Hôte virtuel - SSL

Description

Chaque listener SSL requiert une cle privee SSL et un certificat SSL associes. Plusieurs listeners SSL peuvent partager la meme cle et le meme certificat.

Vous pouvez generer vous-meme des cles privees SSL avec un paquet logiciel SSL, comme OpenSSL. Les certificats SSL peuvent aussi etre achetes aupres d'une autorite de certification autorisee comme VeriSign ou Thawte. Vous pouvez aussi signer le certificat vous-meme. Les certificats autosignes ne seront pas approuves par les navigateurs web et ne doivent pas etre utilises sur des sites publics contenant des donnees critiques. Toutefois, un certificat autosigne suffit pour un usage interne, par exemple pour chiffrer le trafic vers la console WebAdmin de LiteSpeed Web Server.

Description

Nom de fichier de la cle privee SSL. Le fichier de cle ne doit pas etre chiffre.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Conseils

Security Le fichier de cle privee doit etre place dans un repertoire securise qui autorise un acces en lecture seule a l’utilisateur sous lequel le serveur s’execute.

Description

Nom de fichier du certificat SSL.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Conseils

Security Le fichier de certificat doit etre place dans un repertoire securise qui autorise un acces en lecture seule a l’utilisateur sous lequel le serveur s’execute.

Description

Indique si le certificat est un certificat chaine ou non. Le fichier qui stocke une chaine de certificats doit etre au format PEM, et les certificats doivent etre dans l’ordre chaine, du niveau le plus bas (le certificat client ou serveur reel) au niveau le plus haut, la CA racine.

Syntaxe

Sélectionner avec les boutons radio

Description

Indique le repertoire ou sont conserves les certificats des autorites de certification (CA). Ces certificats sont utilises pour l’authentification par certificat client et pour construire la chaine de certificats du serveur, qui sera envoyee aux navigateurs en plus du certificat serveur.

Syntaxe

chemin

Description

Indique le fichier contenant tous les certificats des autorites de certification (CA) pour les certificats chaines. Ce fichier est simplement la concatenation de fichiers de certificat encodes en PEM, par ordre de preference. Il peut etre utilise comme alternative ou en complement de Chemin des certificats CA. Ces certificats sont utilises pour l’authentification par certificat client et pour construire la chaine de certificats du serveur, qui sera envoyee aux navigateurs en plus du certificat serveur.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Indique la suite de chiffrement a utiliser lors de la negociation du handshake SSL. LSWS prend en charge les suites de chiffrement implementees dans SSL v3.0, TLS v1.0, TLS v1.2 et TLS v1.3.

Syntaxe

Chaine de specifications de chiffrement separees par des deux-points.

Exemple

Conseils

Security Nous recommandons de laisser ce champ vide afin d’utiliser notre chiffrement par defaut, qui suit les bonnes pratiques de chiffrement SSL.

Description

Permet l’utilisation de l’echange de cles Elliptic Curve Diffie-Hellman pour un chiffrement SSL supplementaire.

Syntaxe

Sélectionner avec les boutons radio

Conseils

Security L’echange de cles ECDH est plus sur que l’utilisation d’une simple cle RSA. Les echanges de cles ECDH et DH sont aussi surs l’un que l’autre.

Performance Activer l’echange de cles ECDH augmentera la charge CPU et sera plus lent que l’utilisation d’une simple cle RSA.

Description

Permet l’utilisation de l’echange de cles Diffie-Hellman pour un chiffrement SSL supplementaire.

Syntaxe

Sélectionner avec les boutons radio

Conseils

Security L’echange de cles DH est plus sur que l’utilisation d’une simple cle RSA. Les echanges de cles ECDH et DH sont aussi surs l’un que l’autre.

Performance Activer l’echange de cles DH augmentera la charge CPU et sera plus lent que l’echange de cles ECDH et RSA. L’echange de cles ECDH est prefere lorsqu’il est disponible.

Description

Indique l’emplacement du fichier de parametres Diffie-Hellman necessaire a l’echange de cles DH.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Génère et renouvelle automatiquement les certificats SSL à l’aide du protocole certificateur Automatic Certificate Management Environment (ACME), une fois configuré. Plus d’informations ici:
Certificats SSL automatiques (ACME)

Définir ce réglage sur Disabled au niveau serveur désactivera ce réglage pour tout le serveur. Dans tous les autres cas, le réglage au niveau serveur peut être remplacé au niveau hôte virtuel.

Valeurs par défaut:
Niveau serveur: Off
Niveau VH: hériter du réglage de niveau serveur

Syntaxe

Sélectionner dans la liste déroulante

Description

(Facultatif) Le type DNS utilisé lors des appels API de génération de certificats wildcard. Cette valeur dépend du fournisseur DNS utilisé et n’est pas requise lors de la génération de certificats non wildcard. Plus d’informations sur les valeurs API dns type disponibles sont ici:
acme.sh - Comment utiliser DNS API

Utilisé avec le réglage Environnement

Exemple

Description

(Facultatif) Valeurs d’environnement à inclure lors des appels API de génération de certificats wildcard. Les valeurs spécifiques nécessaires dépendront du fournisseur DNS utilisé et ne sont pas requises lors de la génération de certificats non wildcard. Plus d’informations sur les valeurs d’environnement API nécessaires sont ici:
acme.sh - Comment utiliser DNS API

Utilisé avec le réglage ACME API dns_type

Syntaxe

Une liste de paires Key="VALUE", une par ligne, chaque VALUE étant placée entre guillemets doubles.

