1<?xml version="1.0" encoding="ISO-8859-1"?> 2<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 3<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head><!-- 4 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 5 This file is generated from xml source: DO NOT EDIT 6 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 7 --> 8<title>mod_ssl - Serveur Apache HTTP</title> 9<link href="/style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" /> 10<link href="/style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" /> 11<link href="/style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="/style/css/prettify.css" /> 12<script src="/style/scripts/prettify.min.js" type="text/javascript"> 13</script> 14 15<link href="/images/favicon.ico" rel="shortcut icon" /></head> 16<body> 17<div id="page-header"> 18<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p> 19<p class="apache">Serveur Apache HTTP Version 2.4</p> 20<img alt="" src="/images/feather.gif" /></div> 21<div class="up"><a href="./"><img title="<-" alt="<-" src="/images/left.gif" /></a></div> 22<div id="path"> 23<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.4</a> > <a href="./">Modules</a></div> 24<div id="page-content"> 25<div id="preamble"><h1>Module Apache mod_ssl</h1> 26<div class="toplang"> 27<p><span>Langues Disponibles: </span><a href="/en/mod/mod_ssl.html" hreflang="en" rel="alternate" title="English"> en </a> | 28<a href="/fr/mod/mod_ssl.html" title="Fran�ais"> fr </a></p> 29</div> 30<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Chiffrement de haut niveau bas� sur les protocoles Secure 31Sockets Layer (SSL) et Transport Layer Security (TLS)</td></tr> 32<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 33<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur�de�Module:</a></th><td>ssl_module</td></tr> 34<tr><th><a href="module-dict.html#SourceFile">Fichier�Source:</a></th><td>mod_ssl.c</td></tr></table> 35<h3>Sommaire</h3> 36 37<p>Ce module fournit le support SSL v3 et TLS v1 au serveur HTTP 38Apache. SSL v2 n'est plus support�.</p> 39 40<p>Ce module s'appuie sur <a href="http://www.openssl.org/">OpenSSL</a> 41pour fournir le moteur de chiffrement.</p> 42 43<p>D'autres d�tails, discussions et exemples sont fournis dans la <a href="/ssl/">documentation SSL</a>.</p> 44</div> 45<div id="quickview"><h3 class="directives">Directives</h3> 46<ul id="toc"> 47<li><img alt="" src="/images/down.gif" /> <a href="#sslcacertificatefile">SSLCACertificateFile</a></li> 48<li><img alt="" src="/images/down.gif" /> <a href="#sslcacertificatepath">SSLCACertificatePath</a></li> 49<li><img alt="" src="/images/down.gif" /> <a href="#sslcadnrequestfile">SSLCADNRequestFile</a></li> 50<li><img alt="" src="/images/down.gif" /> <a href="#sslcadnrequestpath">SSLCADNRequestPath</a></li> 51<li><img alt="" src="/images/down.gif" /> <a href="#sslcarevocationcheck">SSLCARevocationCheck</a></li> 52<li><img alt="" src="/images/down.gif" /> <a href="#sslcarevocationfile">SSLCARevocationFile</a></li> 53<li><img alt="" src="/images/down.gif" /> <a href="#sslcarevocationpath">SSLCARevocationPath</a></li> 54<li><img alt="" src="/images/down.gif" /> <a href="#sslcertificatechainfile">SSLCertificateChainFile</a></li> 55<li><img alt="" src="/images/down.gif" /> <a href="#sslcertificatefile">SSLCertificateFile</a></li> 56<li><img alt="" src="/images/down.gif" /> <a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></li> 57<li><img alt="" src="/images/down.gif" /> <a href="#sslciphersuite">SSLCipherSuite</a></li> 58<li><img alt="" src="/images/down.gif" /> <a href="#sslcompression">SSLCompression</a></li> 59<li><img alt="" src="/images/down.gif" /> <a href="#sslcryptodevice">SSLCryptoDevice</a></li> 60<li><img alt="" src="/images/down.gif" /> <a href="#sslengine">SSLEngine</a></li> 61<li><img alt="" src="/images/down.gif" /> <a href="#sslfips">SSLFIPS</a></li> 62<li><img alt="" src="/images/down.gif" /> <a href="#sslhonorcipherorder">SSLHonorCipherOrder</a></li> 63<li><img alt="" src="/images/down.gif" /> <a href="#sslinsecurerenegotiation">SSLInsecureRenegotiation</a></li> 64<li><img alt="" src="/images/down.gif" /> <a href="#sslocspdefaultresponder">SSLOCSPDefaultResponder</a></li> 65<li><img alt="" src="/images/down.gif" /> <a href="#sslocspenable">SSLOCSPEnable</a></li> 66<li><img alt="" src="/images/down.gif" /> <a href="#sslocspoverrideresponder">SSLOCSPOverrideResponder</a></li> 67<li><img alt="" src="/images/down.gif" /> <a href="#sslocsprespondertimeout">SSLOCSPResponderTimeout</a></li> 68<li><img alt="" src="/images/down.gif" /> <a href="#sslocspresponsemaxage">SSLOCSPResponseMaxAge</a></li> 69<li><img alt="" src="/images/down.gif" /> <a href="#sslocspresponsetimeskew">SSLOCSPResponseTimeSkew</a></li> 70<li><img alt="" src="/images/down.gif" /> <a href="#sslopensslconfcmd">SSLOpenSSLConfCmd</a></li> 71<li><img alt="" src="/images/down.gif" /> <a href="#ssloptions">SSLOptions</a></li> 72<li><img alt="" src="/images/down.gif" /> <a href="#sslpassphrasedialog">SSLPassPhraseDialog</a></li> 73<li><img alt="" src="/images/down.gif" /> <a href="#sslprotocol">SSLProtocol</a></li> 74<li><img alt="" src="/images/down.gif" /> <a href="#sslproxycacertificatefile">SSLProxyCACertificateFile</a></li> 75<li><img alt="" src="/images/down.gif" /> <a href="#sslproxycacertificatepath">SSLProxyCACertificatePath</a></li> 76<li><img alt="" src="/images/down.gif" /> <a href="#sslproxycarevocationcheck">SSLProxyCARevocationCheck</a></li> 77<li><img alt="" src="/images/down.gif" /> <a href="#sslproxycarevocationfile">SSLProxyCARevocationFile</a></li> 78<li><img alt="" src="/images/down.gif" /> <a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></li> 79<li><img alt="" src="/images/down.gif" /> <a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></li> 80<li><img alt="" src="/images/down.gif" /> <a href="#sslproxycheckpeerexpire">SSLProxyCheckPeerExpire</a></li> 81<li><img alt="" src="/images/down.gif" /> <a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></li> 82<li><img alt="" src="/images/down.gif" /> <a href="#sslproxyciphersuite">SSLProxyCipherSuite</a></li> 83<li><img alt="" src="/images/down.gif" /> <a href="#sslproxyengine">SSLProxyEngine</a></li> 84<li><img alt="" src="/images/down.gif" /> <a href="#sslproxymachinecertificatechainfile">SSLProxyMachineCertificateChainFile</a></li> 85<li><img alt="" src="/images/down.gif" /> <a href="#sslproxymachinecertificatefile">SSLProxyMachineCertificateFile</a></li> 86<li><img alt="" src="/images/down.gif" /> <a href="#sslproxymachinecertificatepath">SSLProxyMachineCertificatePath</a></li> 87<li><img alt="" src="/images/down.gif" /> <a href="#sslproxyprotocol">SSLProxyProtocol</a></li> 88<li><img alt="" src="/images/down.gif" /> <a href="#sslproxyverify">SSLProxyVerify</a></li> 89<li><img alt="" src="/images/down.gif" /> <a href="#sslproxyverifydepth">SSLProxyVerifyDepth</a></li> 90<li><img alt="" src="/images/down.gif" /> <a href="#sslrandomseed">SSLRandomSeed</a></li> 91<li><img alt="" src="/images/down.gif" /> <a href="#sslrenegbuffersize">SSLRenegBufferSize</a></li> 92<li><img alt="" src="/images/down.gif" /> <a href="#sslrequire">SSLRequire</a></li> 93<li><img alt="" src="/images/down.gif" /> <a href="#sslrequiressl">SSLRequireSSL</a></li> 94<li><img alt="" src="/images/down.gif" /> <a href="#sslsessioncache">SSLSessionCache</a></li> 95<li><img alt="" src="/images/down.gif" /> <a href="#sslsessioncachetimeout">SSLSessionCacheTimeout</a></li> 96<li><img alt="" src="/images/down.gif" /> <a href="#sslsessionticketkeyfile">SSLSessionTicketKeyFile</a></li> 97<li><img alt="" src="/images/down.gif" /> <a href="#sslsrpunknownuserseed">SSLSRPUnknownUserSeed</a></li> 98<li><img alt="" src="/images/down.gif" /> <a href="#sslsrpverifierfile">SSLSRPVerifierFile</a></li> 99<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingcache">SSLStaplingCache</a></li> 100<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingerrorcachetimeout">SSLStaplingErrorCacheTimeout</a></li> 101<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingfaketrylater">SSLStaplingFakeTryLater</a></li> 102<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingforceurl">SSLStaplingForceURL</a></li> 103<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingrespondertimeout">SSLStaplingResponderTimeout</a></li> 104<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingresponsemaxage">SSLStaplingResponseMaxAge</a></li> 105<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingresponsetimeskew">SSLStaplingResponseTimeSkew</a></li> 106<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingreturnrespondererrors">SSLStaplingReturnResponderErrors</a></li> 107<li><img alt="" src="/images/down.gif" /> <a href="#sslstaplingstandardcachetimeout">SSLStaplingStandardCacheTimeout</a></li> 108<li><img alt="" src="/images/down.gif" /> <a href="#sslstrictsnivhostcheck">SSLStrictSNIVHostCheck</a></li> 109<li><img alt="" src="/images/down.gif" /> <a href="#sslusername">SSLUserName</a></li> 110<li><img alt="" src="/images/down.gif" /> <a href="#sslusestapling">SSLUseStapling</a></li> 111<li><img alt="" src="/images/down.gif" /> <a href="#sslverifyclient">SSLVerifyClient</a></li> 112<li><img alt="" src="/images/down.gif" /> <a href="#sslverifydepth">SSLVerifyDepth</a></li> 113</ul> 114<h3>Sujets</h3> 115<ul id="topics"> 116<li><img alt="" src="/images/down.gif" /> <a href="#envvars">Variables d'environnement</a></li> 117<li><img alt="" src="/images/down.gif" /> <a href="#logformats">Formats de journaux 118personnalis�s</a></li> 119<li><img alt="" src="/images/down.gif" /> <a href="#notes">Information � propos de la requ�te</a></li> 120<li><img alt="" src="/images/down.gif" /> <a href="#authzproviders">Fournisseurs d'autorisation 121disponibles avec Require</a></li> 122</ul><ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div> 123<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 124<div class="section"> 125<h2><a name="envvars" id="envvars">Variables d'environnement</a></h2> 126 127<p>Ce module peut �tre configur� pour fournir aux espaces de nommage SSI 128et CGI de nombreux �l�ments d'informations concernant SSL par le biais 129de variables d'environnement suppl�mentaires. Par d�faut, et pour 130des raisons de performances, ces informations ne sont pas fournies (Voir 131la directive <code class="directive">SSLOptions</code> StdEnvVars ci-dessous). 132Les variables g�n�r�es se trouvent dans la table ci-dessous. 133Ces informations peuvent �galement �tre disponible sous des noms diff�rents 134� des fins de compatibilit� ascendante. Reportez-vous au chapitre <a href="/ssl/ssl_compat.html">Compatibilit�</a> pour plus de d�tails � 135propos des variables de compatibilit�.</p> 136 137<table class="bordered"> 138 139<tr> 140 <th><a name="table3">Nom de la variable :</a></th> 141 <th>Type de valeur :</th> 142 <th>Description :</th> 143</tr> 144<tr><td><code>HTTPS</code></td> <td>drapeau</td> 145<td>HTTPS est utilis�.</td></tr> 146<tr><td><code>SSL_PROTOCOL</code></td> <td>cha�ne</td> 147<td>La version du protocole SSL (SSLv3, TLSv1, TLSv1.1, TLSv1.2)</td></tr> 148<tr><td><code>SSL_SESSION_ID</code></td> <td>cha�ne</td> 149<td>L'identifiant de session SSL cod� en hexad�cimal</td></tr> 150<tr><td><code>SSL_SESSION_RESUMED</code></td> <td>cha�ne</td> 151<td>Session SSL initiale ou reprise. Note : plusieurs requ�tes peuvent 152�tre servies dans le cadre de la m�me session SSL (initiale ou reprise) 153si les connexions persistantes (HTTP KeepAlive) sont utilis�es</td></tr> 154<tr><td><code>SSL_SECURE_RENEG</code></td> <td>cha�ne</td> 155<td><code>true</code> si la ren�gociation s�curis�e est support�e, 156<code>false</code> dans le cas contraire</td></tr> 157<tr><td><code>SSL_CIPHER</code></td> <td>cha�ne</td> 158<td>Le nom de l'algorithme de chiffrement</td></tr> 159<tr><td><code>SSL_CIPHER_EXPORT</code></td> <td>cha�ne</td> 160<td><code>true</code> si l'algorithme de chiffrement est un algorithme 161export�</td></tr> 162<tr><td><code>SSL_CIPHER_USEKEYSIZE</code></td> <td>nombre</td> 163<td>Nombre de bits de chiffrement (r�ellement utilis�s)</td></tr> 164<tr><td><code>SSL_CIPHER_ALGKEYSIZE</code></td> <td>nombre</td> 165<td>Nombre de bits de chiffrement (possible)</td></tr> 166<tr><td><code>SSL_COMPRESS_METHOD</code></td> <td>cha�ne</td> 167<td>M�thode de compression SSL n�goci�e</td></tr> 168 169<tr><td><code>SSL_VERSION_INTERFACE</code></td> <td>cha�ne</td> 170<td>La version du programme mod_ssl</td></tr> 171<tr><td><code>SSL_VERSION_LIBRARY</code></td> <td>cha�ne</td> 172<td>La version du programme OpenSSL</td></tr> 173<tr><td><code>SSL_CLIENT_M_VERSION</code></td> <td>cha�ne</td> 174<td>La version du certificat client</td></tr> 175<tr><td><code>SSL_CLIENT_M_SERIAL</code></td> <td>cha�ne</td> 176<td>Le num�ro de s�rie du certificat client</td></tr> 177<tr><td><code>SSL_CLIENT_S_DN</code></td> <td>cha�ne</td> 178<td>Le DN sujet du certificat client</td></tr> 179<tr><td><code>SSL_CLIENT_S_DN_</code><em>x509</em></td> <td>cha�ne</td> 180<td>El�ment du DN sujet du client</td></tr> 181<tr><td><code>SSL_CLIENT_I_DN</code></td> <td>cha�ne</td> 182<td>DN de l'�metteur du certificat du client</td></tr> 183<tr><td><code>SSL_CLIENT_I_DN_</code><em>x509</em></td> <td>cha�ne</td> 184<td>El�ment du DN de l'�metteur du certificat du client</td></tr> 185<tr><td><code>SSL_CLIENT_V_START</code></td> <td>cha�ne</td> 186<td>Validit� du certificat du client (date de d�but)</td></tr> 187<tr><td><code>SSL_CLIENT_V_END</code></td> <td>cha�ne</td> 188<td>Validit� du certificat du client (date de fin)</td></tr> 189<tr><td><code>SSL_CLIENT_V_REMAIN</code></td> <td>cha�ne</td> 190<td>Nombre de jours avant expiration du certificat du client</td></tr> 191<tr><td><code>SSL_CLIENT_A_SIG</code></td> <td>cha�ne</td> 192<td>Algorithme utilis� pour la signature du certificat du client</td></tr> 193<tr><td><code>SSL_CLIENT_A_KEY</code></td> <td>cha�ne</td> 194<td>Algorithme utilis� pour la cl� publique du certificat du client</td></tr> 195<tr><td><code>SSL_CLIENT_CERT</code></td> <td>cha�ne</td> 196<td>Certificat du client au format PEM</td></tr> 197<tr><td><code>SSL_CLIENT_CERT_CHAIN_</code><em>n</em></td> 198<td>cha�ne</td> <td>Certificats de la cha�ne de certification du 199client au format PEM</td></tr> 200<tr><td><code>SSL_CLIENT_VERIFY</code></td> <td>cha�ne</td> 201<td><code>NONE</code>, <code>SUCCESS</code>, <code>GENEROUS</code> ou 202<code>FAILED:</code><em>raison</em></td></tr> 203<tr><td><code>SSL_SERVER_M_VERSION</code></td> <td>cha�ne</td> 204<td>La version du certificat du serveur</td></tr> 205<tr><td><code>SSL_SERVER_M_SERIAL</code></td> <td>cha�ne</td> <td> 206 207The serial of the server certificate</td></tr> 208<tr><td><code>SSL_SERVER_S_DN</code></td> <td>cha�ne</td> 209<td>DN sujet du certificat du serveur</td></tr> 210<tr><td><code>SSL_SERVER_S_DN_</code><em>x509</em></td> <td>cha�ne</td> 211<td>El�ment du DN sujet du certificat du serveur</td></tr> 212<tr><td><code>SSL_SERVER_I_DN</code></td> <td>cha�ne</td> 213<td>DN de l'�metteur du certificat du serveur</td></tr> 214<tr><td><code>SSL_SERVER_I_DN_</code><em>x509</em></td> <td>cha�ne</td> 215<td>El�ment du DN de l'�metteur du certificat du serveur</td></tr> 216<tr><td><code>SSL_SERVER_V_START</code></td> <td>cha�ne</td> 217<td>Validit� du certificat du serveur (date de d�dut)</td></tr> 218<tr><td><code>SSL_SERVER_V_END</code></td> <td>cha�ne</td> 219<td>Validit� du certificat du serveur (date de fin)</td></tr> 220<tr><td><code>SSL_SERVER_A_SIG</code></td> <td>cha�ne</td> 221<td>Algorithme utilis� pour la signature du certificat du serveur</td></tr> 222<tr><td><code>SSL_SERVER_A_KEY</code></td> <td>cha�ne</td> 223<td>Algorithme utilis� pour la cl� publique du certificat du serveur</td></tr> 224<tr><td><code>SSL_SERVER_CERT</code></td> <td>cha�ne</td> 225<td>Certificat du serveur au format PEM</td></tr> 226<tr><td><code>SSL_SRP_USER</code></td> <td>cha�ne</td> 227<td>nom d'utilisateur SRP</td></tr> 228<tr><td><code>SSL_SRP_USERINFO</code></td> <td>cha�ne</td> 229<td>informations sur l'utilisateur SRP</td></tr> 230<tr><td><code>SSL_TLS_SNI</code></td> <td>string</td> 231<td>Contenu de l'extension SNI TLS (si support� par ClientHello)</td></tr> 232</table> 233 234<p><em>x509</em> sp�cifie un �l�ment de DN X.509 parmi 235<code>C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email</code>. A partir de la version 2362.1 d'Apache, <em>x509</em> peut aussi comporter un suffixe num�rique 237<code>_n</code>. Si le DN en question comporte plusieurs attributs de 238noms identiques, ce suffixe constitue un index d�butant � z�ro et 239permettant de s�lectionner un 240attribut particulier. Par exemple, si le DN sujet du certificat du 241serveur comporte deux champs OU, on peut utiliser 242<code>SSL_SERVER_S_DN_OU_0</code> et <code>SSL_SERVER_S_DN_OU_1</code> 243pour r�f�rencer chacun d'entre eux. Un nom de variable sans suffixe 244<code>_n</code> est �quivalent au m�me nom avec le suffixe 245<code>_0</code>, ce qui correspond au premier attribut (ou au seul) 246caract�risant le DN. 247Lorsque la table d'environnement est remplie en utilisant l'option 248<code>StdEnvVars</code> de la directive <code class="directive"><a href="#ssloptions">SSLOptions</a></code>, le premier attribut (ou le 249seul) caract�risant le DN est enregistr� avec un nom sans suffixe ; 250autrement dit, aucune entr�e poss�dant comme suffixe <code>_0</code> 251n'est enregistr�e.</p> 252 253<p>Le format des variables <em>*_DN</em> a chang� depuis la version 2542.3.11 d'Apache HTTPD. Voir l'option <code>LegacyDNStringFormat</code> 255de la directive <code class="directive"><a href="#ssloptions">SSLOptions</a></code> pour 256plus de d�tails.</p> 257 258<p><code>SSL_CLIENT_V_REMAIN</code> n'est disponible qu'� partir de la 259version 2.1.</p> 260 261<p>Plusieurs variables d'environnement additionnelles peuvent �tre 262utilis�es dans les expressions <code class="directive">SSLRequire</code>, ou 263dans les formats de journalisation personnalis�s :</p> 264 265<div class="note"><pre>HTTP_USER_AGENT PATH_INFO AUTH_TYPE 266HTTP_REFERER QUERY_STRING SERVER_SOFTWARE 267HTTP_COOKIE REMOTE_HOST API_VERSION 268HTTP_FORWARDED REMOTE_IDENT TIME_YEAR 269HTTP_HOST IS_SUBREQ TIME_MON 270HTTP_PROXY_CONNECTION DOCUMENT_ROOT TIME_DAY 271HTTP_ACCEPT SERVER_ADMIN TIME_HOUR 272THE_REQUEST SERVER_NAME TIME_MIN 273REQUEST_FILENAME SERVER_PORT TIME_SEC 274REQUEST_METHOD SERVER_PROTOCOL TIME_WDAY 275REQUEST_SCHEME REMOTE_ADDR TIME 276REQUEST_URI REMOTE_USER</pre></div> 277 278<p>Dans ces contextes, deux formats sp�ciaux peuvent aussi �tre utilis�s 279:</p> 280 281<dl> 282 <dt><code>ENV:<em>nom_variable</em></code></dt> 283 <dd>Correspond � la variable d'environnement standard 284 <em>nom_variable</em>.</dd> 285 286 <dt><code>HTTP:<em>nom_en-t�te</em></code></dt> 287 <dd>Correspond � la valeur de l'en-t�te de requ�te dont le nom est 288 <em>nom_en-t�te</em>.</dd> 289</dl> 290 291</div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 292<div class="section"> 293<h2><a name="logformats" id="logformats">Formats de journaux 294personnalis�s</a></h2> 295 296<p>Lorsque <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> est compil� dans le serveur Apache 297ou m�me charg� (en mode DSO), des fonctions suppl�mentaires sont 298disponibles pour le <a href="mod_log_config.html#formats">Format de journal personnalis�</a> du 299module <code class="module"><a href="/mod/mod_log_config.html">mod_log_config</a></code>. A ce titre, la fonction de 300format d'eXtension ``<code>%{</code><em>nom-var</em><code>}x</code>'' 301peut �tre utilis�e pour pr�senter en extension toute variable fournie 302par tout module, et en particulier celles fournies par mod_ssl et que 303vous trouverez dans la table ci-dessus.</p> 304<p> 305A des fins de compatibilit� ascendante, il existe une fonction de format 306cryptographique suppl�mentaire 307``<code>%{</code><em>nom</em><code>}c</code>''. Vous trouverez toutes 308les informations � propos de cette fonction dans le chapitre <a href="/ssl/ssl_compat.html">Compatibilit�</a>.</p> 309<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"</pre> 310</div> 311</div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 312<div class="section"> 313<h2><a name="notes" id="notes">Information � propos de la requ�te</a></h2> 314 315<p><code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> enregistre des informations � propos de la 316requ�te que l'on peut restituer dans les journaux avec la cha�ne de 317format <code>%{<em>nom</em>}n</code> via le module 318<code class="module"><a href="/mod/mod_log_config.html">mod_log_config</a></code>.</p> 319 320<p>Les informations enregistr�es sont les suivantes :</p> 321 322<dl> 323 <dt><code>ssl-access-forbidden</code></dt> 324 <dd>Cette information contient la valeur <code>1</code> si l'acc�s a 325 �t� refus� suite � une directive <code class="directive">SSLRequire</code> ou 326 <code class="directive">SSLRequireSSL</code>.