Admin Listeners SSL
Table of Contents
密码套件 | 启用ECDH密钥交换 | 启用DH密钥交换 | DH参数
SSL密钥重新协商保护 | 启用SSL会话缓存 | 启用会话记录单 | 启用 SPDY/HTTP2/HTTP3 | 打开HTTP3/QUIC (UDP) 端口
SSL私钥和证书⇑
Description
每个SSL侦听器都需要成对的SSL私钥和SSL证书。 多个SSL侦听器可以共享相同的密钥和证书。
您可以使用SSL软件包自行生成SSL私钥, 例如OpenSSL。 SSL证书也可以从授权证书颁发机构(如VeriSign或Thawte)购买。 您也可以自己签署证书。 自签名证书将不受Web浏览器的信任,并且不应在公共网站上使用。 但是,自签名证书足以供内部使用,例如 用于加密到LiteSpeed Web服务器的WebAdmin控制台的流量。
私钥文件⇑
Description
SSL私钥文件的文件名。 密钥文件不应被加密。
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
提示
[安全建议] 私钥文件应放在一个安全的目录中,该目录应 允许对运行服务器的用户具有只读的访问权限。
证书文件⇑
Description
SSL证书文件的文件名。
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
提示
[安全建议] 私钥文件应放在一个安全的目录中,该目录应 允许对运行服务器的用户具有只读的访问权限。
证书链⇑
Description
指定证书是否为证书链。 存储证书链的文件必须为PEM格式, 并且证书必须按照从最低级别(实际的客户端或服务器证书)到最高级别(Root)CA的链接顺序。
Syntax
从单选框选择
CA证书路径⇑
Description
指定证书颁发机构(CA)证书的目录。 这些证书用于客户端证书身份验证和构建服务器证书链,除了服务器证书之外,这些证书还将发送到浏览器。
Syntax
path
CA证书文件⇑
Description
指定包含证书颁发机构(CA)证书的证书链文件。 按照优先顺序,此文件只是PEM编码的证书文件的串联。 这可以用作替代或 除了CA证书路径。 这些证书用于客户端证书身份验证和构建服务器证书链,除了服务器证书之外,这些证书还将发送到浏览器。
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
SSL协议⇑
Description
自定义侦听器接受的SSL协议。
密码套件⇑
Description
Specifies the cipher suite to be used when negotiating the SSL handshake. LSWS supports cipher suites implemented in SSL v3.0, TLS v1.0, TLS v1.2, and TLS v1.3.
Syntax
Colon-separated string of cipher specifications.
例子
提示
We recommend leaving this field blank to use our default cipher which follows SSL cipher best practices.
启用ECDH密钥交换⇑
Description
允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。
Syntax
从单选框选择
提示
[安全建议] ECDH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥交换安全性相同。
[性能] 启用ECDH密钥交换会增加CPU负载,并且比仅使用RSA密钥要慢。
启用DH密钥交换⇑
Description
允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。
Syntax
从单选框选择
提示
[安全建议] DH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥安全性相同。
[x性能] 启用DH密钥交换将增加CPU负载,并且比ECDH密钥交换和RSA都慢。 如果可用,则首选ECDH密钥交换。
DH参数⇑
Description
指定DH密钥交换所需的Diffie-Hellman参数文件的位置。
Syntax
文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。
SSL密钥重新协商保护⇑
Description
指定是否启用SSL密钥重新协商保护以 防御基于SSL握手的攻击。 默认值为“是”。
Syntax
从单选框选择
提示
可以在侦听器和虚拟主机级别启用此设置。
启用SSL会话缓存⇑
Description
使用OpenSSL的默认设置启用会话ID缓存。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes
Syntax
从单选框选择
启用会话记录单⇑
Description
使用OpenSSL的默认会话票证设置启用会话记录单。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes
Syntax
从单选框选择
启用 SPDY/HTTP2/HTTP3⇑
Description
有选择地启用HTTP/3,HTTP/2和SPDY HTTP网络协议。
如果要禁用SPDY,HTTP/2和HTTP3,请选中“无”,并取消选中所有其他框。
Default value: All enabled
Syntax
从复选框中选择
提示
可以在侦听器和虚拟主机级别上设置此设置。
打开HTTP3/QUIC (UDP) 端口⇑
Description
允许对映射到该监听器的虚拟主机使用HTTP3/QUIC网络协议. 为了使此设置生效,还必须在服务器级别将启用HTTP3/QUIC设置为是。 默认值为是。
提示
当此设置设置为是时,仍可以通过Enable HTTP3/QUIC设置在虚拟主机级别禁用HTTP3/QUIC。
Client Verification⇑
Description
Specifies the type of client certifcate authentication. Available types are:
- None: No client certificate is required.
- Optional: Client certificate is optional.
- Require: The client must has valid certificate.
- Optional_no_ca: Same as optional.
Syntax
从列表中选择
提示
"None" or "Require" are recommended.
验证深度⇑
Description
Specifies how deeply a certificate should be verified before determining that the client does not have a valid certificate. The default is "1".
Syntax
从列表中选择
客户端吊销路径⇑
Description
Specifies the directory containing PEM-encoded CA CRL files for revoked client certificates. The files in this directory have to be PEM-encoded. These files are accessed through hash filenames, hash-value.rN. Please refer to openSSL or Apache mod_ssl documentation regarding creating the hash filename.
Syntax
path