSL emparejados. Varios listeners SSL pueden compartir la misma clave y certificado.

Puede generar claves privadas SSL usted mismo usando un paquete de software SSL, como OpenSSL. Los certificados SSL tambien pueden comprarse a una entidad emisora de certificados autorizada como VeriSign o Thawte. Tambien puede firmar el certificado usted mismo. Los certificados autofirmados no seran considerados confiables por los navegadores web y no deben usarse en sitios web publicos que contengan datos criticos. Sin embargo, un certificado autofirmado es suficiente para uso interno, por ejemplo para cifrar el trafico hacia la consola WebAdmin de LiteSpeed Web Server.

Descripción

El nombre de archivo de la clave privada SSL. El archivo de clave no debe estar cifrado.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Consejos

Security El archivo de clave privada debe colocarse en un directorio seguro que permita acceso de solo lectura al usuario con el que se ejecuta el servidor.

Descripción

El nombre de archivo del certificado SSL.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Consejos

Security El archivo de certificado debe colocarse en un directorio seguro que permita acceso de solo lectura al usuario con el que se ejecuta el servidor.

Descripción

Especifica si el certificado es o no un certificado encadenado. El archivo que almacena una cadena de certificados debe estar en formato PEM, y los certificados deben estar en orden encadenado, desde el nivel mas bajo (el certificado real del cliente o servidor) hasta la CA de nivel mas alto (raiz).

Sintaxis

Seleccionar desde botones de opción

Descripción

Especifica el directorio donde se guardan los certificados de las autoridades de certificacion (CA). Estos certificados se usan para autenticacion de certificados de cliente y para construir la cadena de certificados del servidor, que se enviara a los navegadores ademas del certificado del servidor.

Sintaxis

ruta

Descripción

Especifica el archivo que contiene todos los certificados de autoridades de certificacion (CA) para certificados encadenados. Este archivo es simplemente la concatenacion de archivos de certificado codificados en PEM, en orden de preferencia. Puede usarse como alternativa o ademas de Ruta de certificados CA. Estos certificados se usan para autenticacion de certificados de cliente y para construir la cadena de certificados del servidor, que se enviara a los navegadores ademas del certificado del servidor.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Descripción

Seleccion de protocolos SSL aceptados por el listener.

Las opciones incluyen: SSL v3.0, TLS v1.0, TLS v1.1, TLS v1.2, TLS v1.3.

Sintaxis

Seleccionar mediante casillas

Descripción

Especifica la suite de cifrados que se usara al negociar el handshake SSL. LSWS admite suites de cifrado implementadas en SSL v3.0, TLS v1.0, TLS v1.2 y TLS v1.3.

Sintaxis

Cadena de especificaciones de cifrado separadas por dos puntos.

Ejemplo

Consejos

Security Recomendamos dejar este campo en blanco para usar nuestro cifrado predeterminado, que sigue las mejores practicas de cifrado SSL.

Descripción

Permite usar intercambio de claves Elliptic Curve Diffie-Hellman para cifrado SSL adicional.

Sintaxis

Seleccionar desde botones de opción

Consejos

Security El intercambio de claves ECDH es mas seguro que usar solo una clave RSA. Los intercambios de claves ECDH y DH son igualmente seguros.

Performance Habilitar el intercambio de claves ECDH aumentara la carga de CPU y es mas lento que usar solo una clave RSA.

Descripción

Permite usar intercambio de claves Diffie-Hellman para cifrado SSL adicional.

Sintaxis

Seleccionar desde botones de opción

Consejos

Security El intercambio de claves DH es mas seguro que usar solo una clave RSA. Los intercambios de claves ECDH y DH son igualmente seguros.

Performance Habilitar el intercambio de claves DH aumentara la carga de CPU y es mas lento que el intercambio ECDH y RSA. Se prefiere ECDH cuando esta disponible.

Descripción

Especifica la ubicacion del archivo de parametros Diffie-Hellman necesario para el intercambio de claves DH.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Descripción

Especifica si se debe habilitar la Proteccion contra renegociacion SSL para defenderse de ataques basados en handshake SSL. El valor predeterminado es "Yes".

Sintaxis

Seleccionar desde botones de opción

Consejos

Information Esta opcion puede habilitarse en los niveles de listener y virtual host.

Descripción

Habilita la caché de ID de sesión usando el ajuste predeterminado de OpenSSL. El ajuste de nivel de servidor debe estar en "Yes" para que el ajuste de Virtual Host tenga efecto.

Valores predeterminados:
Nivel de servidor: Yes
Nivel de VH: Yes

Sintaxis

Seleccionar desde botones de opción

Descripción

Habilita tickets de sesión usando el ajuste predeterminado de tickets de sesión de OpenSSL. El ajuste de nivel de servidor debe estar en "Yes" para que el ajuste de Virtual Host tenga efecto.

Valores predeterminados:
Nivel de servidor: Yes
Nivel de VH: Yes

Sintaxis

Seleccionar desde botones de opción

Descripción

Application-Layer Protocol Negotiation(ALPN) se usa para habilitar selectivamente los protocolos de red HTTP/3 y HTTP/2.

Si desea deshabilitar HTTP/2 y HTTP3, marque None y deje todas las demas casillas sin marcar.

Valor predeterminado: todos habilitados

Sintaxis

Seleccionar mediante casillas

Consejos

Information Puede establecerse en los niveles de listener y virtual host.

Descripción

Permite el uso del protocolo de red HTTP3/QUIC para los virtual hosts asignados a este listener. Para que esta opcion tenga efecto, Habilitar HTTP3/QUIC tambien debe establecerse en Yes a nivel de servidor. El valor predeterminado es Yes.

Consejos

Information Cuando esta opcion se establece en Yes, HTTP3/QUIC aun puede deshabilitarse en el nivel de virtual host mediante la opcion Habilitar HTTP3/QUIC.

Descripción

Especifica el tipo de autenticacion de certificado de cliente. Los tipos disponibles son:

• None: no se requiere certificado de cliente.
• Optional: el certificado de cliente es opcional.
• Require: el cliente debe tener un certificado valido.
• Optional_no_ca: igual que optional.

Sintaxis

Seleccionar de la lista desplegable

Consejos

Information "None" o "Require" son recomendados.

Descripción

Especifica que tan profundamente debe verificarse un certificado antes de determinar que el cliente no tiene un certificado valido. El valor predeterminado es "1".

Sintaxis

Seleccionar de la lista desplegable

Descripción

Especifica el directorio que contiene archivos CRL de CA codificados en PEM para certificados de cliente revocados. Los archivos de este directorio deben estar codificados en PEM. Se accede a estos archivos mediante nombres de archivo hash, hash-value.rN. Consulte la documentacion de openSSL o Apache mod_ssl sobre la creacion del nombre de archivo hash.

Sintaxis

ruta

Descripción

Especifica el archivo que contiene archivos CRL de CA codificados en PEM que enumeran certificados de cliente revocados. Puede usarse como alternativa o ademas de Ruta de revocacion de cliente.

Sintaxis

Nombre de archivo que puede ser una ruta absoluta o una ruta relativa a $SERVER_ROOT.