</dd> 327 328 <dt><code>ssl-secure-reneg</code></dt> 329 <dd>Si <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> a �t� compil� avec une version 330 d'OpenSSL qui supporte la ren�gociation s�curis�e, si SSL est utilis� 331 pour la connexion courante et si le client supporte lui aussi la 332 ren�gociation s�curis�e, cette information contiendra la valeur 333 <code>1</code>. Si le client ne supporte pas la ren�gociation 334 s�curis�e, l'information contiendra la valeur <code>0</code>. Si 335 <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> n'a pas �t� compil� avec une version 336 d'OpenSSL qui supporte la ren�gociation s�curis�e, ou si SSL n'est pas 337 utilis� pour la connexion courante, le contenu de l'information ne 338 sera pas d�fini.</dd> 339</dl> 340 341</div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 342<div class="section"> 343<h2><a name="authzproviders" id="authzproviders">Fournisseurs d'autorisation 344disponibles avec Require</a></h2> 345 346 <p><code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> propose quelques fournisseurs 347 d'autorisation � utiliser avec la directive <code class="directive"><a href="/mod/mod_authz_core.html#require">Require</a></code> du module 348 <code class="module"><a href="/mod/mod_authz_core.html">mod_authz_core</a></code>.</p> 349 350 <h3><a name="reqssl" id="reqssl">Require ssl</a></h3> 351 352 <p>Le fournisseur <code>ssl</code> refuse l'acc�s si une connexion 353 n'est pas chiffr�e avec SSL. L'effet est similaire � celui de la 354 directive <code class="directive">SSLRequireSSL</code>.</p> 355 356 357 <pre class="prettyprint lang-config">Require ssl</pre> 358 359 360 361 362 363 <h3><a name="reqverifyclient" id="reqverifyclient">Require ssl-verify-client</a></h3> 364 365 <p>Le fournisseur <code>ssl</code> autorise l'acc�s si 366 l'utilisateur est authentifi� via un certificat client valide. Ceci 367 n'a un effet que si <code>SSLVerifyClient optional</code> est actif.</p> 368 369 <p>Dans l'exemple suivant, l'acc�s est autoris� si le client est 370 authentifi� via un certificat client ou par nom d'utilisateur/mot de 371 passe :</p> 372 373 <pre class="prettyprint lang-config"> Require ssl-verify-client<br /> 374 Require valid-user</pre> 375 376 377 378 379</div> 380<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 381<div class="directive-section"><h2><a name="SSLCACertificateFile" id="SSLCACertificateFile">SSLCACertificateFile</a> <a name="sslcacertificatefile" id="sslcacertificatefile">Directive</a></h2> 382<table class="directive"> 383<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant une concat�nation des certificats de CA 384cod�s en PEM pour l'authentification des clients</td></tr> 385<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCACertificateFile <em>chemin-fichier</em></code></td></tr> 386<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 387<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 388<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 389</table> 390<p> 391Cette directive permet de d�finir le fichier <em>tout-en-un</em> o� vous 392pouvez rassembler les certificats des Autorit�s de Certification (CAs) 393pour les clients auxquels vous avez � faire. On les utilise pour 394l'authentification des clients. Un tel fichier contient la simple 395concat�nation des diff�rents fichiers de certificats cod�s en PEM, par 396ordre de pr�f�rence. Cette directive peut �tre utilis�e � la place et/ou 397en compl�ment de la directive <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code>.</p> 398<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt</pre> 399</div> 400 401</div> 402<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 403<div class="directive-section"><h2><a name="SSLCACertificatePath" id="SSLCACertificatePath">SSLCACertificatePath</a> <a name="sslcacertificatepath" id="sslcacertificatepath">Directive</a></h2> 404<table class="directive"> 405<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>R�pertoire des certificats de CA cod�s en PEM pour 406l'authentification des clients</td></tr> 407<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCACertificatePath <em>chemin-r�pertoire</em></code></td></tr> 408<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 409<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 410<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 411</table> 412<p> 413Cette directive permet de d�finir le r�pertoire o� sont stock�s les 414certificats des Autorit�s de Certification (CAs) pour les clients 415auxquels vous avez � faire. On les utilise pour v�rifier le certificat 416du client au cours de l'authentification de ce dernier.</p> 417<p> 418Les fichiers de ce r�pertoire doivent �tre cod�s en PEM et ils sont 419acc�d�s via des noms de fichier sous forme de condens�s ou hash. Il ne 420suffit donc pas de placer les fichiers de certificats dans ce r�pertoire 421: vous devez aussi cr�er des liens symboliques nomm�s 422<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous 423assurer que ce r�pertoire contient les liens symboliques appropri�s.</p> 424<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCACertificatePath /usr/local/apache2/conf/ssl.crt/</pre> 425</div> 426 427</div> 428<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 429<div class="directive-section"><h2><a name="SSLCADNRequestFile" id="SSLCADNRequestFile">SSLCADNRequestFile</a> <a name="sslcadnrequestfile" id="sslcadnrequestfile">Directive</a></h2> 430<table class="directive"> 431<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concat�nation des certificats de CA 432cod�s en PEM pour la d�finition de noms de CA acceptables</td></tr> 433<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCADNRequestFile <em>chemin-fichier</em></code></td></tr> 434<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 435<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 436<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 437</table> 438<p>Lorsque mod_ssl demande un certificat client, une liste de <em>noms 439d'Autorit�s de Certification acceptables</em> est envoy�e au client au 440cours de la phase d'initialisation de la connexion SSL. Le client peut 441alors utiliser cette liste de noms de CA pour s�lectionner un certificat 442client appropri� parmi ceux dont il dispose.</p> 443 444<p>Si aucune des directives <code class="directive"><a href="#sslcadnrequestpath">SSLCADNRequestPath</a></code> ou <code class="directive"><a href="#sslcadnrequestfile">SSLCADNRequestFile</a></code> n'est d�finie, la liste 445de noms de CsA acceptables envoy�e au client est la liste des noms de 446tous les certificats de CA sp�cifi�s par les directives <code class="directive"><a href="#sslcacertificatefile">SSLCACertificateFile</a></code> et <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code> ; en d'autres termes, 447c'est la liste des noms de CAs qui sera effectivement utilis�e pour 448v�rifier le certificat du client.</p> 449 450<p>Dans certaines situations, il est utile de pouvoir envoyer 451une liste de noms de CA acceptables qui diff�re de la liste des CAs 452effectivement utilis�s pour v�rifier le certificat du client ; 453consid�rons par exemple le cas o� le certificat du client est sign� par 454des CAs interm�diaires. On peut ici utiliser les directives <code class="directive"><a href="#sslcadnrequestpath">SSLCADNRequestPath</a></code> et/ou <code class="directive"><a href="#sslcadnrequestfile">SSLCADNRequestFile</a></code>, et les noms de CA 455acceptables seront alors extraits de l'ensemble des certificats contenus 456dans le r�pertoire et/ou le fichier d�finis par cette paire de 457directives.</p> 458 459<p><code class="directive"><a href="#sslcadnrequestfile">SSLCADNRequestFile</a></code> doit 460sp�cifier un fichier <em>tout-en-un</em> contenant une concat�nation des 461certificats de CA cod�s en PEM.</p> 462 463<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCADNRequestFile /usr/local/apache2/conf/ca-names.crt</pre> 464</div> 465 466</div> 467<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 468<div class="directive-section"><h2><a name="SSLCADNRequestPath" id="SSLCADNRequestPath">SSLCADNRequestPath</a> <a name="sslcadnrequestpath" id="sslcadnrequestpath">Directive</a></h2> 469<table class="directive"> 470<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>R�pertoire contenant des fichiers de certificats de CA 471cod�s en PEM pour la d�finition de noms de CA acceptables</td></tr> 472<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCADNRequestPath <em>chemin-r�pertoire</em></code></td></tr> 473<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 474<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 475<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 476</table> 477 478<p>Cette directive optionnelle permet de d�finir la liste de <em>noms de 479CAs acceptables</em> qui sera envoy�e au client lorsqu'un certificat de 480client est demand�. Voir la directive <code class="directive"><a href="#sslcadnrequestfile">SSLCADNRequestFile</a></code> pour plus de 481d�tails.</p> 482 483<p>Les fichiers de ce r�pertoire doivent �tre cod�s en PEM et ils sont 484acc�d�s via des noms de fichier sous forme de condens�s ou hash. Il ne 485suffit donc pas de placer les fichiers de certificats dans ce r�pertoire 486: vous devez aussi cr�er des liens symboliques nomm�s 487<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous 488assurer que ce r�pertoire contient les liens symboliques appropri�s.</p> 489<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCADNRequestPath /usr/local/apache2/conf/ca-names.crt/</pre> 490</div> 491 492</div> 493<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 494<div class="directive-section"><h2><a name="SSLCARevocationCheck" id="SSLCARevocationCheck">SSLCARevocationCheck</a> <a name="sslcarevocationcheck" id="sslcarevocationcheck">Directive</a></h2> 495<table class="directive"> 496<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la v�rification des r�vocations bas�e sur les CRL</td></tr> 497<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCARevocationCheck chain|leaf|none</code></td></tr> 498<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLCARevocationCheck none</code></td></tr> 499<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 500<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 501<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 502</table> 503<p> 504Active la v�rification des r�vocations bas�e sur les Listes de 505R�vocations de Certificats (CRL). Au moins une des directives <code class="directive"><a href="#sslcarevocationfile">SSLCARevocationFile</a></code> ou <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code> doit �tre d�finie. 506Lorsque cette directive est d�finie � <code>chain</code> (valeur 507recommand�e), les v�rifications CRL sont effectu�es sur tous les 508certificats de la cha�ne, alors que la valeur <code>leaf</code> limite 509la v�rification au certificat hors cha�ne (la feuille). 510</p> 511<div class="note"> 512<h3>Lorsque la directive est d�finie � <code>chain</code> ou 513<code>leaf</code>, les CRLs doivent �tre disponibles pour que la 514validation r�ussisse</h3> 515<p> 516Avant la version 2.3.15, les v�rifications CRL dans mod_ssl 517r�ussissaient m�me si aucune CRL n'�tait trouv�e dans les chemins 518d�finis par les directives <code class="directive"><a href="#sslcarevocationfile">SSLCARevocationFile</a></code> ou <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code>. Le comportement a 519chang� avec l'introduction de cette directive : lorsque la v�rification 520est activ�e, les CRLs <em>doivent</em> �tre pr�sentes pour que la 521validation r�ussisse ; dans le cas contraire, elle �chouera avec une 522erreur <code>"CRL introuvable"</code>. 523</p> 524</div> 525<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCARevocationCheck chain</pre> 526</div> 527 528</div> 529<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 530<div class="directive-section"><h2><a name="SSLCARevocationFile" id="SSLCARevocationFile">SSLCARevocationFile</a> <a name="sslcarevocationfile" id="sslcarevocationfile">Directive</a></h2> 531<table class="directive"> 532<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concat�nation des CRLs des CA cod�s en 533PEM pour l'authentification des clients</td></tr> 534<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCARevocationFile <em>chemin-fichier</em></code></td></tr> 535<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 536<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 537<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 538</table> 539<p> 540Cette directive permet de d�finir le fichier <em>tout-en-un</em> o� sont 541rassembl�es les Listes de R�vocation de Certificats (CRLs) des Autorit�s 542de certification (CAs) pour les clients auxquels vous avez � faire. On 543les utilise pour l'authentification des clients. Un tel fichier contient 544la simple concat�nation des diff�rents fichiers de CRLs cod�s en PEM, 545dans l'ordre de pr�f�rence. Cette directive peut �tre utilis�e � la 546place et/ou en compl�ment de la directive <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code>.</p> 547<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCARevocationFile /usr/local/apache2/conf/ssl.crl/ca-bundle-client.crl</pre> 548</div> 549 550</div> 551<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 552<div class="directive-section"><h2><a name="SSLCARevocationPath" id="SSLCARevocationPath">SSLCARevocationPath</a> <a name="sslcarevocationpath" id="sslcarevocationpath">Directive</a></h2> 553<table class="directive"> 554<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>R�pertoire des CRLs de CA cod�s en PEM pour 555l'authentification des clients</td></tr> 556<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCARevocationPath <em>chemin-r�pertoire</em></code></td></tr> 557<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 558<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 559<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 560</table> 561<p> 562Cette directive permet de d�finir le r�pertoire o� sont stock�es les 563Listes de R�vocation de Certificats (CRL) des Autorit�s de Certification 564(CAs) pour les clients auxquels vous avez � faire. On les utilise pour 565r�voquer les certificats des clients au cours de l'authentification de 566ces derniers.</p> 567<p> 568Les fichiers de ce r�pertoire doivent �tre cod�s en PEM et ils sont 569acc�d�s via des noms de fichier sous forme de condens�s ou hash. Il ne 570suffit donc pas de placer les fichiers de CRL dans ce r�pertoire 571: vous devez aussi cr�er des liens symboliques nomm�s 572<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous 573assurer que ce r�pertoire contient les liens symboliques appropri�s.</p> 574<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCARevocationPath /usr/local/apache2/conf/ssl.crl/</pre> 575</div> 576 577</div> 578<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 579<div class="directive-section"><h2><a name="SSLCertificateChainFile" id="SSLCertificateChainFile">SSLCertificateChainFile</a> <a name="sslcertificatechainfile" id="sslcertificatechainfile">Directive</a></h2> 580<table class="directive"> 581<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant les certificats de CA du serveur cod�s en 582PEM</td></tr> 583<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCertificateChainFile <em>chemin-fichier</em></code></td></tr> 584<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 585<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 586<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 587</table> 588<div class="note"><h3>SSLCertificateChainFile est obsol�te</h3> 589<p><code>SSLCertificateChainFile</code> est devenue obsol�te avec la 590version 2.4.8, lorsque la directive 591<code class="directive"><a href="#sslcertificatefile">SSLCertificateFile</a></code> a �t� �tendue 592pour supporter aussi les certificats de CA interm�diaires dans le 593fichier de certificats du serveur.</p> 594</div> 595<p> 596Cette directive permet de d�finir le fichier optionnel 597<em>tout-en-un</em> o� vous pouvez rassembler les certificats des 598Autorit�s de Certification (CA) qui forment la cha�ne de certification 599du certificat du serveur. Cette cha�ne d�bute par le certificat de la CA 600qui a d�livr� le certificat du serveur et peut remonter jusqu'au 601certificat de la CA racine. Un tel fichier contient la simple 602concat�nation des diff�rents certificats de CA cod�s en PEM, en g�n�ral 603dans l'ordre de la cha�ne de certification.</p> 604<p>Elle doit �tre utilis�e � la place et/ou en compl�ment de la 605directive <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code> 606pour construire explicitement la cha�ne de certification du serveur qui 607est envoy�e au navigateur en plus du certificat du serveur. Elle s'av�re 608particuli�rement utile pour �viter les conflits avec les certificats de 609CA lorsqu'on utilise l'authentification du client. Comme le fait de 610placer un certificat de CA de la cha�ne de certification du serveur dans 611la directive <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code> produit le m�me effet 612pour la construction de la cha�ne de certification, cette directive a 613pour effet colat�ral de faire accepter les certificats clients fournis 614par cette m�me CA, au cours de l'authentification du client.</p> 615<p> 616Soyez cependant prudent : fournir la cha�ne de certification ne 617fonctionne que si vous utilisez un <em>simple</em> certificat de 618serveur RSA <em>ou</em> DSA. Si vous utilisez une paire de certificats 619coupl�s RSA+DSA , cela ne fonctionnera que si les deux certificats 620utilisent vraiment <em>la m�me</em> cha�ne de certification. Dans le cas 621contraire, la confusion risque de s'installer au niveau des 622navigateurs.</p> 623<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt</pre> 624</div> 625 626</div> 627<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 628<div class="directive-section"><h2><a name="SSLCertificateFile" id="SSLCertificateFile">SSLCertificateFile</a> <a name="sslcertificatefile" id="sslcertificatefile">Directive</a></h2> 629<table class="directive"> 630<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier de donn�es contenant le certificat X.509 du serveur cod� en 631PEM</td></tr> 632<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCertificateFile <em>chemin-fichier</em></code></td></tr> 633<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 634<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 635<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 636</table> 637<p>Cette directive permet de d�finir le fichier de donn�es contenant 638les informations de certificat 639X.509 du serveur cod�es au format PEM. Ce fichier doit contenir 640au minimum un certificat d'entit� finale (feuille). Depuis la version 6412.4.8, il peut aussi contenir des certificats de CA 642interm�diaires tri�s des feuilles � la racine, ainsi que des 643<code class="directive"><a href="#sslcertificatechainfile">SSLCertificateChainFile</a></code> 644(obsol�tes). 645</p> 646 647<p>Des �l�ments additionnels peuvent �tre pr�sents, comme des param�tres 648DH et/ou le nom EC curve pour les cl�s eph�m�res, respectivement g�n�r�s 649par <code>openssl dhparam</code> et <code>openssl ecparam</code> 650(support� � partir de la version 2.4.7), et 651enfin la cl� priv�e du certificat d'entit� finale. Si la cl� priv�e est 652chiffr�e, une bo�te de dialogue demandant le mot de passe s'ouvre au 653d�marrage.</p> 654 655<p> 656Cette directive peut �tre utilis�e plusieurs fois pour r�f�rencer 657diff�rents noms de fichiers, afin de supporter plusieurs algorithmes 658pour l'authentification du serveur - en g�n�ral RSA, DSA et ECC. Le 659nombre d'algorithmes support�s d�pend de la version d'OpenSSL utilis�e 660pour mod_ssl : � partir de la version 1.0.0, la commande <code>openssl 661list-public-key-algorithms</code> renvoie la liste de ces algorithmes.</p> 662 663<p> 664A partir de la version 1.0.2 d'OpenSSL, cette directive permet de 665configurer la cha�ne de certification en fonction du certificat, ce qui 666supprime une limitation de la directive obsol�te <code class="directive"><a href="#sslcertificatechainfile">SSLCertificateChainFile</a></code>. Cependant, les 667param�tres DH et ECDH ne sont lus que depuis la premi�re directive 668<code class="directive">SSLCertificateFile</code> car ils s'appliquent 669ind�pendamment du type d'algorithme d'authentification.</p> 670 671<div class="note"> 672<h3>Interop�rabilit� des param�tres DH avec les nombres premiers de 673plus de 1024 bits</h3> 674<p> 675Depuis la version 2.4.7, mod_ssl utilise des 676param�tres DH standardis�s avec des nombres premiers de 2048, 3072 et 6774096 bits (voir <a href="http://www.ietf.org/rfc/rfc3526.txt">RFC 6783526</a>), et les fournit aux clients en fonction de la longueur de la 679cl� du certificat RSA/DSA. En particulier avec les clients bas�s sur 680Java (versions 7 et ant�rieures), ceci peut provoquer des erreurs au 681cours de la n�gociation - voir cette <a href="/ssl/ssl_faq.html#javadh">r�ponse de la FAQ SSL</a> pour 682contourner les probl�mes de ce genre. 