Open LiteSpeed Web Serverユーザーズマニュアル

説明

すべてのSSLリスナーには、ペアのSSL秘密鍵とSSL証明書が必要です。複数のSSLリスナーは、同じ鍵と証明書を共有できます。
OpenSSLなどのSSLソフトウェアパッケージを使用して、SSL秘密鍵を自分で生成することができます。 SSL証明書は、VeriSignやThawteのような認証局から購入することもできます。自分で証明書に署名することもできます。自己署名証明書はWebブラウザから信頼されないため、重要なデータを含む公開Webサイトでは使用しないでください。ただし、自己署名証明書は内部使用に十分適しており、例えばLiteSpeed WebサーバーのWebAdminコンソールへのトラフィックの暗号化に使用できます。

説明

SSL秘密鍵ファイルのファイル名。キーファイルは暗号化しないでください。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

ヒント

[セキュリティ]秘密鍵ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にするセキュリティ保護されたディレクトリに配置する必要があります。

説明

SSL証明書ファイルのファイル名。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

ヒント

[セキュリティ]証明書ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にする安全なディレクトリに配置する必要があります。

説明

証明書がチェーン証明書であるかどうかを指定します。チェーン証明を格納するファイルは、PEM形式でなければならず、証明書は最下位レベル（実際のクライアントまたはサーバー証明書）から最上位（ルート）CAまでの連鎖の順序でなければなりません。

構文

ラジオボックスから選択

説明

証明機関（CA）の証明書が保存されるディレクトリを指定します。これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。

構文

パス

説明

チェーン証明書の証明機関（CA）のすべての証明書を含むファイルを指定します。このファイルは、PEMでエンコードされた証明書ファイルを単に優先順に連結したものです。これは、「CA証明書パス」の代替として、またはこれに加えて使用することができる。これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

説明

SSLハンドシェイクのネゴシエーション時に使用する暗号スイートを指定します。 LSWSは、SSL v3.0、TLS v1.0、TLS v1.2、およびTLS v1.3で実装された暗号スイートをサポートしています。

構文

コロン区切りの暗号仕様文字列。

例

ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

ヒント

[セキュリティ] SSL暗号のベストプラクティスに従うデフォルト暗号を使用するため、このフィールドは空白のままにすることをお勧めします。

説明

さらにSSL暗号化のために楕円曲線 Diffie-Hellman鍵交換を使用できます。

構文

ラジオボックスから選択

ヒント

[セキュリティ] ECDH鍵交換は、RSA鍵だけを使用するより安全です。 ECDHとDHキーの交換は同等に安全です。

[パフォーマンス] ECDH鍵交換を有効にするとCPU負荷が増加し、RSA鍵だけを使用する場合よりも遅くなります。

説明

さらにSSL暗号化のためにDiffie-Hellman鍵交換を使用できます。

構文

ラジオボックスから選択

ヒント

[セキュリティ] DHキーの交換は、RSAキーを使用するよりも安全です。 ECDHとDHキーの交換は同等に安全です。

[パフォーマンス] DHキー交換を有効にするとCPU負荷が増加し、ECDHキー交換とRSAよりも遅くなります。 ECDH鍵交換が利用可能な場合は、そちらを優先することをお勧めします。

説明

DHキー交換に必要なDiffie-Hellmanパラメータファイルの場所を指定します。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

説明

Automatic Certificate Management Environment (ACME)証明書プロトコルを使用して、SSL証明書を自動的に生成および更新します(設定済みの場合)。詳細はこちらを参照してください:
自動SSL証明書（ACME）

サーバーレベルでこれをDisabledに設定すると、この設定はサーバー全体で無効になります。それ以外の場合、サーバーレベルの設定はバーチャルホストレベルで上書きできます。

デフォルト値:
サーバーレベル: Off
VHレベル: サーバーレベル設定を継承

構文

ドロップダウンリストから選択

説明

(任意)ワイルドカード証明書生成API呼び出しを実行するときに使用するDNSタイプです。この値は使用するDNSプロバイダーによって異なり、ワイルドカード以外の証明書を生成する場合は不要です。使用可能なDNSタイプAPI値の詳細はこちらを参照してください:
acme.sh-DNS APIの使用方法

設定環境と組み合わせて使用します。

例

DNSプロバイダーがCloudFlareの場合、DNSタイプ値はdns_cfになります。

説明

(任意)ワイルドカード証明書生成API呼び出しを実行するときに含める環境値です。必要な具体的な値は使用するDNSプロバイダーによって異なり、ワイルドカード以外の証明書を生成する場合は不要です。必要な環境API値の詳細はこちらを参照してください:
acme.sh-DNS APIの使用方法

設定ACME API dns_typeと組み合わせて使用します。

構文

Key="VALUE"ペアのリスト。1行に1つずつ入力し、各VALUEは二重引用符で囲みます。

例

DNSプロバイダーがCloudFlareの場合、必要な環境値はCF_Token="YOUR_TOKEN"のみです。

説明

SSL再交渉保護を有効にするかどうかを指定します。 SSLハンドシェイクベースの攻撃に対して防御します。デフォルト値は"Yes"です。

構文

ラジオボックスから選択

ヒント

Information この設定は、リスナーレベルとバーチャルホストレベルで有効にできます。

説明

OpenSSLのデフォルト設定を使用してセッションIDキャッシュを有効にします。バーチャルホスト設定を有効にするには、サーバーレベル設定を"Yes"に設定する必要があります。
デフォルト値：
サーバーレベル：Yes
VHレベル：Yes

