Listeners - SSL

Description

Chaque listener SSL requiert une cle privee SSL et un certificat SSL associes. Plusieurs listeners SSL peuvent partager la meme cle et le meme certificat.

Vous pouvez generer vous-meme des cles privees SSL avec un paquet logiciel SSL, comme OpenSSL. Les certificats SSL peuvent aussi etre achetes aupres d'une autorite de certification autorisee comme VeriSign ou Thawte. Vous pouvez aussi signer le certificat vous-meme. Les certificats autosignes ne seront pas approuves par les navigateurs web et ne doivent pas etre utilises sur des sites publics contenant des donnees critiques. Toutefois, un certificat autosigne suffit pour un usage interne, par exemple pour chiffrer le trafic vers la console WebAdmin de LiteSpeed Web Server.

Description

Nom de fichier de la cle privee SSL. Le fichier de cle ne doit pas etre chiffre.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Conseils

Security Le fichier de cle privee doit etre place dans un repertoire securise qui autorise un acces en lecture seule a l’utilisateur sous lequel le serveur s’execute.

Description

Nom de fichier du certificat SSL.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Conseils

Security Le fichier de certificat doit etre place dans un repertoire securise qui autorise un acces en lecture seule a l’utilisateur sous lequel le serveur s’execute.

Description

Indique si le certificat est un certificat chaine ou non. Le fichier qui stocke une chaine de certificats doit etre au format PEM, et les certificats doivent etre dans l’ordre chaine, du niveau le plus bas (le certificat client ou serveur reel) au niveau le plus haut, la CA racine.

Syntaxe

Sélectionner avec les boutons radio

Description

Indique le repertoire ou sont conserves les certificats des autorites de certification (CA). Ces certificats sont utilises pour l’authentification par certificat client et pour construire la chaine de certificats du serveur, qui sera envoyee aux navigateurs en plus du certificat serveur.

Syntaxe

chemin

Description

Indique le fichier contenant tous les certificats des autorites de certification (CA) pour les certificats chaines. Ce fichier est simplement la concatenation de fichiers de certificat encodes en PEM, par ordre de preference. Il peut etre utilise comme alternative ou en complement de Chemin des certificats CA. Ces certificats sont utilises pour l’authentification par certificat client et pour construire la chaine de certificats du serveur, qui sera envoyee aux navigateurs en plus du certificat serveur.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Selection de protocoles SSL acceptes par le listener.

Les options comprennent: SSL v3.0, TLS v1.0, TLS v1.1, TLS v1.2, TLS v1.3.

Syntaxe

Sélectionner avec des cases à cocher

Description

Indique la suite de chiffrement a utiliser lors de la negociation du handshake SSL. LSWS prend en charge les suites de chiffrement implementees dans SSL v3.0, TLS v1.0, TLS v1.2 et TLS v1.3.

Syntaxe

Chaine de specifications de chiffrement separees par des deux-points.

Exemple

Conseils

Security Nous recommandons de laisser ce champ vide afin d’utiliser notre chiffrement par defaut, qui suit les bonnes pratiques de chiffrement SSL.

Description

Permet l’utilisation de l’echange de cles Elliptic Curve Diffie-Hellman pour un chiffrement SSL supplementaire.

Syntaxe

Sélectionner avec les boutons radio

Conseils

Security L’echange de cles ECDH est plus sur que l’utilisation d’une simple cle RSA. Les echanges de cles ECDH et DH sont aussi surs l’un que l’autre.

Performance Activer l’echange de cles ECDH augmentera la charge CPU et sera plus lent que l’utilisation d’une simple cle RSA.

Description

Permet l’utilisation de l’echange de cles Diffie-Hellman pour un chiffrement SSL supplementaire.

Syntaxe

Sélectionner avec les boutons radio

Conseils

Security L’echange de cles DH est plus sur que l’utilisation d’une simple cle RSA. Les echanges de cles ECDH et DH sont aussi surs l’un que l’autre.

Performance Activer l’echange de cles DH augmentera la charge CPU et sera plus lent que l’echange de cles ECDH et RSA. L’echange de cles ECDH est prefere lorsqu’il est disponible.

Description

Indique l’emplacement du fichier de parametres Diffie-Hellman necessaire a l’echange de cles DH.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Indique s’il faut activer la protection contre la renegociation SSL pour se defendre contre les attaques basees sur le handshake SSL. La valeur par defaut est "Yes".

Syntaxe

Sélectionner avec les boutons radio

Conseils

Information Ce parametre peut etre active aux niveaux listener et hote virtuel.

Description

Active la mise en cache des ID de session avec le réglage par défaut d’OpenSSL. Le réglage de niveau serveur doit être défini sur "Yes" pour que le réglage Virtual Host prenne effet.