683</p> 684</div> 685 686<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt</pre> 687</div> 688 689</div> 690<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 691<div class="directive-section"><h2><a name="SSLCertificateKeyFile" id="SSLCertificateKeyFile">SSLCertificateKeyFile</a> <a name="sslcertificatekeyfile" id="sslcertificatekeyfile">Directive</a></h2> 692<table class="directive"> 693<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la cl� priv�e du serveur cod�e en 694PEM</td></tr> 695<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCertificateKeyFile <em>chemin-fichier</em></code></td></tr> 696<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 697<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 698<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 699</table> 700<p>Cette directive permet de d�finir le fichier contenant la cl� priv�e du 701serveur cod�e en PEM (la cl� priv�e peut �tre associ�e au certificat 702dans le fichier d�fini par la directive 703<code class="directive">SSLCertificateFile</code>, mais cette pratique est 704d�conseill�e). Si la cl� priv�e est 705chiffr�e, une bo�te de dialogue demandant le mot de passe s'ouvre au 706d�marrage.</p> 707 708<p> 709Cette directive peut �tre utilis�e plusieurs fois pour r�f�rencer 710diff�rents noms de fichiers, afin de supporter plusieurs algorithmes 711pour l'authentification du serveur. A chaque directive <code class="directive"><a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></code> doit �tre associ�e 712une directive <code class="directive">SSLCertificateFile</code> correspondante. 713</p> 714<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key</pre> 715</div> 716 717</div> 718<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 719<div class="directive-section"><h2><a name="SSLCipherSuite" id="SSLCipherSuite">SSLCipherSuite</a> <a name="sslciphersuite" id="sslciphersuite">Directive</a></h2> 720<table class="directive"> 721<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Algorithmes de chiffrement disponibles pour la n�gociation 722au cours de l'initialisation de la connexion SSL</td></tr> 723<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCipherSuite <em>algorithmes</em></code></td></tr> 724<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLCipherSuite DEFAULT (d�pend de la version d'OpenSSL 725install�e)</code></td></tr> 726<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, r�pertoire, .htaccess</td></tr> 727<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 728<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 729<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 730</table> 731<p> 732Cette directive complexe utilise la cha�ne <em>algorithmes</em> 733contenant la liste des algorithmes de chiffrement OpenSSL que le client 734peut utiliser au cours de la phase d'initialisation de la connexion SSL. 735Notez que cette directive peut �tre utilis�e aussi bien dans un contexte 736de serveur que dans un contexte de r�pertoire. Dans un contexte de 737serveur, elle s'applique � l'initialisation SSL standard lorsqu'une 738connexion est �tablie. Dans un contexte de r�pertoire, elle force une 739ren�gociation SSL avec la liste d'algorithmes de chiffrement sp�cifi�e 740apr�s la lecture d'une requ�te HTTP, mais avant l'envoi de la r�ponse 741HTTP.</p> 742<p> 743La liste d'algorithmes de chiffrement SSL sp�cifi�e par l'argument 744<em>algorithmes</em> comporte quatre attributs principaux auxquels 745s'ajoutent quelques attributs secondaires :</p> 746<ul> 747<li><em>Algorithme d'�change de cl�s</em>:<br /> 748 RSA, Diffie-Hellman, Elliptic Curve Diffie-Hellman, Secure Remote Password 749</li> 750<li><em>Algorithme d'authentification</em>:<br /> 751 RSA, Diffie-Hellman, DSS, ECDSA ou none. 752</li> 753<li><em>Algorithme de chiffrement</em>:<br /> 754 AES, DES, Triple-DES, RC4, RC2, IDEA, etc... 755</li> 756<li><em>Algorithme de condens� MAC</em>:<br /> 757 MD5, SHA or SHA1, SHA256, SHA384. 758</li> 759</ul> 760<p>L'algorithme de chiffrement peut aussi provenir de l'ext�rieur. Les 761algorithmes SSLv2 ne sont plus support�s. 762Pour d�finir les algorithmes � utiliser, on 763peut soit sp�cifier tous les algorithmes � la fois, soit utiliser des 764alias pour sp�cifier une liste d'algorithmes dans leur ordre de 765pr�f�rence (voir <a href="#table1">Table 1</a>). Les algorithmes et 766alias effectivement disponibles d�pendent de la version d'openssl 767utilis�e. Les versions ult�rieures d'openssl inclueront probablement des 768algorithmes suppl�mentaires.</p> 769 770<table class="bordered"> 771 772<tr><th><a name="table1">Symbole</a></th> <th>Description</th></tr> 773<tr><td colspan="2"><em>Algorithme d'�change de cl�s :</em></td></tr> 774<tr><td><code>kRSA</code></td> <td>Echange de cl�s RSA</td></tr> 775<tr><td><code>kDHr</code></td> <td>Echange de cl�s Diffie-Hellman avec 776cl� RSA</td></tr> 777<tr><td><code>kDHd</code></td> <td>Echange de cl�s Diffie-Hellman avec 778cl� DSA</td></tr> 779<tr><td><code>kEDH</code></td> <td>Echange de cl�s Diffie-Hellman 780temporaires (pas de certificat)</td> </tr> 781<tr><td><code>kSRP</code></td> <td>�change de cl�s avec mot de passe 782distant s�curis� (SRP)</td></tr> 783<tr><td colspan="2"><em>Algorithmes d'authentification :</em></td></tr> 784<tr><td><code>aNULL</code></td> <td>Pas d'authentification</td></tr> 785<tr><td><code>aRSA</code></td> <td>Authentification RSA</td></tr> 786<tr><td><code>aDSS</code></td> <td>Authentification DSS</td> </tr> 787<tr><td><code>aDH</code></td> <td>Authentification Diffie-Hellman</td></tr> 788<tr><td colspan="2"><em>Algorithmes de chiffrement :</em></td></tr> 789<tr><td><code>eNULL</code></td> <td>Pas de chiffrement</td> </tr> 790<tr><td><code>NULL</code></td> <td>alias pour eNULL</td> </tr> 791<tr><td><code>AES</code></td> <td>Chiffrement AES</td> </tr> 792<tr><td><code>DES</code></td> <td>Chiffrement DES</td> </tr> 793<tr><td><code>3DES</code></td> <td>Chiffrement Triple-DES</td> </tr> 794<tr><td><code>RC4</code></td> <td>Chiffrement RC4</td> </tr> 795<tr><td><code>RC2</code></td> <td>Chiffrement RC2</td> </tr> 796<tr><td><code>IDEA</code></td> <td>Chiffrement IDEA</td> </tr> 797<tr><td colspan="2"><em>Algorithmes de condens�s MAC </em>:</td></tr> 798<tr><td><code>MD5</code></td> <td>Fonction de hashage MD5</td></tr> 799<tr><td><code>SHA1</code></td> <td>Fonction de hashage SHA1</td></tr> 800<tr><td><code>SHA</code></td> <td>alias pour SHA1</td> </tr> 801<tr><td><code>SHA256</code></td> <td>>Fonction de hashage SHA256</td> </tr> 802<tr><td><code>SHA384</code></td> <td>>Fonction de hashage SHA384</td> </tr> 803<tr><td colspan="2"><em>Alias :</em></td></tr> 804<tr><td><code>SSLv3</code></td> <td>tous les algorithmes de chiffrement 805SSL version 3.0</td> </tr> 806<tr><td><code>TLSv1</code></td> <td>tous les algorithmes de chiffrement 807TLS version 1.0</td> </tr> 808<tr><td><code>EXP</code></td> <td>tous les algorithmes de chiffrement 809externes</td> </tr> 810<tr><td><code>EXPORT40</code></td> <td>tous les algorithmes de chiffrement 811externes limit�s � 40 bits</td> </tr> 812<tr><td><code>EXPORT56</code></td> <td>tous les algorithmes de chiffrement 813externes limit�s � 56 bits</td> </tr> 814<tr><td><code>LOW</code></td> <td>tous les algorithmes de chiffrement 815faibles (non externes, DES simple)</td></tr> 816<tr><td><code>MEDIUM</code></td> <td>tous les algorithmes avec 817chiffrement 128 bits</td> </tr> 818<tr><td><code>HIGH</code></td> <td>tous les algorithmes 819utilisant Triple-DES</td> </tr> 820<tr><td><code>RSA</code></td> <td>tous les algorithmes 821utilisant l'�change de cl�s RSA</td> </tr> 822<tr><td><code>DH</code></td> <td>tous les algorithmes 823utilisant l'�change de cl�s Diffie-Hellman</td> </tr> 824<tr><td><code>EDH</code></td> <td>tous les algorithmes 825utilisant l'�change de cl�s Diffie-Hellman temporaires</td> </tr> 826<tr><td><code>ECDH</code></td> <td>�change de cl�s Elliptic Curve Diffie-Hellman</td> </tr> 827<tr><td><code>ADH</code></td> <td>tous les algorithmes 828utilisant l'�change de cl�s Diffie-Hellman anonymes</td> </tr> 829<tr><td><code>AECDH</code></td> <td>tous les algorithmes 830utilisant l'�change de cl�s Elliptic Curve Diffie-Hellman</td> </tr> 831<tr><td><code>SRP</code></td> <td>tous les algorithmes utilisant 832l'�change de cl�s avec mot de passe distant s�curis� (SRP)</td> </tr> 833<tr><td><code>DSS</code></td> <td>tous les algorithmes 834utilisant l'authentification DSS</td> </tr> 835<tr><td><code>ECDSA</code></td> <td>tous les algorithmes 836utilisant l'authentification ECDSA</td> </tr> 837<tr><td><code>aNULL</code></td> <td>tous les algorithmes 838n'utilisant aucune authentification</td> </tr> 839</table> 840<p> 841Cela devient int�ressant lorsque tous ces symboles sont combin�s 842ensemble pour sp�cifier les algorithmes disponibles et l'ordre dans 843lequel vous voulez les utiliser. Pour simplifier tout cela, vous 844disposez aussi d'alias (<code>SSLv3, TLSv1, EXP, LOW, MEDIUM, 845HIGH</code>) pour certains groupes d'algorithmes. Ces symboles peuvent 846�tre reli�s par des pr�fixes pour former la cha�ne <em>algorithmes</em>. 847Les pr�fixes disponibles sont :</p> 848<ul> 849<li>none: ajoute l'algorithme � la liste</li> 850<li><code>+</code>: d�place les algorithmes qui conviennent � la 851place courante dans la liste</li> 852<li><code>-</code>: supprime l'algorithme de la liste (peut �tre rajout� 853plus tard)</li> 854<li><code>!</code>: supprime d�finitivement l'algorithme de la liste (ne 855peut <strong>plus</strong> y �tre rajout� plus tard)</li> 856</ul> 857 858<div class="note"> 859<h3>Les algorithmes <code>aNULL</code>, <code>eNULL</code> et 860<code>EXP</code> sont toujours d�sactiv�s</h3> 861<p>Depuis la version 2.4.7, les 862algorithmes de type null ou destin�s � l'exportation sont toujours 863d�sactiv�s car mod_ssl fait 864obligatoirement pr�c�der toute cha�ne de suite d'algorithmes par 865<code>!aNULL:!eNULL:!EXP:</code> � l'initialisation.</p> 866</div> 867 868<p>Pour vous simplifier la vie, vous pouvez utiliser la commande 869``<code>openssl ciphers -v</code>'' qui vous fournit un moyen simple de 870cr�er la cha�ne <em>algorithmes</em> avec succ�s. La cha�ne 871<em>algorithmes</em> par d�faut d�pend de la version des biblioth�ques 872SSL install�es. Supposons qu'elle contienne 873``<code>RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5</code>'', ce qui 874stipule de mettre <code>RC4-SHA</code> et <code>AES128-SHA</code> en 875premiers, car ces algorithmes pr�sentent un bon compromis entre vitesse 876et s�curit�. Viennent ensuite les algorithmes de s�curit� �lev�e et 877moyenne. En fin de compte, les algorithmes qui n'offrent aucune 878authentification sont exclus, comme les algorithmes anonymes 879Diffie-Hellman pour SSL, ainsi que tous les algorithmes qui utilisent 880<code>MD5</code> pour le hashage, car celui-ci est reconnu comme 881insuffisant.</p> 882<div class="example"><pre>$ openssl ciphers -v 'RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5' 883RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1 884AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1 885DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 886... ... ... ... ... 887SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1 888PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1 889KRB5-RC4-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=RC4(128) Mac=SHA1</pre></div> 890<p>Vous trouverez la liste compl�te des algorithmes RSA & DH 891sp�cifiques � SSL dans la <a href="#table2">Table 2</a>.</p> 892<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW</pre> 893</div> 894<table class="bordered"> 895 896<tr><th><a name="table2">Symbole algorithme</a></th> <th>Protocole</th> 897<th>Echange de cl�s</th> <th>Authentification</th> <th>Chiffrement</th> 898<th>Condens� MAC</th> <th>Type</th> </tr> 899<tr><td colspan="7"><em>Algorithmes RSA :</em></td></tr> 900<tr><td><code>DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>3DES(168)</td> <td>SHA1</td> <td /> </tr> 901<tr><td><code>IDEA-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>IDEA(128)</td> <td>SHA1</td> <td /> </tr> 902<tr><td><code>RC4-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>RC4(128)</td> <td>SHA1</td> <td /> </tr> 903<tr><td><code>RC4-MD5</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>RC4(128)</td> <td>MD5</td> <td /> </tr> 904<tr><td><code>DES-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>DES(56)</td> <td>SHA1</td> <td /> </tr> 905<tr><td><code>EXP-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr> 906<tr><td><code>EXP-RC2-CBC-MD5</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>RC2(40)</td> <td>MD5</td> <td> export</td> </tr> 907<tr><td><code>EXP-RC4-MD5</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>RC4(40)</td> <td>MD5</td> <td> export</td> </tr> 908<tr><td><code>NULL-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>None</td> <td>SHA1</td> <td /> </tr> 909<tr><td><code>NULL-MD5</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>None</td> <td>MD5</td> <td /> </tr> 910<tr><td colspan="7"><em>Algorithmes Diffie-Hellman :</em></td></tr> 911<tr><td><code>ADH-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>3DES(168)</td> <td>SHA1</td> <td /> </tr> 912<tr><td><code>ADH-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>DES(56)</td> <td>SHA1</td> <td /> </tr> 913<tr><td><code>ADH-RC4-MD5</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>RC4(128)</td> <td>MD5</td> <td /> </tr> 914<tr><td><code>EDH-RSA-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>RSA</td> <td>3DES(168)</td> <td>SHA1</td> <td /> </tr> 915<tr><td><code>EDH-DSS-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>DSS</td> <td>3DES(168)</td> <td>SHA1</td> <td /> </tr> 916<tr><td><code>EDH-RSA-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>RSA</td> <td>DES(56)</td> <td>SHA1</td> <td /> </tr> 917<tr><td><code>EDH-DSS-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>DSS</td> <td>DES(56)</td> <td>SHA1</td> <td /> </tr> 918<tr><td><code>EXP-EDH-RSA-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>RSA</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr> 919<tr><td><code>EXP-EDH-DSS-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>DSS</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr> 920<tr><td><code>EXP-ADH-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>None</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr> 921<tr><td><code>EXP-ADH-RC4-MD5</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>None</td> <td>RC4(40)</td> <td>MD5</td> <td> export</td> </tr> 922</table> 923 924</div> 925<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 926<div class="directive-section"><h2><a name="SSLCompression" id="SSLCompression">SSLCompression</a> <a name="sslcompression" id="sslcompression">Directive</a></h2> 927<table class="directive"> 928<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Permet d'activer la compression au niveau SSL</td></tr> 929<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCompression on|off</code></td></tr> 930<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLCompression off</code></td></tr> 931<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 932<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 933<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 934<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible � partir de la version 2.4.3 du serveur HTTP 935Apache, si on utilise une version d'OpenSSL 0.9.8 ou sup�rieure ; 936l'utilisation dans un contexte de serveur virtuel n'est disponible que 937si on utilise une version d'OpenSSL 1.0.0 ou sup�rieure. La valeur par 938d�faut �tait <code>on</code> dans la version 2.4.3.</td></tr> 939</table> 940<p>Cette directive permet d'activer la compression au niveau SSL.</p> 941<div class="warning"> 942<p>L'activation de la compression est � l'origine de probl�mes de 943s�curit� dans la plupart des configurations (l'attaque nomm�e CRIME).</p> 944</div> 945 946</div> 947<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 948<div class="directive-section"><h2><a name="SSLCryptoDevice" id="SSLCryptoDevice">SSLCryptoDevice</a> <a name="sslcryptodevice" id="sslcryptodevice">Directive</a></h2> 949<table class="directive"> 950<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active l'utilisation d'un acc�l�rateur mat�riel de 951chiffrement</td></tr> 952<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCryptoDevice <em>moteur</em></code></td></tr> 953<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLCryptoDevice builtin</code></td></tr> 954<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 955<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 956<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 957</table> 958<p> 959Cette directive permet d'activer l'utilisation d'une carte acc�l�ratrice 960de chiffrement qui prendra en compte certaines parties du traitement 961relatif � SSL. Cette directive n'est utilisable que si la bo�te � 962outils SSL � �t� compil�e avec le support "engine" ; les versions 0.9.7 963et sup�rieures d'OpenSSL poss�dent par d�faut le support "engine", alors 964qu'avec la version 0.9.6, il faut utiliser les distributions s�par�es 965"-engine".</p> 966 967<p>Pour d�terminer les moteurs support�s, ex�cutez la commande 968"<code>openssl engine</code>".</p> 969 970<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config"># Pour un acc�l�rateur Broadcom : 971SSLCryptoDevice ubsec</pre> 972</div> 973 974</div> 975<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 976<div class="directive-section"><h2><a name="SSLEngine" id="SSLEngine">SSLEngine</a> <a name="sslengine" id="sslengine">Directive</a></h2> 977<table class="directive"> 978<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interrupteur marche/arr�t du moteur SSL</td></tr> 979<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLEngine on|off|optional</code></td></tr> 980<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLEngine off</code></td></tr> 981<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 982<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 983<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 984</table> 985<p> 986Cette directive permet d'activer/d�sactiver le moteur du protocole 987SSL/TLS. Elle doit �tre utilis�e dans une section <code class="directive"><a href="/mod/core.html#virtualhost"><VirtualHost></a></code> pour activer 988SSL/TLS pour ce serveur virtuel particulier. Par d�faut, le moteur du 989protocole SSL/TLS est d�sactiv� pour le serveur principal et tous les 990serveurs virtuels configur�s.</p> 991<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config"><VirtualHost _default_:443> 992SSLEngine on 993#... 994</VirtualHost></pre> 995</div> 996<p>Depuis la version 2.1 d'Apache, la directive 997<code class="directive">SSLEngine</code> peut �tre d�finie � 998<code>optional</code>, ce qui active le support de <a href="http://www.ietf.org/rfc/rfc2817.txt">RFC 2817</a>, Upgrading to 999TLS Within HTTP/1.1. Pour le moment, aucun navigateur web ne supporte 1000RFC 2817.</p> 1001 1002</div> 1003<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1004<div class="directive-section"><h2><a name="SSLFIPS" id="SSLFIPS">SSLFIPS</a> <a name="sslfips" id="sslfips">Directive</a></h2> 1005<table class="directive"> 1006<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Coimmutateur du mode SSL FIPS</td></tr> 1007<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLFIPS on|off</code></td></tr> 1008<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLFIPS off</code></td></tr> 1009<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 1010<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1011<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1012</table> 1013<p> 1014Cette directive permet d'activer/d�sactiver l'utilisation du drapeau 1015FIPS_mode de la biblioth�que SSL. Elle doit �tre d�finie dans le 1016contexte du serveur principal, et n'accepte pas les configurations 1017sources de conflits (SSLFIPS on suivi de SSLFIPS off par exemple). Le 1018mode s'applique � toutes les op�rations de la biblioth�que SSL. 1019</p> 1020<p> 1021Si httpd a �t� compil� avec une biblioth�que SSL qui ne supporte pas le 1022drapeau FIPS_mode, la directive <code>SSLFIPS on</code> �chouera. 1023Reportez-vous au document sur la politique de s�curit� FIPS 140-2 de la 1024biblioth�que du fournisseur SSL, pour les pr�requis sp�cifiques 1025n�cessaires � l'utilisation de mod_ssl selon un mode d'op�ration 1026approuv� par FIPS 140-2 ; notez que mod_ssl en lui-m�me n'est pas 1027valid�, mais peut �tre d�crit comme utilisant un module de chiffrement 1028valid� par FIPS 140-2, lorsque tous les composants sont assembl�s et mis 1029en oeuvre selon les recommandations de la politique de s�curit� 1030applicable. 1031</p> 1032 1033</div> 1034<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1035<div class="directive-section"><h2><a name="SSLHonorCipherOrder" id="SSLHonorCipherOrder">SSLHonorCipherOrder</a> <a name="sslhonorcipherorder" id="sslhonorcipherorder">Directive</a></h2> 1036<table class="directive"> 1037<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Option permettant de classer les algorithmes de chiffrement 1038du serveur par ordre de pr�f�rence</td></tr> 1039<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLHonorCipherOrder on|off</code></td></tr> 1040<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLHonorCipherOrder off</code></td></tr> 1041<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1042<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1043<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1044<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.1 d'Apache, � condition 1045d'utiliser une version 0.9.7 ou sup�rieure d'OpenSSL</td></tr> 1046</table> 1047<p>Normalement, ce sont les pr�f�rences du client qui sont prises en 1048compte lors du choix d'un algorithme de chiffrement au cours d'une 1049n�gociation SSLv3 ou TLSv1. Si cette directive est activ�e, ce sont les 1050pr�f�rences du serveur qui seront prises en compte � la place.