構文

ラジオボックスから選択

説明

セッションチケットを有効にします。「未設定」の場合、サーバーはopenSSLのデフォルトチケットを使用します。

構文

ラジオボタンから選択

説明

Application-Layer Protocol Negotiation(ALPN)は、HTTP/3とHTTP/2ネットワークプロトコルを選択的に有効にするために使用されます。

HTTP/2とHTTP3を無効にする場合は、Noneを選択し、他のすべてのチェックボックスを未選択のままにしてください。

デフォルト値: すべて有効

構文

チェックボックスから選択

ヒント

Information これはリスナーレベルとバーチャルホストレベルで設定できます。

説明

このバーチャルホストでHTTP3/QUICネットワークプロトコルを有効にします。この設定を有効にするには、サーバーレベルのHTTP3/QUICを有効にするとリスナーレベルのHTTP3/QUIC(UDP)ポートを開くもそれぞれYesに設定する必要があります。デフォルト値はYesです。

構文

ラジオボックスから選択

ヒント

Information この設定をNoにすると、HTTP3/QUIC広告は送信されなくなります。ブラウザにキャッシュされたHTTP3/QUIC情報が残っており、サーバーレベルとリスナーレベルでHTTP3/QUICが引き続き有効な場合、その情報のキャッシュが消えるかHTTP3/QUICプロトコルエラーが発生するまで、HTTP3/QUIC接続は引き続き使用されます。

説明

オンライン証明書ステータスプロトコル（OCSP）は、デジタル証明書が有効かどうかを確認するより効率的な方法です。 OCSP応答者である他のサーバーと通信して、証明書失効リスト（CRL）をチェックする代わりに証明書が有効であることを確認します。
OCSPステープリングは、このプロトコルのさらなる改良であり、証明書が要求されるたびにではなく、定期的な間隔でサーバーがOCSPレスポンダを確認できるようにします。詳細については、 OCSP Wikipedia のページをご覧ください。

説明

OCSPステープルを有効にするかどうかを決定します。これは、公開鍵証明書を検証するより効率的な方法です。

構文

ラジオボックスから選択

説明

このオプションは、OCSP応答の許容可能な最大経過時間を設定します。 OCSP応答がこの最大年齢より古い場合、サーバーはOCSP応答者に新しい応答を要求します。デフォルト値は86400です。この値を-1に設定すると、最大年齢を無効にすることができます。

構文

秒数

説明

使用するOCSPレスポンダのURLを指定します。設定されていない場合、サーバーは認証局の発行者証明書に記載されているOCSPレスポンダに接続を試みます。一部の発行者証明書には、OCSPレスポンダURLが指定されていない場合があります。

構文

http://で始まるURL

例

http://rapidssl-ocsp.geotrust.com

説明

OCSP認証局（CA）証明書が格納されるファイルの場所を指定します。これらの証明書は、OCSPレスポンダからのレスポンスを確認するために使用されます（また、そのレスポンスが偽装されていないか、または妥協されていないことを確認してください）。このファイルには、証明書チェーン全体が含まれている必要があります。このファイルにルート証明書が含まれていない場合、LSWSはファイルに追加することなくシステムディレクトリのルート証明書を見つけることができますが、この検証に失敗した場合はルート証明書をこのファイルに追加してください。

この設定はオプションです。この設定が設定されていない場合、サーバーは自動的にCA証明書ファイルをチェックします。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

説明

クライアント証明書認証のタイプを指定します。使用できるタイプは次のとおりです：

None: クライアント証明書は必要ありません。
Optional: クライアント証明書はオプションです。
Require: クライアントには有効な証明書が必要です。
Optional_no_ca: オプションと同じです。

デフォルトは "None"です。

構文

ドロップダウンリストから選択

ヒント

Information "None"または "Require"をお勧めします。

説明

クライアントに有効な証明書がないと判断する前に、証明書の検証の深さを指定します。デフォルトは "1"です。

構文

ドロップダウンリストから選択

説明

取り消されたクライアント証明書のPEMエンコードされたCA CRLファイルを含むディレクトリを指定します。このディレクトリのファイルはPEMでエンコードする必要があります。これらのファイルは、ハッシュファイル名、hash-value.rNによってアクセスされます。ハッシュファイル名の作成については、openSSLまたはApache mod_sslのドキュメントを参照してください。

構文

パス

説明

取り消されたクライアント証明書を列挙するPEMエンコードCA CRLファイルを含むファイルを指定します。これはクライアントの失効パスの代替として、または追加で使用できます。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

SSL秘密鍵と証明書

SSLプロトコル

ACMEによる自動証明書

セキュリティ

OCSPステープリング

クライアントの検証

説明

説明

構文

ヒント

説明

構文

ヒント

説明

構文

説明

構文

説明

構文

説明

構文

例

ヒント

説明

構文

ヒント

説明

構文

ヒント

説明

構文

説明

構文

説明

例

説明

構文

例

説明

構文

ヒント

説明

構文

説明

構文

説明

構文

ヒント

説明

構文

ヒント

説明

説明

構文

説明

構文

説明

構文

例

説明

構文

説明

構文

ヒント

説明

構文

説明

構文

説明

構文