虚拟主机SSL
Table of Contents
密码套件 | 启用ECDH密钥交换 | 启用DH密钥交换 | DH参数
SSL密钥重新协商保护 | 启用SSL会话缓存 | 启用会话记录单 | 启用 SPDY/HTTP2/HTTP3 | Enable HTTP3/QUIC
SSL私钥和证书⇑
Description
每个SSL侦听器都需要成对的SSL私钥和SSL证书。 多个SSL侦听器可以共享相同的密钥和证书。
您可以使用SSL软件包自行生成SSL私钥, 例如OpenSSL。 SSL证书也可以从授权证书颁发机构(如VeriSign或Thawte)购买。 您也可以自己签署证书。 自签名证书将不受Web浏览器的信任,并且不应在公共网站上使用。 但是,自签名证书足以供内部使用,例如 用于加密到LiteSpeed Web服务器的WebAdmin控制台的流量。
私钥文件⇑
Description
SSL私钥文件的文件名。 密钥文件不应被加密。
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
提示
[安全建议] 私钥文件应放在一个安全的目录中,该目录应 允许对运行服务器的用户具有只读的访问权限。
证书文件⇑
Description
SSL证书文件的文件名。
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
提示
[安全建议] 私钥文件应放在一个安全的目录中,该目录应 允许对运行服务器的用户具有只读的访问权限。
证书链⇑
Description
指定证书是否为证书链。 存储证书链的文件必须为PEM格式, 并且证书必须按照从最低级别(实际的客户端或服务器证书)到最高级别(Root)CA的链接顺序。
Syntax
从单选框选择
CA证书路径⇑
Description
指定证书颁发机构(CA)证书的目录。 这些证书用于客户端证书身份验证和构建服务器证书链,除了服务器证书之外,这些证书还将发送到浏览器。
Syntax
path
CA证书文件⇑
Description
指定包含证书颁发机构(CA)证书的证书链文件。 按照优先顺序,此文件只是PEM编码的证书文件的串联。 这可以用作替代或 除了CA证书路径。 这些证书用于客户端证书身份验证和构建服务器证书链,除了服务器证书之外,这些证书还将发送到浏览器。
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
SSL协议⇑
Description
自定义侦听器接受的SSL协议。
密码套件⇑
Description
Specifies the cipher suite to be used when negotiating the SSL handshake. LSWS supports cipher suites implemented in SSL v3.0, TLS v1.0, TLS v1.2, and TLS v1.3.
Syntax
Colon-separated string of cipher specifications.
例子
提示
We recommend leaving this field blank to use our default cipher which follows SSL cipher best practices.
启用ECDH密钥交换⇑
Description
允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。
Syntax
从单选框选择
提示
[安全建议] ECDH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥交换安全性相同。
[性能] 启用ECDH密钥交换会增加CPU负载,并且比仅使用RSA密钥要慢。
启用DH密钥交换⇑
Description
允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。
Syntax
从单选框选择
提示
[安全建议] DH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥安全性相同。
[x性能] 启用DH密钥交换将增加CPU负载,并且比ECDH密钥交换和RSA都慢。 如果可用,则首选ECDH密钥交换。
DH参数⇑
Description
指定DH密钥交换所需的Diffie-Hellman参数文件的位置。
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
SSL密钥重新协商保护⇑
Description
指定是否启用SSL密钥重新协商保护以 防御基于SSL握手的攻击。 默认值为“是”。
Syntax
从单选框选择
提示
可以在侦听器和虚拟主机级别启用此设置。
启用SSL会话缓存⇑
Description
使用OpenSSL的默认设置启用会话ID缓存。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes
Syntax
从单选框选择
启用会话记录单⇑
Description
使用OpenSSL的默认会话票证设置启用会话记录单。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes
Syntax
从单选框选择
启用 SPDY/HTTP2/HTTP3⇑
Description
有选择地启用HTTP/3,HTTP/2和SPDY HTTP网络协议。
如果要禁用SPDY,HTTP/2和HTTP3,请选中“无”,并取消选中所有其他框。
Default value: All enabled
Syntax
从复选框中选择
提示
可以在侦听器和虚拟主机级别上设置此设置。
Enable HTTP3/QUIC⇑
Description
Enables the HTTP3/QUIC network protocol for this virtual host. For this setting to take effect, both 启用HTTP3/QUIC and 打开HTTP3/QUIC (UDP) 端口 must also be set to Yes at the server and listener levels respectively. Default value is Yes.
Syntax
从单选框选择
提示
When this setting is set to No, the HTTP3/QUIC advertisement will no longer be sent. If a browser still contains cached HTTP3/QUIC information and HTTP3/QUIC is still enabled at the server and listener levels, an HTTP3/QUIC connection will continue to be used until this information is no longer cached or an HTTP3/QUIC protocol error is encountered.
OCSP装订⇑
Description
在线证书状态协议(OCSP)是更加有效的检查数字证书是否有效的方式。 它通过与另一台服务器(OCSP响应服务器)通信,以获取证书有效的验证,而不是通过证书吊销列表(CRL)进行检查。
OCSP装订是对该协议的进一步改进,允许服务器以固定的时间间隔而不是每次请求证书时与OCSP响应程序进行检查。 有关更多详细信息,请参见 OCSP Wikipedia页面 。
启用 OCSP 装订⇑
Description
确定是否启用OCSP装订,这是一种更有效的验证公钥证书的方式。
Syntax
从单选框选择
OCSP响应最大有效时间(秒)⇑
Description
此选项设置OCSP响应的最大有效时间。 如果OCSP响应早于该最大使用期限,则服务器将与OCSP响应服务器联系以获取新的响应。 默认值为86400 。 通过将此值设置为-1,可以关闭最大有效时间。
Syntax
Integer of seconds
OCSP响应服务器⇑
Description
指定要使用的OCSP响应服务器的URL。 如果未设置,则服务器将尝试联系OCSP响应服务器 在证书颁发机构的颁发者证书中有详细说明。 某些颁发者证书可能未指定OCSP服务器URL。
Syntax
URL starting with http://
例子
OCSP CA证书⇑
Description
指定存储OCSP证书颁发机构(CA)证书的文件的位置。 这些证书用于检查OCSP响应服务器的响应(并确保这些响应不被欺骗或以其他方式被破坏)。 该文件应包含整个证书链。 如果该文件不包含根证书,则LSWS无需将根证书添加到文件中就应该能够在系统目录中找到该根证书, 但是,如果此验证失败,则应尝试将根证书添加到此文件中。
This setting is optional. If this setting is not set, the server will automatically check CA证书文件.
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
Client Verification⇑
Description
Specifies the type of client certifcate authentication. Available types are:
- None: No client certificate is required.
- Optional: Client certificate is optional.
- Require: The client must has valid certificate.
- Optional_no_ca: Same as optional.
Syntax
从列表中选择
提示
"None" or "Require" are recommended.
验证深度⇑
Description
Specifies how deeply a certificate should be verified before determining that the client does not have a valid certificate. The default is "1".
Syntax
从列表中选择
客户端吊销路径⇑
Description
Specifies the directory containing PEM-encoded CA CRL files for revoked client certificates. The files in this directory have to be PEM-encoded. These files are accessed through hash filenames, hash-value.rN. Please refer to openSSL or Apache mod_ssl documentation regarding creating the hash filename.
Syntax
path