</p> 1051<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLHonorCipherOrder on</pre> 1052</div> 1053 1054</div> 1055<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1056<div class="directive-section"><h2><a name="SSLInsecureRenegotiation" id="SSLInsecureRenegotiation">SSLInsecureRenegotiation</a> <a name="sslinsecurerenegotiation" id="sslinsecurerenegotiation">Directive</a></h2> 1057<table class="directive"> 1058<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Option permettant d'activer le support de la ren�gociation 1059non s�curis�e</td></tr> 1060<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLInsecureRenegotiation on|off</code></td></tr> 1061<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLInsecureRenegotiation off</code></td></tr> 1062<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1063<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1064<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1065<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis httpd 2.2.15, si une version 0.9.8m 1066ou sup�rieure d'OpenSSL est utilis�e</td></tr> 1067</table> 1068<p>Comme il a �t� sp�cifi�, toutes les versions des protocoles SSL et 1069TLS (jusqu'� la version 1.2 de TLS incluse) �taient vuln�rables � une 1070attaque de type Man-in-the-Middle (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2009-3555">CVE-2009-3555</a>) 1071au cours d'une ren�gociation. Cette vuln�rabilit� permettait � un 1072attaquant de pr�fixer la requ�te HTTP (telle qu'elle �tait vue du 1073serveur) avec un texte choisi. Une extension du protocole a �t� 1074d�velopp�e pour corriger cette vuln�rabilit�, sous r�serve qu'elle soit 1075support�e par le client et le serveur.</p> 1076 1077<p>Si <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> est li� � une version 0.9.8m ou 1078sup�rieure d'OpenSSL, par d�faut, la ren�gociation n'est accord�e qu'aux 1079clients qui supportent la nouvelle extension du protocole. Si 1080cette directive est activ�e, la ren�gociation sera accord�e aux anciens 1081clients (non patch�s), quoique de mani�re non s�curis�e</p> 1082 1083<div class="warning"><h3>Avertissement � propos de la s�curit�</h3> 1084<p>Si cette directive est activ�e, les connexions SSL seront vuln�rables 1085aux attaques de type pr�fixe Man-in-the-Middle comme d�crit dans <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2009-3555">CVE-2009-3555</a>.</p> 1086</div> 1087 1088<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLInsecureRenegotiation on</pre> 1089</div> 1090 1091<p>La variable d'environnement <code>SSL_SECURE_RENEG</code> peut �tre 1092utilis�e dans un script SSI ou CGI pour d�terminer si la ren�gociation 1093s�curis�e est support�e pour une connexion SSL donn�e.</p> 1094 1095 1096</div> 1097<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1098<div class="directive-section"><h2><a name="SSLOCSPDefaultResponder" id="SSLOCSPDefaultResponder">SSLOCSPDefaultResponder</a> <a name="sslocspdefaultresponder" id="sslocspdefaultresponder">Directive</a></h2> 1099<table class="directive"> 1100<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D�finit l'URI du r�pondeur par d�faut pour la validation 1101OCSP</td></tr> 1102<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSDefaultResponder <em>uri</em></code></td></tr> 1103<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1104<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1105<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1106<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3 de httpd, � condition 1107d'utiliser une version 0.9.7 ou sup�rieure d'OpenSSL</td></tr> 1108</table> 1109<p>Cette directive permet de d�finir le r�pondeur OCSP par d�faut. Si la 1110directive <code class="directive"><a href="#sslocspoverrideresponder">SSLOCSPOverrideResponder</a></code> n'est pas activ�e, 1111l'URI sp�cifi� ne sera utilis� que si aucun URI de r�pondeur n'est 1112sp�cifi� dans le certificat en cours de v�rification.</p> 1113 1114</div> 1115<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1116<div class="directive-section"><h2><a name="SSLOCSPEnable" id="SSLOCSPEnable">SSLOCSPEnable</a> <a name="sslocspenable" id="sslocspenable">Directive</a></h2> 1117<table class="directive"> 1118<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la validation OCSP de la cha�ne de certificats du 1119client</td></tr> 1120<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPEnable on|off</code></td></tr> 1121<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLOCSPEnable off</code></td></tr> 1122<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1123<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1124<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1125<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3 de httpd, � condition 1126d'utiliser une version 0.9.7 ou sup�rieure d'OpenSSL</td></tr> 1127</table> 1128<p>Cette directive permet d'activer la validation OCSP de la cha�ne de 1129certificats du client. Si elle est activ�e, les certificats de la cha�ne 1130de certificats du client seront valid�s aupr�s d'un r�pondeur OCSP, une 1131fois la v�rification normale effectu�e (v�rification des CRLs 1132incluse).</p> 1133 1134<p>Le r�pondeur OCSP utilis� est soit extrait du certificat lui-m�me, 1135soit sp�cifi� dans la configuration ; voir les directives <code class="directive"><a href="#sslocspdefaultresponder">SSLOCSPDefaultResponder</a></code> et <code class="directive"><a href="#sslocspoverrideresponder">SSLOCSPOverrideResponder</a></code>.</p> 1136 1137<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLVerifyClient on 1138SSLOCSPEnable on 1139SSLOCSPDefaultResponder http://responder.example.com:8888/responder 1140SSLOCSPOverrideResponder on</pre> 1141</div> 1142 1143</div> 1144<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1145<div class="directive-section"><h2><a name="SSLOCSPOverrideResponder" id="SSLOCSPOverrideResponder">SSLOCSPOverrideResponder</a> <a name="sslocspoverrideresponder" id="sslocspoverrideresponder">Directive</a></h2> 1146<table class="directive"> 1147<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Force l'utilisation de l'URI du r�pondeur par d�faut pour 1148la validation OCSP</td></tr> 1149<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPOverrideResponder on|off</code></td></tr> 1150<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLOCSPOverrideResponder off</code></td></tr> 1151<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1152<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1153<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1154<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3 de httpd, � condition 1155d'utiliser une version 0.9.7 ou sup�rieure d'OpenSSL</td></tr> 1156</table> 1157<p>Force l'utilisation, au cours d'une validation OCSP de certificat, du 1158r�pondeur OCSP par d�faut sp�cifi� dans la configuration, que le 1159certificat en cours de v�rification fasse mention d'un r�pondeur OCSP ou 1160non.</p> 1161 1162</div> 1163<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1164<div class="directive-section"><h2><a name="SSLOCSPResponderTimeout" id="SSLOCSPResponderTimeout">SSLOCSPResponderTimeout</a> <a name="sslocsprespondertimeout" id="sslocsprespondertimeout">Directive</a></h2> 1165<table class="directive"> 1166<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D�lai d'attente pour les requ�tes OCSP</td></tr> 1167<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPResponderTimeout <em>secondes</em></code></td></tr> 1168<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLOCSPResponderTimeout 10</code></td></tr> 1169<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1170<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1171<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1172<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3 de httpd, sous r�serve 1173d'utiliser une version 0.9.7 ou sup�rieure d'OpenSSL</td></tr> 1174</table> 1175<p>Cette option permet de d�finir le d�lai d'attente pour les requ�tes � 1176destination des r�pondeurs OCSP, lorsque la directive <code class="directive"><a href="#sslocspenable">SSLOCSPEnable</a></code> est � on.</p> 1177 1178</div> 1179<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1180<div class="directive-section"><h2><a name="SSLOCSPResponseMaxAge" id="SSLOCSPResponseMaxAge">SSLOCSPResponseMaxAge</a> <a name="sslocspresponsemaxage" id="sslocspresponsemaxage">Directive</a></h2> 1181<table class="directive"> 1182<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Age maximum autoris� pour les r�ponses OCSP</td></tr> 1183<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPResponseMaxAge <em>secondes</em></code></td></tr> 1184<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLOCSPResponseMaxAge -1</code></td></tr> 1185<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1186<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1187<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1188<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3 de httpd, sous r�serve 1189d'utiliser une version 0.9.7 ou sup�rieure d'OpenSSL</td></tr> 1190</table> 1191<p>Cette option permet de d�finir l'�ge maximum autoris� (la 1192"fraicheur") des r�ponses OCSP. La valeur par d�fault (<code>-1</code>) 1193signifie qu'aucun �ge maximum n'est d�fini ; autrement dit, les 1194r�ponses OCSP sont consid�r�es comme valides tant que la valeur de leur 1195champ <code>nextUpdate</code> se situe dans le futur.</p> 1196 1197</div> 1198<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1199<div class="directive-section"><h2><a name="SSLOCSPResponseTimeSkew" id="SSLOCSPResponseTimeSkew">SSLOCSPResponseTimeSkew</a> <a name="sslocspresponsetimeskew" id="sslocspresponsetimeskew">Directive</a></h2> 1200<table class="directive"> 1201<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D�rive temporelle maximale autoris�e pour la validation des 1202r�ponses OCSP</td></tr> 1203<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPResponseTimeSkew <em>secondes</em></code></td></tr> 1204<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLOCSPResponseTimeSkew 300</code></td></tr> 1205<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1206<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1207<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1208<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3 de httpd, sous r�serve 1209d'utiliser une version 0.9.7 ou sup�rieure d'OpenSSL</td></tr> 1210</table> 1211<p>Cette option permet de d�finir la d�rive temporelle maximale 1212autoris�e pour les r�ponses OCSP (lors de la v�rification des champs 1213<code>thisUpdate</code> et <code>nextUpdate</code>).</p> 1214 1215</div> 1216<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1217<div class="directive-section"><h2><a name="SSLOpenSSLConfCmd" id="SSLOpenSSLConfCmd">SSLOpenSSLConfCmd</a> <a name="sslopensslconfcmd" id="sslopensslconfcmd">Directive</a></h2> 1218<table class="directive"> 1219<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration des param�tres d'OpenSSL via son API <em>SSL_CONF</em></td></tr> 1220<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOpenSSLConfCmd <em>commande</em> <em>valeur</em></code></td></tr> 1221<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1222<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1223<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1224<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.4.8 du serveur HTTP 1225Apache avec OpenSSL 1.0.2 ou sup�rieur</td></tr> 1226</table> 1227<p>Cette directive permet � mod_ssl d'acc�der � l'API <em>SSL_CONF</em> 1228d'OpenSSL. Il n'est ainsi plus n�cessaire d'impl�menter des 1229directives suppl�mentaires pour <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> lorsque de nouvelles 1230fonctionnalit�s sont ajout�es � OpenSSL, ce qui rend la configuration de 1231ce dernier beaucoup plus souple.</p> 1232 1233<p>Le jeu de commandes disponibles pour la directive 1234<code class="directive">SSLOpenSSLConfCmd</code> d�pend de la version d'OpenSSL 1235utilis�e pour <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> (la version minimale 1.0.2 est un 1236pr�requis). Pour obtenir la liste des commandes support�es, voir la 1237section <em>Supported configuration file commands</em> de la page de 1238manuel <a href="http://www.openssl.org/docs/ssl/SSL_CONF_cmd.html#SUPPORTED_CONFIGURATION_FILE_COM">SSL_CONF_cmd(3)</a> 1239d'OpenSSL.</p> 1240 1241<p>Certaines commandes peuvent remplacer des directives existantes 1242(comme <code class="directive"><a href="#sslciphersuite">SSLCipherSuite</a></code> ou 1243<code class="directive"><a href="#sslprotocol">SSLProtocol</a></code>) ; notez cependant 1244que la syntaxe et/ou les valeurs possibles peuvent diff�rer.</p> 1245 1246<div class="example"><h3>Examples</h3><pre class="prettyprint lang-config">SSLOpenSSLConfCmd Options -SessionTicket,ServerPreference 1247SSLOpenSSLConfCmd ECDHParameters brainpoolP256r1 1248SSLOpenSSLConfCmd ServerInfoFile /usr/local/apache2/conf/server-info.pem 1249SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2" 1250SSLOpenSSLConfCmd SignatureAlgorithms RSA+SHA384:ECDSA+SHA256</pre> 1251</div> 1252 1253</div> 1254<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1255<div class="directive-section"><h2><a name="SSLOptions" id="SSLOptions">SSLOptions</a> <a name="ssloptions" id="ssloptions">Directive</a></h2> 1256<table class="directive"> 1257<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configure diff�rentes options d'ex�cution du moteur SSL</td></tr> 1258<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOptions [+|-]<em>option</em> ...</code></td></tr> 1259<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, r�pertoire, .htaccess</td></tr> 1260<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Options</td></tr> 1261<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1262<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1263</table> 1264<p> 1265Cette directive permet de contr�ler diff�rentes options d'ex�cution du 1266moteur SSL dans un contexte de r�pertoire. Normalement, si plusieurs 1267<code>SSLOptions</code> peuvent s'appliquer � un r�pertoire, c'est la 1268plus sp�cifique qui est v�ritablement prise en compte ; les options ne 1269se combinent pas entre elles. Elles se combinent cependant entre elles 1270si elles sont <em>toutes</em> pr�c�d�es par un symbole plus 1271(<code>+</code>) ou moins (<code>-</code>). Toute option pr�c�d�e d'un 1272<code>+</code> est ajout�e aux options actuellement en vigueur, et toute 1273option pr�c�d�e d'un <code>-</code> est supprim�e de ces m�mes 1274options. 1275</p> 1276<p> 1277Les <em>option</em>s disponibles sont :</p> 1278<ul> 1279<li><code>StdEnvVars</code> 1280 <p> 1281 Lorsque cette option est activ�e, le jeu standard de variables 1282 d'environnement SSL relatives � CGI/SSI est cr��. Cette option est 1283 d�sactiv�e par d�faut pour des raisons de performances, car 1284 l'extraction des informations constitue une op�ration assez co�teuse 1285 en ressources. On n'active donc en g�n�ral cette option que pour les 1286 requ�tes CGI et SSI.</p> 1287</li> 1288<li><code>ExportCertData</code> 1289 <p> 1290 Lorsque cette option est activ�e, des variables d'environnement 1291 CGI/SSI suppl�mentaires sont cr��es : <code>SSL_SERVER_CERT</code>, 1292 <code>SSL_CLIENT_CERT</code> et 1293 <code>SSL_CLIENT_CERT_CHAIN_</code><em>n</em> (avec <em>n</em> = 1294 0,1,2,..). Elles contiennent les certificats X.509 cod�s en PEM du 1295 serveur et du client pour la connexion HTTPS courante, et peuvent 1296 �tre utilis�es par les scripts CGI pour une v�rification de 1297 certificat plus �labor�e. De plus, tous les autres certificats de la 1298 cha�ne de certificats du client sont aussi fournis. Tout ceci gonfle 1299 un peu l'environnement, et c'est la raison pour laquelle vous ne 1300 devez activer cette option qu'� la demande.</p> 1301</li> 1302<li><code>FakeBasicAuth</code> 1303 <p> 1304 Lorsque cette option est activ�e, le Nom Distinctif (DN) sujet du 1305 certificat client X509 est traduit en un nom d'utilisateur pour 1306 l'autorisation HTTP de base. Cela signifie que les m�thodes 1307 d'authentification standard d'Apache peuvent �tre utilis�es pour le 1308 contr�le d'acc�s. Le nom d'utilisateur est tout simplement le Sujet 1309 du certificat X509 du client (il peut �tre d�termin� en utilisant la 1310 commande OpenSSL <code>openssl x509</code> : <code>openssl x509 1311 -noout -subject -in </code><em>certificat</em><code>.crt</code>). 1312 Notez qu'aucun mot de passe n'est envoy� par l'utilisateur. Chaque 1313 entr�e du fichier des utilisateurs doit comporter ce mot de passe : 1314 ``<code>xxj31ZMTZzkVA</code>'', qui est la version chiffr�e en DES 1315 du mot ``<code>password</code>''. Ceux qui travaillent avec un 1316 chiffrement bas� sur MD5 (par exemple sous FreeBSD ou BSD/OS, 1317 etc...) doivent utiliser le condens� MD5 suivant pour le m�me mot : 1318 ``<code>$1$OXLyS...$Owx8s2/m9/gfkcRVXzgoE/</code>''.</p> 1319 1320 <p>Notez que la directive <code class="directive"><a href="/mod/mod_auth_basic.html#authbasicfake">AuthBasicFake</a></code> impl�ment�e par le 1321 module <code class="module"><a href="/mod/mod_auth_basic.html">mod_auth_basic</a></code> peut �tre utilis�e d'une 1322 mani�re plus g�n�rale comme simulation d'authentification basique, 1323 ce qui permet de contr�ler la structure nom utilisateur/mot de 1324 passe.</p> 1325</li> 1326<li><code>StrictRequire</code> 1327 <p> 1328 Cette option <em>force</em> l'interdiction d'acc�s lorsque 1329 <code>SSLRequireSSL</code> ou <code>SSLRequire</code> a d�cid� que 1330 l'acc�s devait �tre interdit. Par d�faut, dans le cas o� 1331 une directive ``<code>Satisfy any</code>'' est utilis�e, et si 1332 d'autres restrictions d'acc�s ont �t� franchies, on passe en g�n�ral 1333 outre l'interdiction d'acc�s due � <code>SSLRequireSSL</code> ou 1334 <code>SSLRequire</code> (parce que c'est ainsi que le m�canisme 1335 <code>Satisfy</code> d'Apache doit fonctionner). Pour des 1336 restrictions d'acc�s plus strictes, vous pouvez cependant utiliser 1337 <code>SSLRequireSSL</code> et/ou <code>SSLRequire</code> en 1338 combinaison avec une option ``<code>SSLOptions 1339 +StrictRequire</code>''. Une directive ``<code>Satisfy Any</code>'' 1340 n'a alors aucune chance d'autoriser l'acc�s si mod_ssl a d�cid� de 1341 l'interdire.</p> 1342</li> 1343<li><code>OptRenegotiate</code> 1344 <p> 1345 Cette option active la gestion optimis�e de la ren�gociation des 1346 connexions SSL intervenant lorsque les directives SSL sont utilis�es 1347 dans un contexte de r�pertoire. Par d�faut un sch�ma strict est 1348 appliqu�, et <em>chaque</em> reconfiguration des param�tres SSL au 1349 niveau du r�pertoire implique une phase de ren�gociation SSL 1350 <em>compl�te</em>. Avec cette option, mod_ssl essaie d'�viter les 1351 �changes non n�cessaires en effectuant des v�rifications de 1352 param�tres plus granulaires (mais tout de m�me efficaces). 1353 N�anmoins, ces v�rifications granulaires peuvent ne pas correspondre 1354 � ce qu'attend l'utilisateur, et il est donc recommand� de n'activer 1355 cette option que dans un contexte de r�pertoire.</p> 1356</li> 1357<li><code>LegacyDNStringFormat</code> 1358 <p> 1359 Cette option permet d'agir sur la mani�re dont les valeurs des 1360 variables <code>SSL_{CLIENT,SERVER}_{I,S}_DN</code> sont format�es. 1361 Depuis la version 2.3.11, Apache HTTPD utilise par d�faut un format 1362 compatible avec la RFC 2253. Ce format utilise des virgules comme 1363 d�limiteurs entre les attributs, permet l'utilisation de caract�res 1364 non-ASCII (qui sont alors convertis en UTF8), �chappe certains 1365 caract�res sp�ciaux avec des slashes invers�s, et trie les attributs 1366 en pla�ant l'attribut "C" en derni�re position.</p> 1367 1368 <p>Si l'option <code>LegacyDNStringFormat</code> est pr�sente, c'est 1369 l'ancien format qui sera utilis� : les attributs sont tri�s avec 1370 l'attribut "C" en premi�re position, les s�parateurs sont des 1371 slashes non invers�s, les caract�res non-ASCII ne sont pas support�s 1372 et le support des caract�res sp�ciaux n'est pas fiable. 1373 </p> 1374</li> 1375</ul> 1376<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLOptions +FakeBasicAuth -StrictRequire 1377<Files ~ "\.