Valeurs par défaut:
Niveau serveur: Yes
Niveau VH: Yes

Syntaxe

Sélectionner avec les boutons radio

Description

Active les tickets de session avec le réglage par défaut des tickets de session d’OpenSSL. Le réglage de niveau serveur doit être défini sur "Yes" pour que le réglage Virtual Host prenne effet.

Valeurs par défaut:
Niveau serveur: Yes
Niveau VH: Yes

Syntaxe

Sélectionner avec les boutons radio

Description

Application-Layer Protocol Negotiation(ALPN) sert a activer selectivement les protocoles reseau HTTP/3 et HTTP/2.

Si vous souhaitez desactiver HTTP/2 et HTTP3, cochez None et laissez toutes les autres cases decochees.

Valeur par defaut: tout active

Syntaxe

Sélectionner avec des cases à cocher

Conseils

Information Cela peut etre defini aux niveaux listener et hote virtuel.

Description

Autorise l’utilisation du protocole reseau HTTP3/QUIC pour les hotes virtuels mappes sur ce listener. Pour que ce parametre prenne effet, Activer HTTP3/QUIC doit aussi etre defini sur Yes au niveau serveur. La valeur par defaut est Yes.

Conseils

Information Lorsque ce parametre est defini sur Yes, HTTP3/QUIC peut toujours etre desactive au niveau hote virtuel via le parametre Activer HTTP3/QUIC.

Description

Online Certificate Status Protocol (OCSP) est une methode plus efficace pour verifier si un certificat numerique est valide. Il fonctionne en communiquant avec un autre serveur, l'OCSP responder, afin d'obtenir la verification que le certificat est valide au lieu de consulter les listes de revocation de certificats (CRL).

OCSP stapling est une amelioration supplementaire de ce protocole, permettant au serveur de verifier aupres de l'OCSP responder a intervalles reguliers au lieu de le faire chaque fois qu'un certificat est demande. Consultez la page Wikipedia OCSP pour plus de details.

Description

Determine s’il faut activer OCSP stapling, une methode plus efficace de verification des certificats a cle publique.

Syntaxe

Sélectionner avec les boutons radio

Description

Cette option definit l’age maximal autorise pour une reponse OCSP. Si une reponse OCSP est plus ancienne que cet age maximal, le serveur contactera l’OCSP responder pour obtenir une nouvelle reponse. La valeur par defaut est 86400. L’age maximal peut etre desactive en definissant cette valeur sur -1.

Syntaxe

Entier de secondes

Description

Indique l’URL de l’OCSP responder a utiliser. Si elle n’est pas definie, le serveur tentera de contacter l’OCSP responder detaille dans le certificat emetteur de l’autorite de certification. Certains certificats emetteurs peuvent ne pas indiquer d’URL d’OCSP responder.

Syntaxe

URL commencant par http://

Exemple

Description

Indique l’emplacement du fichier ou sont stockes les certificats d’autorite de certification (CA) OCSP. Ces certificats servent a verifier les reponses de l’OCSP responder (et a s’assurer que ces reponses ne sont pas usurpees ou compromises autrement). Ce fichier doit contenir toute la chaine de certificats. Si ce fichier ne contient pas le certificat racine, LSWS devrait pouvoir trouver le certificat racine dans le repertoire systeme sans que vous l’ajoutiez au fichier; mais si cette validation echoue, vous devriez essayer d’ajouter votre certificat racine a ce fichier.

Ce parametre est facultatif. S’il n’est pas defini, le serveur verifiera automatiquement Fichier de certificats CA.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Indique le type d’authentification par certificat client. Les types disponibles sont:

• None: aucun certificat client n’est requis.
• Optional: le certificat client est facultatif.
• Require: le client doit avoir un certificat valide.
• Optional_no_ca: identique a optional.

Syntaxe

Sélectionner dans la liste déroulante

Conseils

Information "None" ou "Require" sont recommandes.

Description

Indique jusqu’a quelle profondeur un certificat doit etre verifie avant de determiner que le client n’a pas de certificat valide. La valeur par defaut est "1".

Syntaxe

Sélectionner dans la liste déroulante

Description

Indique le repertoire contenant des fichiers CRL de CA encodes en PEM pour les certificats client revoques. Les fichiers de ce repertoire doivent etre encodes en PEM. Ces fichiers sont accessibles via des noms de fichier de hash, hash-value.rN. Consultez la documentation openSSL ou Apache mod_ssl pour la creation du nom de fichier de hash.

Syntaxe

chemin

Description

Indique le fichier contenant des fichiers CRL de CA encodes en PEM qui enumerent les certificats client revoques. Cela peut etre utilise comme alternative ou en complement de Chemin de revocation client.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.