侦听器SSL

Table of Contents

SSL私钥和证书

私钥文件 | 证书文件 | 证书链 | CA证书路径 | CA证书文件

SSL协议

密码套件 | 启用ECDH密钥交换 | 启用DH密钥交换 | DH参数

Security & Features

SSL密钥重新协商保护 | 启用SSL会话缓存 | 启用会话记录单 | 启用 SPDY/HTTP2/HTTP3 | 打开HTTP3/QUIC (UDP) 端口

OCSP装订

启用 OCSP 装订 | OCSP响应最大有效时间(秒) | OCSP响应服务器 | OCSP CA证书

Client Verification

Client Verification | 验证深度 | 客户端吊销路径 | 客户端吊销文件

SSL私钥和证书

Description

每个SSL侦听器都需要成对的SSL私钥和SSL证书。 多个SSL侦听器可以共享相同的密钥和证书。
您可以使用SSL软件包自行生成SSL私钥, 例如OpenSSL。 SSL证书也可以从授权证书颁发机构(如VeriSign或Thawte)购买。 您也可以自己签署证书。 自签名证书将不受Web浏览器的信任,并且不应在公共网站上使用。 但是,自签名证书足以供内部使用,例如 用于加密到LiteSpeed Web服务器的WebAdmin控制台的流量。

私钥文件

Description

SSL私钥文件的文件名。 密钥文件不应被加密。

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

提示

[安全建议] 私钥文件应放在一个安全的目录中,该目录应 允许对运行服务器的用户具有只读的访问权限。

证书文件

Description

SSL证书文件的文件名。

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

提示

[安全建议] 私钥文件应放在一个安全的目录中,该目录应 允许对运行服务器的用户具有只读的访问权限。

证书链

Description

指定证书是否为证书链。 存储证书链的文件必须为PEM格式, 并且证书必须按照从最低级别(实际的客户端或服务器证书)到最高级别(Root)CA的链接顺序。

Syntax

从单选框选择

CA证书路径

Description

指定证书颁发机构(CA)证书的目录。 这些证书用于客户端证书身份验证和构建服务器证书链,除了服务器证书之外,这些证书还将发送到浏览器。

Syntax

path

CA证书文件

Description

指定包含证书颁发机构(CA)证书的证书链文件。 按照优先顺序,此文件只是PEM编码的证书文件的串联。 这可以用作替代或 除了CA证书路径。 这些证书用于客户端证书身份验证和构建服务器证书链,除了服务器证书之外,这些证书还将发送到浏览器。

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

SSL协议

Description

自定义侦听器接受的SSL协议。

密码套件

Description

Specifies the cipher suite to be used when negotiating the SSL handshake. LSWS supports cipher suites implemented in SSL v3.0, TLS v1.0, TLS v1.2, and TLS v1.3.

Syntax

Colon-separated string of cipher specifications.

例子

ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

提示

We recommend leaving this field blank to use our default cipher which follows SSL cipher best practices.

启用ECDH密钥交换

Description

允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。

Syntax

从单选框选择

提示

[安全建议] ECDH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥交换安全性相同。

[性能] 启用ECDH密钥交换会增加CPU负载,并且比仅使用RSA密钥要慢。

启用DH密钥交换

Description

允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。

Syntax

从单选框选择

提示

[安全建议] DH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥安全性相同。

[x性能] 启用DH密钥交换将增加CPU负载,并且比ECDH密钥交换和RSA都慢。 如果可用,则首选ECDH密钥交换。

DH参数

Description

指定DH密钥交换所需的Diffie-Hellman参数文件的位置。

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

SSL密钥重新协商保护

Description

指定是否启用SSL密钥重新协商保护以 防御基于SSL握手的攻击。 默认值为“是”。

Syntax

从单选框选择

提示

可以在侦听器和虚拟主机级别启用此设置。

启用SSL会话缓存

Description

使用OpenSSL的默认设置启用会话ID缓存。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

Syntax

从单选框选择

启用会话记录单

Description

使用OpenSSL的默认会话票证设置启用会话记录单。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

Syntax

从单选框选择

启用 SPDY/HTTP2/HTTP3

Description

有选择地启用HTTP/3,HTTP/2和SPDY HTTP网络协议。

如果要禁用SPDY,HTTP/2和HTTP3,请选中“无”,并取消选中所有其他框。
Default value: All enabled

Syntax

从复选框中选择

提示

可以在侦听器和虚拟主机级别上设置此设置。

打开HTTP3/QUIC (UDP) 端口

Description

允许对映射到该监听器的虚拟主机使用HTTP3/QUIC网络协议. 为了使此设置生效,还必须在服务器级别将启用HTTP3/QUIC设置为。 默认值为

提示

当此设置设置为时,仍可以通过Enable HTTP3/QUIC设置在虚拟主机级别禁用HTTP3/QUIC。

OCSP装订

Description

在线证书状态协议(OCSP)是更加有效的检查数字证书是否有效的方式。 它通过与另一台服务器(OCSP响应服务器)通信,以获取证书有效的验证,而不是通过证书吊销列表(CRL)进行检查。

OCSP装订是对该协议的进一步改进,允许服务器以固定的时间间隔而不是每次请求证书时与OCSP响应程序进行检查。 有关更多详细信息,请参见 OCSP Wikipedia页面

启用 OCSP 装订

Description

确定是否启用OCSP装订,这是一种更有效的验证公钥证书的方式。

Syntax

从单选框选择

OCSP响应最大有效时间(秒)

Description

此选项设置OCSP响应的最大有效时间。 如果OCSP响应早于该最大使用期限,则服务器将与OCSP响应服务器联系以获取新的响应。 默认值为86400 。 通过将此值设置为-1,可以关闭最大有效时间。

Syntax

Integer of seconds

OCSP响应服务器

Description

指定要使用的OCSP响应服务器的URL。 如果未设置,则服务器将尝试联系OCSP响应服务器 在证书颁发机构的颁发者证书中有详细说明。 某些颁发者证书可能未指定OCSP服务器URL。

Syntax

URL starting with http://

例子

http://rapidssl-ocsp.geotrust.com

OCSP CA证书

Description

指定存储OCSP证书颁发机构(CA)证书的文件的位置。 这些证书用于检查OCSP响应服务器的响应(并确保这些响应不被欺骗或以其他方式被破坏)。 该文件应包含整个证书链。 如果该文件不包含根证书,则LSWS无需将根证书添加到文件中就应该能够在系统目录中找到该根证书, 但是,如果此验证失败,则应尝试将根证书添加到此文件中。

This setting is optional. If this setting is not set, the server will automatically check CA证书文件.

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

Client Verification

Description

Specifies the type of client certifcate authentication. Available types are:

  • None: No client certificate is required.
  • Optional: Client certificate is optional.
  • Require: The client must has valid certificate.
  • Optional_no_ca: Same as optional.
The default is "None".

Syntax

从列表中选择

提示

"None" or "Require" are recommended.

验证深度

Description

Specifies how deeply a certificate should be verified before determining that the client does not have a valid certificate. The default is "1".

Syntax

从列表中选择

客户端吊销路径

Description

Specifies the directory containing PEM-encoded CA CRL files for revoked client certificates. The files in this directory have to be PEM-encoded. These files are accessed through hash filenames, hash-value.rN. Please refer to openSSL or Apache mod_ssl documentation regarding creating the hash filename.

Syntax

path

客户端吊销文件

Description

Specifies the file containing PEM-encoded CA CRL files enumerating revoked client certificates. This can be used as an alternative or in addition to 客户端吊销路径.

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。