(cgi|shtml)$"> 1378 SSLOptions +StdEnvVars -ExportCertData 1379<Files></pre> 1380</div> 1381 1382</div> 1383<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1384<div class="directive-section"><h2><a name="SSLPassPhraseDialog" id="SSLPassPhraseDialog">SSLPassPhraseDialog</a> <a name="sslpassphrasedialog" id="sslpassphrasedialog">Directive</a></h2> 1385<table class="directive"> 1386<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>M�thode utilis�e pour entrer le mot de passe pour les cl�s 1387priv�es chiffr�es</td></tr> 1388<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLPassPhraseDialog <em>type</em></code></td></tr> 1389<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLPassPhraseDialog builtin</code></td></tr> 1390<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 1391<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1392<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1393</table> 1394<p> 1395Lors de son d�marrage, Apache doit lire les diff�rents fichiers de 1396certificats (voir la directive <code class="directive"><a href="#sslcertificatefile">SSLCertificateFile</a></code>) et de cl�s priv�es 1397(voir la directive <code class="directive"><a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></code>) des serveurs 1398virtuels o� SSL est activ�. Comme, pour des raisons de s�curit�, les 1399fichiers de cl�s priv�es sont en g�n�ral chiffr�s, mod_ssl doit 1400demander � l'administrateur un mot de passe pour d�chiffrer ces 1401fichiers. L'argument <em>type</em> permet de choisir la mani�re dont 1402cette demande peut �tre formul�e parmi les trois suivantes :</p> 1403<ul> 1404<li><code>builtin</code> 1405 <p> 1406 C'est la m�thode par d�faut, et un dialogue interactive de terminal 1407 s'ouvre au cours du d�marrage juste avant qu'Apache ne se d�tache du 1408 terminal. A ce moment, l'administrateur doit entrer manuellement un 1409 mot de passe pour chaque fichier de cl� priv�e chiffr�. Etant donn� 1410 qu'il peut y avoir un grand nombre de serveurs virtuels configur�s 1411 avec SSL activ�, le protocole de r�utilisation suivant est utilis� 1412 pour minimiser le dialogue : lorsqu'un fichier de cl� priv�e est 1413 chiffr�, tous les mots de passe connus (au d�but, il n'y en a aucun, 1414 bien entendu) sont essay�s. Si l'un de ces mots de passe connus 1415 convient, aucun dialogue ne s'ouvrira pour ce fichier de 1416 cl� priv�e particulier. Si aucun ne convient, un autre mot de passe 1417 sera demand� � partir du terminal et sera mis en m�moire pour le 1418 fichier de cl� priv�e suivant (pour lequel il pourra �ventuellement 1419 �tre r�utilis�).</p> 1420 <p> 1421 Cette m�thode conf�re � mod_ssl une grande souplesse (car pour N 1422 fichiers de cl� priv�e chiffr�s, vous <em>pouvez</em> utiliser N 1423 mots de passe diff�rents - mais vous devrez alors tous les fournir, 1424 bien entendu), tout en minimisant le dialogue de terminal (vous 1425 pouvez en effet utiliser un seul mot de passe pour les N fichiers de 1426 cl� priv�e et vous n'aurez alors � l'entrer qu'une seule 1427 fois).</p></li> 1428 1429<li><code>|/chemin/vers/programme [arguments...]</code> 1430 1431 <p>Ce mode permet d'utiliser un programme externe qui va se pr�senter 1432 comme une redirection vers un p�riph�rique d'entr�e particulier ; le 1433 texte de prompt standard utilis� pour le mode <code>builtin</code> 1434 est envoy� au programme sur <code>stdin</code>, et celui-ci doit 1435 renvoyer des mots de passe sur <code>stdout</code>. Si 1436 plusieurs mots de passe sont requis (ou si un mot de passe incorrect 1437 a �t� entr�), un texte de prompt suppl�mentaire sera �crit apr�s le 1438 retour du premier mot de passe, et d'autres mots de passe devront 1439 alors �tre r��crits.</p></li> 1440 1441<li><code>exec:/chemin/vers/programme</code> 1442 <p> 1443 Ici, un programme externe est appel� au d�marrage du serveur pour 1444 chaque fichier de cl� priv�e chiffr�. Il est appel� avec deux 1445 arguments (le premier est de la forme 1446 ``<code>nom-serveur:port</code>'', le second 1447 est ``<code>RSA</code>'', ``<code>DSA</code>'' ou ``<code>ECC</code>''), qui 1448 indiquent pour quels serveur et algorithme il doit �crire le mot de 1449 passe correspondant sur <code>stdout</code>. Le but recherch� est 1450 l'ex�cution de v�rifications de s�curit� pr�alables permettant de 1451 s'assurer que le syst�me n'est pas victime d'une attaque, et de ne 1452 fournir le mot de passe que si toutes les v�rifications ont �t� 1453 effectu�es avec succ�s.</p> 1454 <p> 1455 Ces v�rifications de s�curit�, ainsi que la mani�re dont le mot de 1456 passe est d�termin� peuvent �tre aussi sophistiqu�s que vous le 1457 d�sirez. Mod_ssl ne d�finit que l'interface : un programme 1458 ex�cutable qui �crit le mot de passe sur <code>stdout</code>. Ni 1459 plus, ni moins ! Ainsi, si vous �tes vraiment parano�aque en mati�re 1460 de s�curit�, voici votre interface. Tout le reste doit �tre confi� � 1461 l'administrateur � titre d'exercice, car les besoins en s�curit� 1462 locale sont tr�s diff�rents.</p> 1463 <p> 1464 L'algorithme de r�utilisation est utilis� ici aussi. En d'autres 1465 termes, le programme externe n'est appel� qu'une fois par mot de 1466 passe unique.</p></li> 1467</ul> 1468<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLPassPhraseDialog exec:/usr/local/apache/sbin/pp-filter</pre> 1469</div> 1470 1471</div> 1472<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1473<div class="directive-section"><h2><a name="SSLProtocol" id="SSLProtocol">SSLProtocol</a> <a name="sslprotocol" id="sslprotocol">Directive</a></h2> 1474<table class="directive"> 1475<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Indique les versions du protocole SSL/TLS 1476disponibles</td></tr> 1477<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProtocol [+|-]<em>protocole</em> ...</code></td></tr> 1478<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProtocol all</code></td></tr> 1479<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1480<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1481<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1482</table> 1483<p> 1484Cette directive permet de d�finir quelles versions du protocole SSL/TLS 1485seront accept�es lors de l'initialisation d'une nouvelle connexion.</p> 1486<p> 1487Les <em>protocole</em>s disponibles sont les suivants (sensibles � la 1488casse) :</p> 1489<ul> 1490<li><code>SSLv3</code> 1491 <p> 1492 Il s'agit du protocole Secure Sockets Layer (SSL) version 3.0 de 1493 Netscape Corporation. C'est le successeur de SSLv2 et le 1494 pr�d�cesseur de TLSv1.</p></li> 1495 1496<li><code>TLSv1</code> 1497 <p> 1498 Il s'agit du protocole Transport Layer Security (TLS) version 1.0. 1499 C'est le successeur de SSLv3, et il est d�fini dans la <a href="http://www.ietf.org/rfc/rfc2246.txt">RFC2246</a>. Il est 1500 support� par la plupart des clients.</p></li> 1501 1502<li><code>TLSv1.1</code> (� partir de la version 1.0.1 d'OpenSSL) 1503 <p> 1504 Une r�vision du protocole TLS 1.0 d�finie dans la <a href="http://www.ietf.org/rfc/rfc4346.txt">RFC 4346</a>.</p></li> 1505 1506<li><code>TLSv1.2</code> (� partir de la version 1.0.1 d'OpenSSL) 1507 <p> 1508 Une r�vision du protocole TLS 1.1 d�finie dans la <a href="http://www.ietf.org/rfc/rfc5246.txt">RFC 5246</a>.</p></li> 1509 1510<li><code>all</code> 1511 <p> 1512 C'est un raccourci pour ``<code>+SSLv3 +TLSv1</code>'' ou - � partir 1513 de la version 1.0.1 d'OpenSSL - ``<code>+SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2</code>.</p></li> 1514</ul> 1515<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProtocol TLSv1</pre> 1516</div> 1517 1518</div> 1519<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1520<div class="directive-section"><h2><a name="SSLProxyCACertificateFile" id="SSLProxyCACertificateFile">SSLProxyCACertificateFile</a> <a name="sslproxycacertificatefile" id="sslproxycacertificatefile">Directive</a></h2> 1521<table class="directive"> 1522<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concat�nation des certificats de CA 1523cod�s en PEM pour l'authentification des serveurs distants</td></tr> 1524<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCACertificateFile <em>file-path</em></code></td></tr> 1525<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1526<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1527<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1528</table> 1529<p> 1530Cette directive permet de d�finir le fichier <em>tout-en-un</em> o� sont 1531stock�s les certificats des Autorit�s de Certification (CA) pour les 1532<em>serveurs distants</em> auxquels vous avez � faire. On les utilise 1533lors de l'authentification du serveur distant. Un tel fichier contient 1534la simple concat�nation des diff�rents fichiers de certificats cod�s en 1535PEM, class�s par ordre de pr�f�rence. On peut utiliser cette directive � 1536la place et/ou en compl�ment de la directive <code class="directive"><a href="#sslproxycacertificatepath">SSLProxyCACertificatePath</a></code>.</p> 1537<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCACertificateFile 1538/usr/local/apache2/conf/ssl.crt/ca-bundle-serveur.distant.crt</pre> 1539</div> 1540 1541</div> 1542<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1543<div class="directive-section"><h2><a name="SSLProxyCACertificatePath" id="SSLProxyCACertificatePath">SSLProxyCACertificatePath</a> <a name="sslproxycacertificatepath" id="sslproxycacertificatepath">Directive</a></h2> 1544<table class="directive"> 1545<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>R�pertoire des certificats de CA cod�s en PEM pour 1546l'authentification des serveurs distants</td></tr> 1547<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCACertificatePath <em>chemin-r�pertoire</em></code></td></tr> 1548<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1549<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1550<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1551</table> 1552<p> 1553Cette directive permet de sp�cifier le r�pertoire o� sont stock�s les 1554certificats des Autorit�s de Certification (CAs) pour les serveurs 1555distants auxquels vous avez � faire. On les utilise pour v�rifier le 1556certificat du serveur distant lors de l'authentification de ce 1557dernier.</p> 1558<p> 1559Les fichiers de ce r�pertoire doivent �tre cod�s en PEM et ils sont 1560acc�d�s via des noms de fichier sous forme de condens�s ou hash. Il ne 1561suffit donc pas de placer les fichiers de certificats dans ce r�pertoire 1562: vous devez aussi cr�er des liens symboliques nomm�s 1563<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous 1564assurer que ce r�pertoire contient les liens symboliques appropri�s.</p> 1565<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCACertificatePath /usr/local/apache2/conf/ssl.crt/</pre> 1566</div> 1567 1568</div> 1569<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1570<div class="directive-section"><h2><a name="SSLProxyCARevocationCheck" id="SSLProxyCARevocationCheck">SSLProxyCARevocationCheck</a> <a name="sslproxycarevocationcheck" id="sslproxycarevocationcheck">Directive</a></h2> 1571<table class="directive"> 1572<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la v�rification des r�vocations bas�e sur les CRLs 1573pour l'authentification du serveur distant</td></tr> 1574<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationCheck chain|leaf|none</code></td></tr> 1575<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyCARevocationCheck none</code></td></tr> 1576<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1577<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1578<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1579</table> 1580<p> 1581Active la v�rification des r�vocations bas�e sur les Listes de 1582r�vocations de Certificats (CRL) pour les <em>serveurs distants</em> 1583auxquels vous vous connectez. A moins une des directives <code class="directive"><a href="#sslproxycarevocationfile">SSLProxyCARevocationFile</a></code> ou <code class="directive"><a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></code> doit �tre d�finie. 1584Lorsque cette directive est d�finie � <code>chain</code> (valeur 1585recommand�e), les v�rifications CRL sont effectu�es sur tous les 1586certificats de la cha�ne, alors que la valeur <code>leaf</code> limite 1587la v�rification au certificat hors cha�ne (la feuille). 1588</p> 1589<div class="note"> 1590<h3>Lorsque la directive est d�finie � <code>chain</code> ou 1591<code>leaf</code>, les CRLs doivent �tre disponibles pour que la 1592validation r�ussisse</h3> 1593<p> 1594Avant la version 2.3.15, les v�rifications CRL dans mod_ssl 1595r�ussissaient m�me si aucune CRL n'�tait trouv�e dans les chemins 1596d�finis par les directives <code class="directive"><a href="#sslproxycarevocationfile">SSLProxyCARevocationFile</a></code> ou <code class="directive"><a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></code>. Le comportement a 1597chang� avec l'introduction de cette directive : lorsque la v�rification 1598est activ�e, les CRLs <em>doivent</em> �tre pr�sentes pour que la 1599validation r�ussisse ; dans le cas contraire, elle �chouera avec une 1600erreur <code>"CRL introuvable"</code>. 1601</p> 1602</div> 1603<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationCheck chain</pre> 1604</div> 1605 1606</div> 1607<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1608<div class="directive-section"><h2><a name="SSLProxyCARevocationFile" id="SSLProxyCARevocationFile">SSLProxyCARevocationFile</a> <a name="sslproxycarevocationfile" id="sslproxycarevocationfile">Directive</a></h2> 1609<table class="directive"> 1610<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concat�nation des CRLs de CA cod�s en 1611PEM pour l'authentification des serveurs distants</td></tr> 1612<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationFile <em>chemin-fichier</em></code></td></tr> 1613<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1614<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1615<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1616</table> 1617<p> 1618Cette directive permet de d�finir le fichier <em>tout-en-un</em> o� sont 1619rassembl�es les Listes de R�vocation de Certificats (CRLs) des Autorit�s 1620de certification (CAs) pour les <em>serveurs distants</em> auxquels vous 1621avez � faire. On les utilise pour l'authentification des serveurs 1622distants. Un tel fichier contient la simple concat�nation des diff�rents 1623fichiers de CRLs cod�s en PEM, class�s par ordre de pr�f�rence. Cette 1624directive peut �tre utilis�e � la place et/ou en compl�ment de la 1625directive <code class="directive"><a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></code>.</p> 1626<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationFile 1627/usr/local/apache2/conf/ssl.crl/ca-bundle-serveur.distant.crl</pre> 1628</div> 1629 1630</div> 1631<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1632<div class="directive-section"><h2><a name="SSLProxyCARevocationPath" id="SSLProxyCARevocationPath">SSLProxyCARevocationPath</a> <a name="sslproxycarevocationpath" id="sslproxycarevocationpath">Directive</a></h2> 1633<table class="directive"> 1634<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>R�pertoire des CRLs de CA cod�s en PEM pour 1635l'authentification des serveurs distants</td></tr> 1636<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationPath <em>chemin-r�pertoire</em></code></td></tr> 1637<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1638<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1639<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1640</table> 1641<p> 1642Cette directive permet de d�finir le r�pertoire o� sont stock�es les 1643Listes de R�vocation de Certificats (CRL) des Autorit�s de Certification 1644(CAs) pour les serveurs distants auxquels vous avez � faire. On les 1645utilise pour r�voquer les certificats des serveurs distants au cours de 1646l'authentification de ces derniers.</p> 1647<p> 1648Les fichiers de ce r�pertoire doivent �tre cod�s en PEM et ils sont 1649acc�d�s via des noms de fichier sous forme de condens�s ou hash. Il ne 1650suffit donc pas de placer les fichiers de CRL dans ce r�pertoire 1651: vous devez aussi cr�er des liens symboliques nomm�s 1652<em>valeur-de-hashage</em><code>.rN</code>, et vous devez toujours vous 1653assurer que ce r�pertoire contient les liens symboliques appropri�s.</p> 1654<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationPath /usr/local/apache2/conf/ssl.crl/</pre> 1655</div> 1656 1657</div> 1658<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1659<div class="directive-section"><h2><a name="SSLProxyCheckPeerCN" id="SSLProxyCheckPeerCN">SSLProxyCheckPeerCN</a> <a name="sslproxycheckpeercn" id="sslproxycheckpeercn">Directive</a></h2> 1660<table class="directive"> 1661<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration de la v�rification du champ CN du certificat 1662du serveur distant 1663</td></tr> 1664<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerCN on|off</code></td></tr> 1665<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyCheckPeerCN on</code></td></tr> 1666<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1667<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1668<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1669</table> 1670<p> 1671Cette directive permet de d�finir si le champ CN du certificat 1672du serveur distant doit �tre compar� au nom de serveur de l'URL de la 1673requ�te. S'ils ne correspondent pas, un 1674code d'�tat 502 (Bad Gateway) est envoy�. 1675</p> 1676<p> 1677A partir de la version 2.4.5, SSLProxyCheckPeerCN a �t� remplac� par <code class="directive"><a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></code>, et sa d�finition 1678n'est prise en compte que si <code>SSLProxyCheckPeerName off</code> a 1679�t� sp�cifi�. 1680</p> 1681<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerCN on</pre> 1682</div> 1683 1684</div> 1685<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1686<div class="directive-section"><h2><a name="SSLProxyCheckPeerExpire" id="SSLProxyCheckPeerExpire">SSLProxyCheckPeerExpire</a> <a name="sslproxycheckpeerexpire" id="sslproxycheckpeerexpire">Directive</a></h2> 1687<table class="directive"> 1688<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration de la v�rification de l'expiration du 1689certificat du serveur distant 1690</td></tr> 1691<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerExpire on|off</code></td></tr> 1692<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyCheckPeerExpire on</code></td></tr> 1693<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1694<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1695<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1696</table> 1697<p> 1698Cette directive permet de d�finir si l'expiration du certificat du 1699serveur distant doit �tre v�rifi�e ou non. Si la v�rification �choue, un 1700code d'�tat 502 (Bad Gateway) est envoy�. 1701</p> 1702<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerExpire on</pre> 1703</div> 1704 1705</div> 1706<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1707<div class="directive-section"><h2><a name="SSLProxyCheckPeerName" id="SSLProxyCheckPeerName">SSLProxyCheckPeerName</a> <a name="sslproxycheckpeername" id="sslproxycheckpeername">Directive</a></h2> 1708<table class="directive"> 1709<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configure la v�rification du nom d'h�te dans les 1710certificats serveur distants 1711</td></tr> 1712<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerName on|off</code></td></tr> 1713<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyCheckPeerName on</code></td></tr> 1714<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1715<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1716<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1717<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible � partir de la version 2.4.5 du serveur HTTP 1718Apache</td></tr> 1719</table> 1720<p> 1721Cette directive permet de configurer la v�rification du nom d'h�te dans 1722les certificats de serveur lorsque mod_ssl agit en tant que client SSL. 1723La v�rification est concluante si le nom d'h�te de l'URI de la requ�te 1724correspond soit � l'extension subjectAltName, soit � l'un des attributs 1725CN dans le sujet du certificat. Si la v�rification �choue, la requ�te 1726SSL est annul�e et un code d'erreur 502 (Bad Gateway) est renvoy�. Cette 1727directive remplace la directive <code class="directive"><a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></code> qui ne prenait en 1728compte que le premier attribut CN pour la v�rification du nom d'h�te. 1729</p> 1730<p> 1731La v�rification du nom d'h�te avec caract�res g�n�rique est support�e de 1732la mani�re suivante : les entr�es subjectAltName de type dNSName ou les 1733attributs CN commen�ant par <code>*.</code> correspondront � tout nom 1734DNS comportant le m�me nombre d'�l�ments et le m�me suffixe (par 1735exemple, <code>*.example.org</code> correspondra � 1736<code>foo.example.org</code>, mais pas � 1737<code>foo.bar.example.org</code>). 