Exemple

Description

Indique s’il faut activer la protection contre la renegociation SSL pour se defendre contre les attaques basees sur le handshake SSL. La valeur par defaut est "Yes".

Syntaxe

Sélectionner avec les boutons radio

Conseils

Information Ce parametre peut etre active aux niveaux listener et hote virtuel.

Description

Active la mise en cache des ID de session avec le réglage par défaut d’OpenSSL. Le réglage de niveau serveur doit être défini sur "Yes" pour que le réglage Virtual Host prenne effet.

Valeurs par défaut:
Niveau serveur: Yes
Niveau VH: Yes

Syntaxe

Sélectionner avec les boutons radio

Description

Active les tickets de session avec le réglage par défaut des tickets de session d’OpenSSL. Le réglage de niveau serveur doit être défini sur "Yes" pour que le réglage Virtual Host prenne effet.

Valeurs par défaut:
Niveau serveur: Yes
Niveau VH: Yes

Syntaxe

Sélectionner avec les boutons radio

Description

Application-Layer Protocol Negotiation(ALPN) sert a activer selectivement les protocoles reseau HTTP/3 et HTTP/2.

Si vous souhaitez desactiver HTTP/2 et HTTP3, cochez None et laissez toutes les autres cases decochees.

Valeur par defaut: tout active

Syntaxe

Sélectionner avec des cases à cocher

Conseils

Information Cela peut etre defini aux niveaux listener et hote virtuel.

Description

Active le protocole réseau HTTP3/QUIC pour cet hôte virtuel. Pour que ce réglage prenne effet, Activer HTTP3/QUIC et Ouvrir le port HTTP3/QUIC (UDP) doivent aussi être définis sur Yes aux niveaux serveur et listener respectivement. La valeur par défaut est Yes.

Syntaxe

Sélectionner avec les boutons radio

Conseils

Information Lorsque ce réglage est défini sur No, l’annonce HTTP3/QUIC ne sera plus envoyée. Si un navigateur contient encore des informations HTTP3/QUIC en cache et que HTTP3/QUIC est toujours activé aux niveaux serveur et listener, une connexion HTTP3/QUIC continuera d’être utilisée jusqu’à ce que ces informations ne soient plus en cache ou qu’une erreur de protocole HTTP3/QUIC soit rencontrée.

Description

Online Certificate Status Protocol (OCSP) est une methode plus efficace pour verifier si un certificat numerique est valide. Il fonctionne en communiquant avec un autre serveur, l'OCSP responder, afin d'obtenir la verification que le certificat est valide au lieu de consulter les listes de revocation de certificats (CRL).

OCSP stapling est une amelioration supplementaire de ce protocole, permettant au serveur de verifier aupres de l'OCSP responder a intervalles reguliers au lieu de le faire chaque fois qu'un certificat est demande. Consultez la page Wikipedia OCSP pour plus de details.

Description

Determine s’il faut activer OCSP stapling, une methode plus efficace de verification des certificats a cle publique.

Syntaxe

Sélectionner avec les boutons radio

Description

Cette option definit l’age maximal autorise pour une reponse OCSP. Si une reponse OCSP est plus ancienne que cet age maximal, le serveur contactera l’OCSP responder pour obtenir une nouvelle reponse. La valeur par defaut est 86400. L’age maximal peut etre desactive en definissant cette valeur sur -1.

Syntaxe

Entier de secondes

Description

Indique l’URL de l’OCSP responder a utiliser. Si elle n’est pas definie, le serveur tentera de contacter l’OCSP responder detaille dans le certificat emetteur de l’autorite de certification. Certains certificats emetteurs peuvent ne pas indiquer d’URL d’OCSP responder.

Syntaxe

URL commencant par http://

Exemple

Description

Indique l’emplacement du fichier ou sont stockes les certificats d’autorite de certification (CA) OCSP. Ces certificats servent a verifier les reponses de l’OCSP responder (et a s’assurer que ces reponses ne sont pas usurpees ou compromises autrement). Ce fichier doit contenir toute la chaine de certificats. Si ce fichier ne contient pas le certificat racine, LSWS devrait pouvoir trouver le certificat racine dans le repertoire systeme sans que vous l’ajoutiez au fichier; mais si cette validation echoue, vous devriez essayer d’ajouter votre certificat racine a ce fichier.

Ce parametre est facultatif. S’il n’est pas defini, le serveur verifiera automatiquement Fichier de certificats CA.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Indique le type d’authentification par certificat client. Les types disponibles sont:

• None: aucun certificat client n’est requis.
• Optional: le certificat client est facultatif.
• Require: le client doit avoir un certificat valide.
• Optional_no_ca: identique a optional.

Syntaxe

Sélectionner dans la liste déroulante

Conseils

Information "None" ou "Require" sont recommandes.

Description

Indique jusqu’a quelle profondeur un certificat doit etre verifie avant de determiner que le client n’a pas de certificat valide. La valeur par defaut est "1".

Syntaxe

Sélectionner dans la liste déroulante

Description

Indique le repertoire contenant des fichiers CRL de CA encodes en PEM pour les certificats client revoques. Les fichiers de ce repertoire doivent etre encodes en PEM. Ces fichiers sont accessibles via des noms de fichier de hash, hash-value.rN. Consultez la documentation openSSL ou Apache mod_ssl pour la creation du nom de fichier de hash.

Syntaxe

chemin

Description

Indique le fichier contenant des fichiers CRL de CA encodes en PEM qui enumerent les certificats client revoques. Cela peut etre utilise comme alternative ou en complement de Chemin de revocation client.

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT.