OpenLiteSpeed logo OpenLiteSpeed用户手册
Web控制台

管理监听器SSL

管理监听器专用于管理服务器。建议管理服务器使用安全(SSL)监听器。

目录

SSL私钥和证书

SSL协议

安全与功能

客户端验证

SSL私钥和证书

描述

每个SSL侦听器都需要成对的SSL私钥和SSL证书。 多个SSL侦听器可以共享相同的密钥和证书。
您可以使用SSL软件包自行生成SSL私钥, 例如OpenSSL。SSL证书也可以从授权证书颁发机构(如VeriSign或Thawte)购买。您也可以自己签署证书。 自签名证书将不受Web浏览器信任,并且不应在公共网站上使用。但是,自签名证书足以供内部使用,例如用于加密到LiteSpeed Web服务器WebAdmin控制台的流量。

私钥文件

描述

SSL私钥文件的文件名。密钥文件不应加密。

语法

文件路径

提示

[安全建议] 私钥文件应放在安全目录中,并且只允许服务器运行用户读取。

证书文件

描述

SSL证书文件的文件名。

语法

文件路径

提示

[安全建议] 证书文件应放在安全目录中,并且只允许服务器运行用户读取。

证书链

描述

指定证书是否为链式证书。存储证书链的文件必须为PEM格式, 并且证书必须按链式顺序排列,从最低级别(实际的客户端或服务器证书)到最高级别(根CA)。

语法

布尔值

CA证书路径

描述

指定保存证书颁发机构(CA)证书的目录。这些证书用于客户端证书身份验证,并用于构建服务器证书链。服务器证书链会随服务器证书一起发送给浏览器。

语法

路径

CA证书文件

描述

指定包含链式证书所需证书颁发机构(CA)证书的文件。 此文件只是按优先顺序串联的PEM编码证书文件。它可以替代CA证书路径使用,也可以与其配合使用。这些证书用于客户端证书身份验证,并用于构建服务器证书链。服务器证书链会随服务器证书一起发送给浏览器。

语法

文件路径

协议版本

描述

侦听器接受的SSL协议选择。

选项包括:SSL v3.0TLS v1.0TLS v1.1TLS v1.2TLS v1.3

语法

从复选框中选择

密码套件

描述

指定SSL握手时要使用的密码套件。 LSWS支持在SSL v3.0,TLS v1.0,TLS v1.2和TLS v1.3中实现的密码套件。

语法

以冒号分隔的密码套件规范字符串。

示例

ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

提示

[安全建议] 建议将此字段留空,以使用遵循SSL密码最佳实践的默认密码套件。

启用ECDH密钥交换

描述

允许使用椭圆曲线Diffie-Hellman密钥交换进行进一步的SSL加密。

语法

布尔值

提示

[安全建议] ECDH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥交换安全性相同。

[性能] 启用ECDH密钥交换会增加CPU负载,并且比仅使用RSA密钥要慢。

启用DH密钥交换

描述

允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。

语法

布尔值

提示

[安全建议] DH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥安全性相同。

[性能] 启用DH密钥交换会增加CPU负载,并且比ECDH密钥交换和RSA都慢。如果可用,建议优先使用ECDH密钥交换。

DH参数

描述

指定DH密钥交换所需的Diffie-Hellman参数文件的位置。

语法

文件路径

SSL密钥重新协商保护

描述

指定是否启用SSL密钥重新协商保护,以 防御基于SSL握手的攻击。默认值为Yes

语法

布尔值

提示

Information 可以在侦听器和虚拟主机级别启用此设置。

启用SSL会话缓存

描述

使用OpenSSL的默认设置启用会话ID缓存。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

语法

布尔值

启用会话记录单

描述

使用OpenSSL的默认会话票证设置启用会话记录单。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

语法

布尔值

ALPN

描述

应用层协议协商(ALPN)用于有选择地启用HTTP/3和HTTP/2网络协议。

如果要禁用HTTP/2和HTTP3,请勾选None,并取消勾选所有其他选项。

默认值:全部启用

语法

从复选框选择

提示

Information 可在侦听器和虚拟主机级别设置。

打开HTTP/3/QUIC(UDP)端口

描述

允许映射到此侦听器的虚拟主机使用HTTP/3/QUIC网络协议。 要使此设置生效,服务器级别的启用HTTP3/QUIC也必须设置为Yes。 默认值为Yes

提示

Information 当此设置为Yes时,仍可以通过虚拟主机级别的启用HTTP3/QUIC设置禁用HTTP/3/QUIC。

客户端验证

描述

指定客户端证书身份验证的类型。 可用类型包括:

  • None: 不需要客户端证书。
  • Optional: 客户端证书可选。
  • Require: 客户端必须提供有效证书。
  • Optional_no_ca: 与Optional相同。
默认值为None

语法

从下拉列表选择

提示

Information 建议使用NoneRequire

验证深度

描述

指定在判定客户端没有有效证书之前,应验证证书链的深度。 默认值为1

语法

从下拉列表选择

客户端吊销路径

描述

指定包含已吊销客户端证书的PEM编码CA CRL文件的目录。 此目录中的文件必须为PEM编码。 这些文件通过哈希文件名(hash-value.rN)访问。 有关如何创建哈希文件名,请参考OpenSSL或Apache mod_ssl文档。

语法

路径

客户端吊销文件

描述

指定包含PEM编码CA CRL文件的文件,这些文件列出已吊销的客户端证书。 它可以替代客户端吊销路径使用,也可以与其配合使用。

语法

文件路径