1738</p> 1739 1740</div> 1741<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1742<div class="directive-section"><h2><a name="SSLProxyCipherSuite" id="SSLProxyCipherSuite">SSLProxyCipherSuite</a> <a name="sslproxyciphersuite" id="sslproxyciphersuite">Directive</a></h2> 1743<table class="directive"> 1744<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Algorithmes de chiffrement disponibles pour la n�gociation 1745lors de l'initialisation d'une connexion SSL de mandataire</td></tr> 1746<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCipherSuite <em>algorithmes</em></code></td></tr> 1747<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP</code></td></tr> 1748<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, r�pertoire, .htaccess</td></tr> 1749<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 1750<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1751<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1752</table> 1753<p>Cette directive est �quivalente � la directive 1754<code>SSLCipherSuite</code>, mais s'applique � une connexion de 1755mandataire. Veuillez vous reporter � la directive <code class="directive"><a href="#sslciphersuite">SSLCipherSuite</a></code> pour plus 1756d'informations.</p> 1757 1758</div> 1759<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1760<div class="directive-section"><h2><a name="SSLProxyEngine" id="SSLProxyEngine">SSLProxyEngine</a> <a name="sslproxyengine" id="sslproxyengine">Directive</a></h2> 1761<table class="directive"> 1762<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interrupteur marche/arr�t du moteur de mandataire 1763SSL</td></tr> 1764<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyEngine on|off</code></td></tr> 1765<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyEngine off</code></td></tr> 1766<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1767<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1768<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1769</table> 1770<p> 1771Cette directive permet d'activer/d�sactiver l'utilisation du moteur de 1772protocole SSL/TLS pour le mandataire. On l'utilise en g�n�ral � 1773l'int�rieur d'une section <code class="directive"><a href="/mod/core.html#virtualhost"><VirtualHost></a></code> pour activer le protocole SSL/TLS 1774dans le cadre d'un mandataire pour un serveur virtuel particulier. Par 1775d�faut, le moteur de protocole SSL/TLS est d�sactiv� pour la fonction de 1776mandataire du serveur principal et de tous les serveurs virtuels 1777configur�s.</p> 1778 1779<p>Notez que la directive SSLProxyEngine ne doit g�n�ralement pas �tre 1780utilis�e dans le cadre d'un serveur virtuel qui agit en tant que 1781mandataire direct (via les directives <Proxy> ou 1782<ProxyRequest>). SSLProxyEngine n'est pas n�cessaire pour activer 1783un serveur mandataire direct pour les requ�tes SSL/TLS.</p> 1784 1785 1786<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config"><VirtualHost _default_:443> 1787 SSLProxyEngine on 1788 #... 1789</VirtualHost></pre> 1790</div> 1791 1792</div> 1793<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1794<div class="directive-section"><h2><a name="SSLProxyMachineCertificateChainFile" id="SSLProxyMachineCertificateChainFile">SSLProxyMachineCertificateChainFile</a> <a name="sslproxymachinecertificatechainfile" id="sslproxymachinecertificatechainfile">Directive</a></h2> 1795<table class="directive"> 1796<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier de certificats de CA encod�s PEM concat�n�s permettant au 1797mandataire de choisir un certificat</td></tr> 1798<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificateChainFile <em>nom-fichier</em></code></td></tr> 1799<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 1800<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr> 1801<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1802<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1803</table> 1804<p> 1805Cette directive permet de d�finir le fichier global o� est enregistr�e 1806la cha�ne de certification pour tous les certificats clients utilis�s. 1807Elle est n�cessaire si le serveur distant pr�sente une liste de 1808certificats de CA qui ne sont pas les signataires directs d'un des 1809certificats clients configur�s. 1810</p> 1811<p> 1812Ce fichier contient tout simplement la concat�nation des diff�rents 1813fichiers de certificats encod�s PEM. Au d�marrage, chaque certificat 1814client configur� est examin� et une cha�ne de certification est 1815construite. 1816</p> 1817<div class="warning"><h3>Avertissement en mati�re de s�curit�</h3> 1818<p>Si cette directive est d�finie, tous les certificats contenus dans le 1819fichier sp�cifi� seront consid�r�s comme �tant de confiance, comme s'ils 1820�taient aussi d�sign�s dans la directive <code class="directive"><a href="#sslproxycacertificatefile">SSLProxyCACertificateFile</a></code>.</p> 1821</div> 1822<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificateChainFile /usr/local/apache2/conf/ssl.crt/proxyCA.pem</pre> 1823</div> 1824 1825</div> 1826<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1827<div class="directive-section"><h2><a name="SSLProxyMachineCertificateFile" id="SSLProxyMachineCertificateFile">SSLProxyMachineCertificateFile</a> <a name="sslproxymachinecertificatefile" id="sslproxymachinecertificatefile">Directive</a></h2> 1828<table class="directive"> 1829<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concat�nation des cl�s et certificats 1830clients cod�s en PEM que le mandataire doit utiliser</td></tr> 1831<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificateFile <em>chemin-fichier</em></code></td></tr> 1832<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 1833<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr> 1834<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1835<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1836</table> 1837<p> 1838Cette directive permet de d�finir le fichier tout-en-un o� sont stock�s 1839les cl�s et certificats permettant au serveur mandataire de 1840s'authentifier aupr�s des serveurs distants. 1841</p> 1842<p> 1843Le fichier sp�cifi� est la simple concat�nation des diff�rents fichiers 1844de certificats cod�s en PEM, class�s par ordre de pr�f�rence. Cette 1845directive s'utilise � la place ou en compl�ment de la directive 1846<code>SSLProxyMachineCertificatePath</code>. 1847</p> 1848<div class="warning"> 1849<p>Actuellement, les cl�s priv�es chiffr�es ne sont pas support�es.</p> 1850</div> 1851<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificateFile /usr/local/apache2/conf/ssl.crt/proxy.pem</pre> 1852</div> 1853 1854</div> 1855<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1856<div class="directive-section"><h2><a name="SSLProxyMachineCertificatePath" id="SSLProxyMachineCertificatePath">SSLProxyMachineCertificatePath</a> <a name="sslproxymachinecertificatepath" id="sslproxymachinecertificatepath">Directive</a></h2> 1857<table class="directive"> 1858<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>R�pertoire des cl�s et certificats clients cod�s en PEM que 1859le mandataire doit utiliser</td></tr> 1860<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificatePath <em>chemin-r�pertoire</em></code></td></tr> 1861<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 1862<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr> 1863<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1864<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1865</table> 1866<p> 1867Cette directive permet de d�finir le r�pertoire o� sont stock�s les cl�s 1868et certificats permettant au serveur mandataire de s'authentifier aupr�s 1869des serveurs distants. 1870</p> 1871<p>Les fichiers de ce r�pertoire doivent �tre cod�s en PEM et ils sont 1872acc�d�s via des noms de fichier sous forme de condens�s ou hash. Vous 1873devez donc aussi cr�er des liens symboliques nomm�s 1874<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous 1875assurer que ce r�pertoire contient les liens symboliques appropri�s.</p> 1876<div class="warning"> 1877<p>Actuellement, les cl�s priv�es chiffr�es ne sont pas support�es.</p> 1878</div> 1879<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificatePath /usr/local/apache2/conf/proxy.crt/</pre> 1880</div> 1881 1882</div> 1883<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1884<div class="directive-section"><h2><a name="SSLProxyProtocol" id="SSLProxyProtocol">SSLProxyProtocol</a> <a name="sslproxyprotocol" id="sslproxyprotocol">Directive</a></h2> 1885<table class="directive"> 1886<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D�finit les protocoles SSL disponibles pour la fonction de 1887mandataire</td></tr> 1888<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyProtocol [+|-]<em>protocole</em> ...</code></td></tr> 1889<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyProtocol all</code></td></tr> 1890<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1891<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Options</td></tr> 1892<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1893<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1894</table> 1895 1896<p> 1897Cette directive permet de d�finir les protocoles SSL que mod_ssl peut 1898utiliser lors de l'�laboration de son environnement de serveur pour la 1899fonction de mandataire. Il ne se connectera qu'aux serveurs utilisant un 1900des protocoles sp�cifi�s.</p> 1901<p>Veuillez vous reporter � la directive <code class="directive"><a href="#sslprotocol">SSLProtocol</a></code> pour plus d'informations. 1902</p> 1903 1904</div> 1905<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1906<div class="directive-section"><h2><a name="SSLProxyVerify" id="SSLProxyVerify">SSLProxyVerify</a> <a name="sslproxyverify" id="sslproxyverify">Directive</a></h2> 1907<table class="directive"> 1908<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de v�rification du certificat du serveur 1909distant</td></tr> 1910<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyVerify <em>niveau</em></code></td></tr> 1911<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyVerify none</code></td></tr> 1912<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1913<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1914<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1915</table> 1916 1917<p>Lorsqu'un mandataire est configur� pour faire suivre les requ�tes 1918vers un serveur SSL distant, cette directive permet de configurer la 1919v�rification du certificat de ce serveur distant.</p> 1920 1921<p> 1922Les valeurs de <em>niveau</em>x disponibles sont les suivantes :</p> 1923<ul> 1924<li><strong>none</strong>: 1925 aucun certificat n'est requis pour le serveur distant</li> 1926<li><strong>optional</strong>: 1927 le serveur distant <em>peut</em> pr�senter un certificat valide</li> 1928<li><strong>require</strong>: 1929 le serveur distant <em>doit</em> pr�senter un certificat valide</li> 1930<li><strong>optional_no_ca</strong>: 1931 le serveur distant peut pr�senter un certificat valide<br /> 1932 mais il n'est pas n�cessaire qu'il soit v�rifiable (avec succ�s).</li> 1933</ul> 1934<p>En pratique, seuls les niveaux <strong>none</strong> et 1935<strong>require</strong> sont vraiment int�ressants, car le niveau 1936<strong>optional</strong> ne fonctionne pas avec tous les serveurs, et 1937le niveau <strong>optional_no_ca</strong> va tout � fait � l'encontre de 1938l'id�e que l'on peut se faire de l'authentification (mais peut tout de 1939m�me �tre utilis� pour �tablir des pages de test SSL, etc...).</p> 1940 1941<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyVerify require</pre> 1942</div> 1943 1944</div> 1945<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1946<div class="directive-section"><h2><a name="SSLProxyVerifyDepth" id="SSLProxyVerifyDepth">SSLProxyVerifyDepth</a> <a name="sslproxyverifydepth" id="sslproxyverifydepth">Directive</a></h2> 1947<table class="directive"> 1948<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de profondeur maximum dans les certificats de CA 1949lors de la v�rification du certificat du serveur distant</td></tr> 1950<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyVerifyDepth <em>niveau</em></code></td></tr> 1951<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLProxyVerifyDepth 1</code></td></tr> 1952<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 1953<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 1954<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1955<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1956</table> 1957<p> 1958Cette directive permet de d�finir le niveau de profondeur maximum 1959jusqu'auquel mod_ssl doit aller au cours de sa v�rification avant de 1960d�cider que le serveur distant ne poss�de pas de certificat valide.</p> 1961<p> 1962La profondeur correspond en fait au nombre maximum de fournisseurs de 1963certificats interm�diaires, c'est � dire le nombre maximum de 1964certificats 1965de CA que l'on peut consulter lors de la v�rification du certificat du 1966serveur distant. Une profondeur de 0 signifie que seuls les certificats 1967de serveurs distants auto-sign�s sont accept�s, et la profondeur par 1968d�faut de 1 que le certificat du serveur distant peut �tre soit 1969auto-sign�, soit sign� par une CA connue directement du serveur (en 1970d'autres termes, le certificat de CA est r�f�renc� par la directive 1971<code class="directive"><a href="#sslproxycacertificatepath">SSLProxyCACertificatePath</a></code>), 1972etc...</p> 1973<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyVerifyDepth 10</pre> 1974</div> 1975 1976</div> 1977<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 1978<div class="directive-section"><h2><a name="SSLRandomSeed" id="SSLRandomSeed">SSLRandomSeed</a> <a name="sslrandomseed" id="sslrandomseed">Directive</a></h2> 1979<table class="directive"> 1980<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Source de d�clenchement du G�n�rateur de Nombres 1981Pseudo-Al�atoires (PRNG)</td></tr> 1982<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRandomSeed <em>contexte</em> <em>source</em> 1983[<em>nombre</em>]</code></td></tr> 1984<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 1985<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 1986<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 1987</table> 1988<p> 1989Cette directive permet de d�finir une ou plusieurs sources de 1990d�clenchement du G�n�rateur de Nombres Pseudo-Al�atoires (PRNG) dans 1991OpenSSL au d�marrage du serveur (si <em>contexte</em> a pour valeur 1992<code>startup</code>) et/ou juste avant l'�tablissement d'une nouvelle 1993connexion SSL (si <em>contexte</em> a pour valeur <code>connect</code>). 1994Cette directive ne peut �tre utilis�e qu'au niveau du serveur global car 1995le PRNG est un service global.</p> 1996<p> 1997Les diff�rentes valeurs de <em>source</em> disponibles sont :</p> 1998<ul> 1999<li><code>builtin</code> 2000 <p>Cette source de d�clenchement int�gr�e est toujours disponible. 2001 Son utilisation consomme un minimum de cycles CPU en cours 2002 d'ex�cution, et son utilisation ne pr�sente de ce fait aucun 2003 probl�me. La source utilis�e pour d�clencher le PRNG contient la 2004 date courante, l'identifiant du processus courant et (si disponible) 2005 un extrait de 1Ko al�atoirement choisi de la structure d'Apache pour 2006 les �changes inter-processus. Ceci pr�sente un inconv�nient car le 2007 caract�re al�atoire de cette source n'est pas vraiment fort, et au 2008 d�marrage (lorsque la structure d'�changes n'est pas encore 2009 disponible), cette source ne produit que quelques octets d'entropie. 2010 Vous devez donc toujours utiliser une source de d�clenchement 2011 additionnelle, au moins pour le d�marrage.</p></li> 2012<li><code>file:/chemin/vers/source</code> 2013 <p> 2014 Cette variante utilise un fichier externe 2015 <code>file:/chemin/vers/source</code> comme source de d�clenchement 2016 du PRNG. Lorsque <em>nombre</em> est sp�cifi�, seuls les 2017 <em>nombre</em> premiers octets du fichier forment l'entropie (et 2018 <em>nombre</em> est fourni comme premier argument � 2019 <code>/chemin/vers/source</code>). Lorsque <em>nombre</em> n'est pas 2020 sp�cifi�, l'ensemble du fichier forme l'entropie (et <code>0</code> 2021 est fourni comme premier argument � 2022 <code>/chemin/vers/source</code>). Utilisez cette source en 2023 particulier au d�marrage, par exemple avec un fichier de 2024 p�riph�rique <code>/dev/random</code> et/ou 2025 <code>/dev/urandom</code> (qui sont en g�n�ral pr�sent sur les 2026 plate-formes d�riv�es d'Unix modernes comme FreeBSD et Linux).</p> 2027 <p><em>Soyez cependant prudent</em> : en g�n�ral, 2028 <code>/dev/random</code> ne fournit que l'entropie dont il dispose 2029 r�ellement ; en d'autres termes, lorsque vous demandez 512 octets 2030 d'entropie, si le p�riph�rique ne dispose que de 100 octets, deux 2031 choses peuvent se produire : sur certaines plates-formes, vous ne 2032 recevez que les 100 octets, alors que sur d'autres, la lecture se 2033 bloque jusqu'� ce qu'un nombre suffisant d'octets soit disponible 2034 (ce qui peut prendre beaucoup de temps). Il est pr�f�rable ici 2035 d'utiliser le p�riph�rique <code>/dev/urandom</code>, car il ne se 2036 bloque jamais et fournit vraiment la quantit� de donn�es demand�es. 2037 Comme inconv�nient, les donn�es re�ues ne sont pas forc�ment de la 2038 meilleure qualit�.</p></li> 2039 2040<li><code>exec:/chemin/vers/programme</code> 2041 <p> 2042 Cette variante utilise un ex�cutable externe 2043 <code>/chemin/vers/programme</code> comme source de d�clenchement du 2044 PRNG. Lorsque <em>nombre</em> est sp�cifi�, seules les 2045 <em>nombre</em> premiers octets de son flux <code>stdout</code> 2046 forment l'entropie. Lorsque <em>nombre</em> n'est pas sp�cifi�, 2047 l'int�gralit� des donn�es produites sur <code>stdout</code> forment 2048 l'entropie. N'utilisez cette variante qu'au d�marrage o� une source 2049 de d�clenchement fortement al�atoire est n�cessaire, en utilisant 2050 un programme externe (comme dans l'exemple 2051 ci-dessous avec l'utilitaire <code>truerand</code> bas� sur la 2052 biblioth�que <em>truerand</em> de AT&T que vous trouverez 2053 dans la distribution de mod_ssl). Bien entendu, l'utilisation de 2054 cette variante dans un contexte "connection" ralentit le serveur de 2055 mani�re trop importante, et en g�n�ral, vous devez donc �viter 2056 d'utiliser des programmes externes dans ce contexte.</p></li> 2057<li><code>egd:/chemin/vers/socket-egd</code> (Unix seulement) 2058 <p>Cette variante utilise le socket de domaine Unix du D�mon 2059 G�n�rateur d'Entropie externe ou Entropy Gathering Daemon ou EGD 2060 (voir <a href="http://www.lothar.com/tech/crypto/">http://www.lothar.com/tech 2061 /crypto/</a>) pour d�clencher le PRNG. N'utilisez cette variante que 2062 si votre plate-forme ne poss�de pas de p�riph�rique random ou 2063 urandom.</p></li> 2064</ul> 2065<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRandomSeed startup builtin 2066SSLRandomSeed startup file:/dev/random 2067SSLRandomSeed startup file:/dev/urandom 1024 2068SSLRandomSeed startup exec:/usr/local/bin/truerand 16 2069SSLRandomSeed connect builtin 2070SSLRandomSeed connect file:/dev/random 2071SSLRandomSeed connect file:/dev/urandom 1024</pre> 2072</div> 2073 2074</div> 2075<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2076<div class="directive-section"><h2><a name="SSLRenegBufferSize" id="SSLRenegBufferSize">SSLRenegBufferSize</a> <a name="sslrenegbuffersize" id="sslrenegbuffersize">Directive</a></h2> 2077<table class="directive"> 2078<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>D�finit la taille du tampon de ren�gociation 2079SSL</td></tr> 2080<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRenegBufferSize <var>taille</var></code></td></tr> 2081<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLRenegBufferSize 131072</code></td></tr> 2082<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r�pertoire, .htaccess</td></tr> 2083<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 2084<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2085<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2086</table> 2087 2088<p>Si une ren�gociation SSL est requise dans un contexte de r�pertoire, 2089par exemple avec l'utilisation de <code class="directive"><a href="#sslverifyclient">SSLVerifyClient</a></code> dans un bloc Directory ou 2090Location, mod_ssl doit mettre en tampon en m�moire tout corps de requ�te 2091HTTP en attendant qu'une nouvelle initialisation de connexion SSL puisse 2092�tre effectu�e. Cette directive permet de d�finir la quantit� de m�moire 2093� allouer pour ce tampon.</p> 2094 2095<div class="warning"><p> 2096Notez que dans de nombreuses configurations, le client qui envoie un 2097corps de requ�te n'est pas forc�ment digne de confiance, et l'on doit 2098par cons�quent prendre en consid�ration la possibilit� d'une attaque de 2099type d�ni de service lorsqu'on modifie la valeur de cette directive. 2100</p></div> 2101 2102<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRenegBufferSize 262144</pre> 2103</div> 2104 2105</div> 2106<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2107<div class="directive-section"><h2><a name="SSLRequire" id="SSLRequire">SSLRequire</a> <a name="sslrequire" id="sslrequire">Directive</a></h2> 2108<table class="directive"> 2109<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>N'autorise l'acc�s que lorsqu'une expression bool�enne 2110complexe et arbitraire est vraie</td></tr> 2111<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRequire <em>expression</em></code></td></tr> 2112<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r�pertoire, .htaccess</td></tr> 2113<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 2114<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2115<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2116</table> 2117<div class="note"><h3>SSLRequire est obsol�te</h3> 2118<p><code>SSLRequire</code> est obsol�te et doit en g�n�ral �tre 2119remplac�e par l'expression <a href="mod_authz_core.html#reqexpr">Require</a>. La syntaxe <a href="/expr.html">ap_expr</a> de l'expression <code>Require</code> est 2120une extension de la syntaxe de <code>SSLRequire</code>, avec les 2121diff�rences suivantes :</p> 2122 2123<p>Avec <code>SSLRequire</code>, les op�rateurs de comparaison 2124<code><</code>, <code><=</code>, ... sont strictement �quivalents 2125aux op�rateurs <code>lt</code>, <code>le</code>, ... , et fonctionnent 2126selon une m�thode qui compare tout d'abord la longueur des deux cha�nes, 2127puis l'ordre alphab�tique. Les expressions <a href="/expr.html">ap_expr</a>, quant � elles, poss�dent deux jeux 2128d'op�rateurs de comparaison : les op�rateurs <code><</code>, 2129<code><=</code>, ... effectuent une comparaison alphab�tique de 2130cha�nes, alors que les op�rateurs <code>-lt</code>, <code>-le</code>, 2131... effectuent une comparaison d'entiers. Ces derniers poss�dent aussi 2132des alias sans tiret initial : <code>lt</code>, <code>le</code>, ... 2133</p> 2134 2135</div> 2136 2137<p>Cette directive permet de sp�cifier une condition g�n�rale d'acc�s 2138qui doit �tre enti�rement satisfaite pour que l'acc�s soit autoris�. 2139C'est une directive tr�s puissante, car la condition d'acc�s sp�cifi�e 2140est une expression bool�enne complexe et arbitraire contenant un nombre 2141quelconque de v�rifications quant aux autorisations d'acc�s.</p> 2142<p> 2143L'<em>expression</em> doit respecter la syntaxe suivante (fournie ici 2144sous la forme d'une notation dans le style de la grammaire BNF) :</p> 2145<blockquote> 2146<pre>expr ::= "<strong>true</strong>" | "<strong>false</strong>" 2147 | "<strong>!</strong>" expr 2148 | expr "<strong>&&</strong>" expr 2149 | expr "<strong>||</strong>" expr 2150 | "<strong>(</strong>" expr "<strong>)</strong>" 2151 | comp 2152 2153comp ::= word "<strong>==</strong>" word | word "<strong>eq</strong>" word 2154 | word "<strong>!=</strong>" word | word "<strong>ne</strong>" word 2155 | word "<strong><</strong>" word | word "<strong>lt</strong>" word 2156 | word "<strong><=</strong>" word | word "<strong>le</strong>" word 2157 | word "<strong>></strong>" word | word "<strong>gt</strong>" word 2158 | word "<strong>>=</strong>" word | word "<strong>ge</strong>" word 2159 | word "<strong>in</strong>" "<strong>{</strong>" wordlist "<strong>}</strong>" 2160 | word "<strong>in</strong>" "<strong>PeerExtList(</strong>" word "<strong>)</strong>" 2161 | word "<strong>=~</strong>" regex 2162 | word "<strong>!~</strong>" regex 2163 2164wordlist ::= word 2165 | wordlist "<strong>,</strong>" word 2166 2167word ::= digit 2168 | cstring 2169 | variable 2170 | function 2171 2172digit ::= [0-9]+ 2173cstring ::= "..." 2174variable ::= "<strong>%{</strong>" varname "<strong>}</strong>" 2175function ::= funcname "<strong>(</strong>" funcargs "<strong>)</strong>"</pre> 2176</blockquote> 2177<p>Pour <code>varname</code>, toute variable d�crite dans <a href="#envvars">Variables d'environnement</a> pourra �tre utilis�e. 2178Pour <code>funcname</code>, vous trouverez la liste des fonctions 2179disponibles dans la <a href="/expr.html#functions">documentation 2180ap_expr</a>.</p> 2181 2182<p><em>expression</em> est interpr�t�e et traduite 2183sous une forme machine interne lors du chargement de la configuration, 2184puis �valu�e lors du traitement de la requ�te. Dans le contexte des 2185fichiers .htaccess, <em>expression</em> est interpr�t�e et ex�cut�e 2186chaque fois que le fichier .htaccess intervient lors du traitement de la 2187requ�te.</p> 2188<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \ 2189 and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \ 2190 and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \ 2191 and %{TIME_WDAY} -ge 1 and %{TIME_WDAY} -le 5 \ 2192 and %{TIME_HOUR} -ge 8 and %{TIME_HOUR} -le 20 ) \ 2193 or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/</pre> 2194</div> 2195 2196 2197<p>La fonction <code>PeerExtList(<em>identifiant objet</em>)</code> 2198recherche une instance d'extension de certificat X.509 identifi�e par 2199<em>identifiant objet</em> (OID) dans le certificat client. L'expression est 2200�valu�e � true si la partie gauche de la cha�ne correspond exactement � 2201la valeur d'une extension identifi�e par cet OID (Si plusieurs 2202extensions poss�dent le m�me OID, l'une d'entre elles au moins doit 2203correspondre). 2204</p> 2205 2206<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequire "foobar" in PeerExtList("1.2.3.4.5.6")</pre> 2207</div> 2208 2209<div class="note"><h3>Notes � propos de la fonction PeerExtList</h3> 2210 2211<ul> 2212 2213<li><p>L'identifiant objet peut �tre sp�cifi� soit comme un nom 2214descriptif reconnu par la biblioth�que SSL, tel que 2215<code>"nsComment"</code>, soit comme un OID num�rique tel que 2216<code>"1.2.3.4.5.6"</code>.</p></li> 2217 2218<li><p>Les expressions contenant des types connus de la biblioth�que 2219SSL sont transform�es en cha�nes avant comparaison. Pour les extensions 2220contenant un type non connu de la biblioth�que SSL, mod_ssl va essayer 2221d'interpr�ter la valeur s'il s'agit d'un des types ASN.1 primaires UTF8String, 2222IA5String, VisibleString, ou BMPString. Si l'extension correspond � un 2223de ces types, la cha�ne sera convertie en UTF-8 si n�cessaire, puis 2224compar�e avec la partie gauche de l'expression.</p></li> 2225 2226</ul> 2227</div> 2228 2229 2230<h3>Voir aussi</h3> 2231<ul> 2232<li><a href="/env.html">Les variables d'environnement dans le 2233serveur HTTP Apache</a>, pour d'autres exemples. 2234</li> 2235<li><a href="mod_authz_core.html#reqexpr">Require expr</a></li> 2236<li><a href="/expr.html">Syntaxe g�n�rale des expressions dans le 2237serveur HTTP Apache</a> 2238</li> 2239</ul> 2240</div> 2241<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2242<div class="directive-section"><h2><a name="SSLRequireSSL" id="SSLRequireSSL">SSLRequireSSL</a> <a name="sslrequiressl" id="sslrequiressl">Directive</a></h2> 2243<table class="directive"> 2244<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interdit l'acc�s lorsque la requ�te HTTP n'utilise pas 2245SSL</td></tr> 2246<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRequireSSL</code></td></tr> 2247<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>r�pertoire, .htaccess</td></tr> 2248<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 2249<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2250<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2251</table> 2252<p> 2253Cette directive interdit l'acc�s si HTTP sur SSL (c'est � dire HTTPS) 2254n'est pas activ� pour la connexion courante. Ceci est tr�s pratique dans 2255un serveur virtuel o� SSL est activ� ou dans un r�pertoire pour se 2256prot�ger des erreurs de configuration qui pourraient donner acc�s � des 2257ressources prot�g�es. Lorsque cette directive est pr�sente, toutes les 2258requ�tes qui n'utilisent pas SSL sont rejet�es.</p> 2259<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequireSSL</pre> 2260</div> 2261 2262</div> 2263<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2264<div class="directive-section"><h2><a name="SSLSessionCache" id="SSLSessionCache">SSLSessionCache</a> <a name="sslsessioncache" id="sslsessioncache">Directive</a></h2> 2265<table class="directive"> 2266<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Type du cache de session SSL global et 2267inter-processus</td></tr> 2268<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionCache <em>type</em></code></td></tr> 2269<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLSessionCache none</code></td></tr> 2270<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 2271<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2272<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2273</table> 2274<p> 2275Cette directive permet de configurer le type de stockage du cache de 2276session SSL global et inter-processus. Ce cache est une fonctionnalit� 2277optionnelle qui acc�l�re le traitement parall�le des requ�tes. Pour ce 2278qui est des requ�tes vers un m�me processus du serveur (via HTTP 2279keep-alive), OpenSSL met en cache les informations de session SSL en 2280interne. Mais comme les clients modernes demandent des images en ligne 2281et d'autres donn�es via des requ�tes parall�les (un nombre de quatre 2282requ�tes parall�les est courant), ces requ�tes vont �tre servies par 2283<em>plusieurs</em> processus du serveur pr�-d�clench�s. Ici, un cache 2284inter-processus permet d'�viter des n�gociations de session 2285inutiles.</p> 2286<p> 2287Les quatre <em>type</em>s de stockage suivants sont actuellement 2288support�s :</p> 2289<ul> 2290<li><code>none</code> 2291 2292 <p>Cette valeur d�sactive le cache de session global et 2293 inter-processus, ce qui va ralentir le serveur de mani�re sensible 2294 et peut poser probl�me avec certains navigateurs, en particulier si 2295 les certificats clients sont activ�s. Cette configuration n'est pas 2296 recommand�e.</p></li> 2297 2298<li><code>nonenotnull</code> 2299 2300 <p>Cette valeur d�sactive tout cache de session global et 2301 inter-processus. Cependant, elle force OpenSSL � envoyer un 2302 identifiant de session non nul afin de s'adapter aux clients bogu�s 2303 qui en n�cessitent un.</p></li> 2304 2305<li><code>dbm:/chemin/vers/fichier-donn�es</code> 2306 2307 <p>Cette valeur utilise un fichier de hashage DBM sur disque local 2308 pour synchroniser les caches OpenSSL locaux en m�moire des processus 2309 du serveur. Ce cache de session peut �tre sujet � des probl�mes de 2310 fiabilit� sous forte charge. Pour l'utiliser, le module 2311 <code class="module"><a href="/mod/mod_socache_dbm.html">mod_socache_dbm</a></code> doit �tre charg�.</p></li> 2312 2313<li><code>shmcb:/chemin/vers/fichier-donn�es</code>[<code>(</code><em>nombre</em><code>)</code>] 2314 2315 <p>Cette valeur utilise un tampon cyclique � hautes performances 2316 (d'une taille d'environ <em>nombre</em> octets) dans un segment de 2317 m�moire partag�e en RAM (�tabli via 2318 <code>/chemin/vers/fichier-donn�es</code>, pour synchroniser les 2319 caches OpenSSL locaux en m�moire des processus du serveur. C'est le 2320 type de cache de session recommand�. Pour l'utiliser, le module 2321 <code class="module"><a href="/mod/mod_socache_shmcb.html">mod_socache_shmcb</a></code> doit �tre charg�.</p></li> 2322 2323<li><code>dc:UNIX:/chemin/vers/socket</code> 2324 2325 <p>Cette valeur utilise les biblioth�ques de mise en cache de 2326 sessions distribu�e sur <a href="http://www.distcache.org/">cache distant "distcache"</a>. 2327 L'argument doit sp�cifier le serveur ou mandataire � utiliser en 2328 utilisant la syntaxe d'adressage distcache ; par exemple, 2329 <code>UNIX:/chemin/vers/socket</code> sp�cifie une socket de domaine 2330 Unix (en g�n�ral un mandataire de dc_client local) ; 2331 <code>IP:serveur.example.com:9001</code> sp�cifie une adresse IP. 2332 Pour l'utiliser, le module <code class="module"><a href="/mod/mod_socache_dc.html">mod_socache_dc</a></code> doit �tre 2333 charg�.</p></li> 2334 2335</ul> 2336 2337<div class="example"><h3>Exemples</h3><pre class="prettyprint lang-config">SSLSessionCache dbm:/usr/local/apache/logs/ssl_gcache_data 2338SSLSessionCache shmcb:/usr/local/apache/logs/ssl_gcache_data(512000)</pre> 2339</div> 2340 2341<p>Le mutex <code>ssl-cache</code> permet de s�rialiser l'acc�s au cache 2342de session afin d'�viter toute corruption. Ce mutex peut �tre configur� 2343via la directive <code class="directive"><a href="/mod/core.html#mutex">Mutex</a></code>.</p> 2344 2345</div> 2346<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2347<div class="directive-section"><h2><a name="SSLSessionCacheTimeout" id="SSLSessionCacheTimeout">SSLSessionCacheTimeout</a> <a name="sslsessioncachetimeout" id="sslsessioncachetimeout">Directive</a></h2> 2348<table class="directive"> 2349<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre de secondes avant l'expiration d'une session SSL 2350dans le cache de sessions</td></tr> 2351<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionCacheTimeout <em>secondes</em></code></td></tr> 2352<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLSessionCacheTimeout 300</code></td></tr> 2353<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2354<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2355<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2356</table> 2357<p> 2358Cette directive permet de d�finir la dur�e de vie en secondes des 2359informations stock�es dans le cache de sessions SSL global et 2360inter-processus et dans le cache OpenSSL interne en m�moire. elle peut 2361�tre d�finie � une valeur d'environ 15 � des fins de test, mais � une 2362valeur tr�s sup�rieure comme 300 en production.</p> 2363<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLSessionCacheTimeout 600</pre> 2364</div> 2365 2366</div> 2367<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2368<div class="directive-section"><h2><a name="SSLSessionTicketKeyFile" id="SSLSessionTicketKeyFile">SSLSessionTicketKeyFile</a> <a name="sslsessionticketkeyfile" id="sslsessionticketkeyfile">Directive</a></h2> 2369<table class="directive"> 2370<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Cl� de chiffrement/d�chiffrement permanente pour les 2371tickets de session TLS</td></tr> 2372<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionTicketKeyFile <em>chemin-fichier</em></code></td></tr> 2373<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2374<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2375<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2376<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.4.0 du serveur HTTP 2377Apache, sous r�serve que l'on utilise une version 0.9.8h ou sup�rieure 2378d'OpenSSL</td></tr> 2379</table> 2380<p>Cette directive permet de d�finir une cl� secr�te pour le chiffrement 2381et le d�chiffrement des tickets de session TLS selon les pr�conisations 2382de la <a href="http://www.ietf.org/rfc/rfc5077.txt">RFC 5077</a>. Elle a 2383�t� con�ue � l'origine pour les environnements de clusters o� les 2384donn�es des sessions TLS doivent �tre partag�es entre plusieurs noeuds. 2385Pour les configurations ne comportant qu'une seule instance de httpd, il 2386est pr�f�rable d'utiliser les cl�s (al�atoires) g�n�r�es par mod_ssl au 2387d�marrage du serveur.</p> 2388<p>Le fichier doit contenir 48 octets de donn�es al�atoires cr��es de 2389pr�f�rence par une source � haute entropie. Sur un syst�me de type UNIX, 2390il est possible de cr�er le fichier contenant la cl� de la mani�re 2391suivante :</p> 2392 2393<div class="example"><p><code> 2394dd if=/dev/random of=/chemin/vers/fichier.tkey bs=1 count=48 2395</code></p></div> 2396 2397<p>Ces cl�s doivent �tre renouvel�es fr�quemment, car il s'agit du seul 2398moyen d'invalider un ticket de session existant - OpenSSL ne permet pas 2399actuellement de sp�cifier une limite � la dur�e de vie des tickets.</p> 2400 2401<div class="warning"> 2402<p>Ce fichier contient des donn�es sensibles et doit donc �tre prot�g� 2403par des permissions similaires � celles du fichier sp�cifi� par la 2404directive <code class="directive"><a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></code>.</p> 2405</div> 2406 2407</div> 2408<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2409<div class="directive-section"><h2><a name="SSLSRPUnknownUserSeed" id="SSLSRPUnknownUserSeed">SSLSRPUnknownUserSeed</a> <a name="sslsrpunknownuserseed" id="sslsrpunknownuserseed">Directive</a></h2> 2410<table class="directive"> 2411<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Source d'al�a pour utilisateur SRP inconnu</td></tr> 2412<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSRPUnknownUserSeed <em>secret-string</em></code></td></tr> 2413<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2414<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2415<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2416<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.4.4 du serveur HTTP 2417Apache, si la version 1.0.1 ou sup�rieure d'OpenSSL est utilis�e.</td></tr> 2418</table> 2419<p> 2420Cette directive permet de d�finir la source d'al�a � utiliser 2421pour les utilisateurs SRP inconnus, ceci afin de combler les manques en 2422cas d'existence d'un tel utilisateur. Elle d�finit une cha�ne secr�te. Si 2423cette directive n'est pas d�finie, Apache renverra une alerte 2424UNKNOWN_PSK_IDENTITY aux clients qui fournissent un nom d'utilisateur 2425inconnu. 2426</p> 2427<div class="example"><h3>Exemple</h3><p><code> 2428SSLSRPUnknownUserSeed "secret" 2429</code></p></div> 2430 2431</div> 2432<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2433<div class="directive-section"><h2><a name="SSLSRPVerifierFile" id="SSLSRPVerifierFile">SSLSRPVerifierFile</a> <a name="sslsrpverifierfile" id="sslsrpverifierfile">Directive</a></h2> 2434<table class="directive"> 2435<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Chemin du fichier de v�rification SRP</td></tr> 2436<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSRPVerifierFile <em>file-path</em></code></td></tr> 2437<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2438<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2439<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2440<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.4.4 du serveur HTTP 2441Apache, si la version 1.0.1 ou sup�rieure d'OpenSSL est utilis�e.</td></tr> 2442</table> 2443<p> 2444Cette directive permet d'activer TLS-SRP et de d�finir le chemin du 2445fichier de v�rification OpenSSL SRP (Mot de passe distant s�curis�) 2446contenant les noms d'utilisateurs TLS-SRP, les v�rificateurs, les 2447"grains de sel" (salts), ainsi que les param�tres de groupe.</p> 2448<div class="example"><h3>Exemple</h3><p><code> 2449SSLSRPVerifierFile "/path/to/file.srpv" 2450</code></p></div> 2451<p> 2452Le fichier de v�rification peut �tre cr�� via l'utilitaire en ligne de 2453commande <code>openssl</code> :</p> 2454<div class="example"><h3>Cr�ation du fichier de v�rification SRP</h3><p><code> 2455openssl srp -srpvfile passwd.srpv -userinfo "some info" -add username 2456</code></p></div> 2457<p>La valeur affect�e au param�tre optionnel <code>-userinfo</code> est 2458enregistr�e dans la variable d'environnement 2459<code>SSL_SRP_USERINFO</code>.</p> 2460 2461 2462</div> 2463<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2464<div class="directive-section"><h2><a name="SSLStaplingCache" id="SSLStaplingCache">SSLStaplingCache</a> <a name="sslstaplingcache" id="sslstaplingcache">Directive</a></h2> 2465<table class="directive"> 2466<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration du cache pour l'agrafage OCSP</td></tr> 2467<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingCache <em>type</em></code></td></tr> 2468<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr> 2469<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2470<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2471<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2472Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2473</table> 2474<p>Si <code class="directive"><a href="#sslusestapling">SSLUseStapling</a></code> est � "on", 2475cette directive permet de configurer le cache destin� � stocker les 2476r�ponses OCSP incluses dans la n�gociation TLS. La configuration d'un 2477cache est obligatoire pour pouvoir utiliser l'agrafage OCSP. A 2478l'exception de <code>none</code> et <code>nonenotnull</code>, cette 2479directive supporte les m�mes types de stockage que la directive 2480<code class="directive"><a href="#sslsessioncache">SSLSessionCache</a></code>.</p> 2481 2482</div> 2483<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2484<div class="directive-section"><h2><a name="SSLStaplingErrorCacheTimeout" id="SSLStaplingErrorCacheTimeout">SSLStaplingErrorCacheTimeout</a> <a name="sslstaplingerrorcachetimeout" id="sslstaplingerrorcachetimeout">Directive</a></h2> 2485<table class="directive"> 2486<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Dur�e de vie des r�ponses invalides dans le cache pour 2487agrafage OCSP</td></tr> 2488<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingErrorCacheTimeout <em>secondes</em></code></td></tr> 2489<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLStaplingErrorCacheTimeout 600</code></td></tr> 2490<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2491<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2492<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2493<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2494Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2495</table> 2496<p>Cette directive permet de d�finir la dur�e de vie des r�ponses 2497<em>invalides</em> dans le cache pour agrafage OCSP configur� via la 2498directive <code class="directive"><a href="#sslstaplingcache">SSLStaplingCache</a></code>. Pour 2499d�finir la dur�e de vie des r�ponses valides, voir la directive 2500<code class="directive"><a href="#sslstaplingstandardcachetimeout">SSLStaplingStandardCacheTimeout</a></code>.</p> 2501 2502</div> 2503<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2504<div class="directive-section"><h2><a name="SSLStaplingFakeTryLater" id="SSLStaplingFakeTryLater">SSLStaplingFakeTryLater</a> <a name="sslstaplingfaketrylater" id="sslstaplingfaketrylater">Directive</a></h2> 2505<table class="directive"> 2506<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>G�n�re une r�ponse "tryLater" pour les requ�tes OCSP �chou�es</td></tr> 2507<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingFakeTryLater on|off</code></td></tr> 2508<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLStaplingFakeTryLater on</code></td></tr> 2509<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2510<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2511<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2512<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2513Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2514</table> 2515<p>Lorsque cette directive est activ�e, et si une requ�te vers un 2516serveur OCSP � des fins d'inclusion dans une n�gociation TLS �choue, 2517mod_ssl va g�n�rer une r�ponse "tryLater" pour le client (<code class="directive"><a href="#sslstaplingreturnrespondererrors">SSLStaplingReturnResponderErrors</a></code> doit �tre 2518activ�e).</p> 2519 2520</div> 2521<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2522<div class="directive-section"><h2><a name="SSLStaplingForceURL" id="SSLStaplingForceURL">SSLStaplingForceURL</a> <a name="sslstaplingforceurl" id="sslstaplingforceurl">Directive</a></h2> 2523<table class="directive"> 2524<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Remplace l'URI du serveur OCSP sp�cifi� dans l'extension 2525AIA du certificat</td></tr> 2526<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingForceURL <em>uri</em></code></td></tr> 2527<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2528<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2529<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2530<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2531Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2532</table> 2533<p>Cette directive permet de remplacer l'URI du serveur OCSP extraite de 2534l'extension authorityInfoAccess (AIA) du certificat. Elle peut s'av�rer 2535utile lorsqu'on passe par un mandataire</p> 2536 2537</div> 2538<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2539<div class="directive-section"><h2><a name="SSLStaplingResponderTimeout" id="SSLStaplingResponderTimeout">SSLStaplingResponderTimeout</a> <a name="sslstaplingrespondertimeout" id="sslstaplingrespondertimeout">Directive</a></h2> 2540<table class="directive"> 2541<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Temps d'attente maximum pour les requ�tes vers les serveurs 2542OCSP</td></tr> 2543<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingResponderTimeout <em>secondes</em></code></td></tr> 2544<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLStaplingResponderTimeout 10</code></td></tr> 2545<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2546<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2547<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2548<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2549Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2550</table> 2551<p>Cette directive permet de d�finir le temps d'attente maximum lorsque 2552mod_ssl envoie une requ�te vers un serveur OCSP afin d'obtenir une 2553r�ponse destin�e � �tre incluse dans les n�gociations TLS avec les 2554clients (<code class="directive"><a href="#sslusestapling">SSLUseStapling</a></code> doit 2555avoir �t� activ�e au pr�alable).</p> 2556 2557</div> 2558<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2559<div class="directive-section"><h2><a name="SSLStaplingResponseMaxAge" id="SSLStaplingResponseMaxAge">SSLStaplingResponseMaxAge</a> <a name="sslstaplingresponsemaxage" id="sslstaplingresponsemaxage">Directive</a></h2> 2560<table class="directive"> 2561<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Age maximum autoris� des r�ponses OCSP incluses dans la 2562n�gociation TLS</td></tr> 2563<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingResponseMaxAge <em>secondes</em></code></td></tr> 2564<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLStaplingResponseMaxAge -1</code></td></tr> 2565<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2566<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2567<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2568<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2569Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2570</table> 2571<p>Cette directive permet de d�finir l'�ge maximum autoris� 2572("fra�cheur") des r�ponses OCSP incluses dans la n�gociation TLS 2573(<code class="directive"><a href="#sslusestapling">SSLUseStapling</a></code> doit 2574avoir �t� activ�e au pr�alable). La valeur par d�faut (<code>-1</code>) 2575ne d�finit aucun �ge maximum, ce qui signifie que les r�ponses OCSP sont 2576consid�r�es comme valides � partir du moment o� le contenu de leur champ 2577<code>nextUpdate</code> se trouve dans le futur.</p> 2578 2579</div> 2580<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2581<div class="directive-section"><h2><a name="SSLStaplingResponseTimeSkew" id="SSLStaplingResponseTimeSkew">SSLStaplingResponseTimeSkew</a> <a name="sslstaplingresponsetimeskew" id="sslstaplingresponsetimeskew">Directive</a></h2> 2582<table class="directive"> 2583<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Dur�e de vie maximale autoris�e des r�ponses OCSP incluses dans la 2584n�gociation TLS</td></tr> 2585<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingResponseTimeSkew <em>secondes</em></code></td></tr> 2586<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLStaplingResponseTimeSkew 300</code></td></tr> 2587<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2588<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2589<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2590<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2591Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2592</table> 2593<p>Cette directive permet de sp�cifier l'intervalle de temps maximum que 2594mod_ssl va calculer en faisant la diff�rence entre les contenus des 2595champs <code>nextUpdate</code> et <code>thisUpdate</code> des r�ponses 2596OCSP incluses dans la n�gociation TLS. Pour pouvoir utiliser cette 2597directive, <code class="directive"><a href="#sslusestapling">SSLUseStapling</a></code> doit 2598�tre � "on".</p> 2599 2600</div> 2601<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2602<div class="directive-section"><h2><a name="SSLStaplingReturnResponderErrors" id="SSLStaplingReturnResponderErrors">SSLStaplingReturnResponderErrors</a> <a name="sslstaplingreturnrespondererrors" id="sslstaplingreturnrespondererrors">Directive</a></h2> 2603<table class="directive"> 2604<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Transmet au client les erreurs survenues lors des requ�tes 2605OCSP</td></tr> 2606<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingReturnResponderErrors on|off</code></td></tr> 2607<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLStaplingReturnResponderErrors on</code></td></tr> 2608<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2609<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2610<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2611<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2612Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2613</table> 2614<p>Lorsque cette directive est activ�e, mod_ssl va transmettre au client les 2615r�ponses concernant les requ�tes OCSP �chou�es (erreurs d'�tat, r�ponses 2616p�rim�es, etc...). Lorsqu'elle est � <code>off</code>, aucune r�ponse 2617concernant les requ�tes OCSP �chou�es ne sera incluse dans les 2618n�gociation TLS avec les clients.</p> 2619 2620</div> 2621<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2622<div class="directive-section"><h2><a name="SSLStaplingStandardCacheTimeout" id="SSLStaplingStandardCacheTimeout">SSLStaplingStandardCacheTimeout</a> <a name="sslstaplingstandardcachetimeout" id="sslstaplingstandardcachetimeout">Directive</a></h2> 2623<table class="directive"> 2624<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Dur�e de vie des r�ponses OCSP dans le cache</td></tr> 2625<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingStandardCacheTimeout <em>secondes</em></code></td></tr> 2626<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLStaplingStandardCacheTimeout 3600</code></td></tr> 2627<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2628<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2629<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2630<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2631Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2632</table> 2633<p>Cette directive permet de d�finir la dur�e de vie des r�ponses OCSP 2634dans le cache configur� via la directive <code class="directive"><a href="#sslstaplingcache">SSLStaplingCache</a></code>. Elle ne s'applique qu'aux 2635r�ponse <em>valides</em>, alors que la directive <code class="directive"><a href="#sslstaplingerrorcachetimeout">SSLStaplingErrorCacheTimeout</a></code> s'applique aux 2636r�ponses invalides ou non disponibles. 2637</p> 2638 2639</div> 2640<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2641<div class="directive-section"><h2><a name="SSLStrictSNIVHostCheck" id="SSLStrictSNIVHostCheck">SSLStrictSNIVHostCheck</a> <a name="sslstrictsnivhostcheck" id="sslstrictsnivhostcheck">Directive</a></h2> 2642<table class="directive"> 2643<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Contr�le de l'acc�s des clients non-SNI � un serveur virtuel � 2644base de nom. 2645</td></tr> 2646<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStrictSNIVHostCheck on|off</code></td></tr> 2647<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLStrictSNIVHostCheck off</code></td></tr> 2648<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2649<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2650<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2651<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.2.12 d'Apache</td></tr> 2652</table> 2653<p> 2654Cette directive permet de contr�ler l'acc�s des clients non-SNI � un serveur 2655virtuel � base de nom. Si elle est d�finie � <code>on</code> dans le 2656serveur virtuel � base de nom par d�faut, les 2657clients non-SNI ne seront autoris�s � acc�der � aucun serveur virtuel 2658appartenant � cette combinaison IP/port. Par 2659contre, si elle est d�finie � <code>on</code> dans un serveur virtuel 2660quelconque, les clients non-SNI ne se verront interdire l'acc�s qu'� ce 2661serveur. 2662</p> 2663 2664<div class="warning"><p> 2665Cette option n'est disponible que si httpd a �t� compil� avec une 2666version d'OpenSSL supportant SNI. 2667</p></div> 2668 2669<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLStrictSNIVHostCheck on</pre> 2670</div> 2671 2672</div> 2673<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2674<div class="directive-section"><h2><a name="SSLUserName" id="SSLUserName">SSLUserName</a> <a name="sslusername" id="sslusername">Directive</a></h2> 2675<table class="directive"> 2676<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nom de la variable servant � d�terminer le nom de 2677l'utilisateur</td></tr> 2678<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLUserName <em>nom-var</em></code></td></tr> 2679<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, r�pertoire, .htaccess</td></tr> 2680<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 2681<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2682<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2683</table> 2684<p> 2685Cette variable permet de d�finir le champ "user" de l'objet de la 2686requ�te Apache. Ce champ est utilis� par des modules de plus bas niveau 2687pour identifier l'utilisateur avec une cha�ne de caract�res. En 2688particulier, l'utilisation de cette directive peut provoquer la 2689d�finition de la variable d'environnement <code>REMOTE_USER</code>. 2690La valeur de l'argument <em>nom-var</em> peut correspondre � toute <a href="#envvars">variable d'environnement SSL</a>.</p> 2691 2692<p>Notez que cette directive est sans effet si l'option 2693<code>FakeBasicAuth</code> est utilis�e (voir <a href="#ssloptions">SSLOptions</a>).</p> 2694 2695<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLUserName SSL_CLIENT_S_DN_CN</pre> 2696</div> 2697 2698</div> 2699<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2700<div class="directive-section"><h2><a name="SSLUseStapling" id="SSLUseStapling">SSLUseStapling</a> <a name="sslusestapling" id="sslusestapling">Directive</a></h2> 2701<table class="directive"> 2702<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active l'ajout des r�ponses OCSP � la n�gociation TLS</td></tr> 2703<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLUseStapling on|off</code></td></tr> 2704<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLUseStapling off</code></td></tr> 2705<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> 2706<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2707<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2708<tr><th><a href="directive-dict.html#Compatibility">Compatibilit�:</a></th><td>Disponible depuis la version 2.3.3 du serveur HTTP 2709Apache, si on utilise OpenSSL version 0.9.8h ou sup�rieure</td></tr> 2710</table> 2711<p>Cette directive permet d'activer l'"Agrafage OCSP" (OCSP stapling) 2712selon la d�finition de l'extension TLS "Certificate Status Request" 2713fournie dans la RFC 6066. Si elle est activ�e et si le client le 2714demande, mod_ssl va inclure une r�ponse OCSP � propos de son propre 2715certificat dans la n�gociation TLS. Pour pouvoir activer l'Agrafage 2716OCSP, il est n�cessaire de configurer un <code class="directive"><a href="#sslstaplingcache">SSLStaplingCache</a></code>.</p> 2717 2718<p>L'agrafage OCSP dispense le client de requ�rir le serveur OCSP 2719directement ; il faut cependant noter que selon les sp�cifications de la 2720RFC 6066, la r�ponse <code>CertificateStatus</code> du serveur ne peut 2721inclure une r�ponse OCSP que pour un seul certificat. Pour les 2722certificats de serveur comportant des certificats de CA interm�diaires 2723dans leur cha�ne (c'est un cas typique de nos jours), l'impl�mentation 2724actuelle de l'agrafage OCSP n'atteint que partiellement l'objectif d' 2725"�conomie en questions/r�ponse et en ressources". Pour plus de d�tails, 2726voir la <a href="http://www.ietf.org/rfc/rfc6961.txt">RFC 6961</a> (TLS 2727Multiple Certificate Status Extension). 2728</p> 2729 2730</div> 2731<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2732<div class="directive-section"><h2><a name="SSLVerifyClient" id="SSLVerifyClient">SSLVerifyClient</a> <a name="sslverifyclient" id="sslverifyclient">Directive</a></h2> 2733<table class="directive"> 2734<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de v�rification du certificat client</td></tr> 2735<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLVerifyClient <em>niveau</em></code></td></tr> 2736<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLVerifyClient none</code></td></tr> 2737<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, r�pertoire, .htaccess</td></tr> 2738<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 2739<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2740<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2741</table> 2742<p> 2743Cette directive permet de d�finir le niveau de v�rification du 2744certificat pour l'authentification du client. Notez que cette directive 2745peut �tre utilis�e � la fois dans les contextes du serveur principal et 2746du r�pertoire. Dans le contexte du serveur principal, elle s'applique au 2747processus d'authentification du client utilis� au cours de la 2748n�gociation SSL standard lors de l'�tablissement d'une connexion. Dans 2749un contexte de r�pertoire, elle force une ren�gociation SSL avec le 2750niveau de v�rification du client sp�cifi�, apr�s la lecture d'une 2751requ�te HTTP, mais avant l'envoi de la r�ponse HTTP.</p> 2752<p> 2753Les valeurs de <em>niveau</em> disponibles sont les suivantes :</p> 2754<ul> 2755<li><strong>none</strong>: 2756 aucun certificat client n'est requis</li> 2757<li><strong>optional</strong>: 2758 le client <em>peut</em> pr�senter un certificat valide</li> 2759<li><strong>require</strong>: 2760 le client <em>doit</em> pr�senter un certificat valide</li> 2761<li><strong>optional_no_ca</strong>: 2762 le client peut pr�senter un certificat valide, mais il n'est pas 2763 n�cessaire que ce dernier soit v�rifiable (avec succ�s).</li> 2764</ul> 2765<p>En pratique, seuls les niveaux <strong>none</strong> et 2766<strong>require</strong> sont vraiment int�ressants, car le niveau 2767<strong>optional</strong> ne fonctionne pas avec tous les navigateurs, 2768et le niveau <strong>optional_no_ca</strong> va vraiment � l'encontre de 2769l'id�e que l'on peut se faire de l'authentification (mais peut tout de 2770m�me �tre utilis� pour �tablir des pages de test SSL, etc...)</p> 2771<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLVerifyClient require</pre> 2772</div> 2773 2774</div> 2775<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div> 2776<div class="directive-section"><h2><a name="SSLVerifyDepth" id="SSLVerifyDepth">SSLVerifyDepth</a> <a name="sslverifydepth" id="sslverifydepth">Directive</a></h2> 2777<table class="directive"> 2778<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Profondeur maximale des certificats de CA pour la 2779v�rification des certificats clients</td></tr> 2780<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLVerifyDepth <em>nombre</em></code></td></tr> 2781<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>SSLVerifyDepth 1</code></td></tr> 2782<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, r�pertoire, .htaccess</td></tr> 2783<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr> 2784<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> 2785<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> 2786</table> 2787<p> 2788Cette directive permet de sp�cifier la profondeur maximale � laquelle 2789mod_ssl va effectuer sa v�rification avant de d�cider que le client ne 2790poss�de pas de certificat valide. Notez que cette directive peut �tre 2791utilis�e � la fois dans les contextes du serveur principal et de 2792r�pertoire. Dans le contexte du serveur principal, elle s'applique au 2793processus d'authentification du client utilis� au cours de la 2794n�gociation SSL standard lors de l'�tablissement d'une connexion. Dans 2795un contexte de r�pertoire, elle force une ren�gociation SSL avec le 2796client selon la nouvelle profondeur sp�cifi�e, apr�s la lecture d'une 2797requ�te HTTP, mais avant l'envoi de la r�ponse HTTP.</p> 2798<p> 2799La profondeur correspond au nombre maximum de fournisseurs de 2800certificats interm�diaires, c'est � dire le nombre maximum de 2801certificats de CA que l'on est autoris� � suivre lors de la v�rification 2802du certificat du client. Une profondeur de 0 signifie que seuls les 2803certificats clients auto-sign�s sont accept�s ; la profondeur par d�faut 2804de 1 signifie que le certificat client peut �tre soit auto-sign�, soit 2805sign� par une CA connue directement du serveur (c'est � dire que le 2806certificat de la CA doit �tre r�f�renc� par la directive <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code>), etc...</p> 2807<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLVerifyDepth 10</pre> 2808</div> 2809 2810</div> 2811</div> 2812<div class="bottomlang"> 2813<p><span>Langues Disponibles: </span><a href="/en/mod/mod_ssl.html" hreflang="en" rel="alternate" title="English"> en </a> | 2814<a href="/fr/mod/mod_ssl.html" title="Fran�ais"> fr </a></p> 2815</div><div class="top"><a href="#page-header"><img src="/images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div> 2816<script type="text/javascript"><!--//--><![CDATA[//><!-- 2817var comments_shortname = 'httpd'; 2818var comments_identifier = 'http://httpd.apache.org/docs/2.4/mod/mod_ssl.html'; 2819(function(w, d) { 2820 if (w.location.hostname.toLowerCase() == "httpd.apache.org") { 2821 d.write('<div id="comments_thread"><\/div>'); 2822 var s = d.createElement('script'); 2823 s.type = 'text/javascript'; 2824 s.async = true; 2825 s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier; 2826 (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s); 2827 } 2828 else { 2829 d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>'); 2830 } 2831})(window, document); 2832//--><!]]></script></div><div id="footer"> 2833<p class="apache">Copyright 2014 The Apache Software Foundation.<br />Autoris� sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p> 2834<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!-- 2835if (typeof(prettyPrint) !== 'undefined') { 2836 prettyPrint(); 2837} 2838//--><!]]></script> 2839</body></html>
