虚拟主机SSL

描述

每个SSL侦听器都需要成对的SSL私钥和SSL证书。 多个SSL侦听器可以共享相同的密钥和证书。
您可以使用SSL软件包自行生成SSL私钥， 例如OpenSSL。SSL证书也可以从授权证书颁发机构（如VeriSign或Thawte）购买。您也可以自己签署证书。 自签名证书将不受Web浏览器信任，并且不应在公共网站上使用。但是，自签名证书足以供内部使用，例如用于加密到LiteSpeed Web服务器WebAdmin控制台的流量。

描述

SSL私钥文件的文件名。密钥文件不应加密。

语法

文件路径

提示

[安全建议] 私钥文件应放在安全目录中，并且只允许服务器运行用户读取。

描述

SSL证书文件的文件名。

语法

文件路径

提示

[安全建议] 证书文件应放在安全目录中，并且只允许服务器运行用户读取。

描述

指定证书是否为链式证书。存储证书链的文件必须为PEM格式， 并且证书必须按链式顺序排列，从最低级别（实际的客户端或服务器证书）到最高级别（根CA）。

语法

布尔值

描述

指定保存证书颁发机构（CA）证书的目录。这些证书用于客户端证书身份验证，并用于构建服务器证书链。服务器证书链会随服务器证书一起发送给浏览器。

语法

路径

描述

指定包含链式证书所需证书颁发机构（CA）证书的文件。 此文件只是按优先顺序串联的PEM编码证书文件。它可以替代CA证书路径使用，也可以与其配合使用。这些证书用于客户端证书身份验证，并用于构建服务器证书链。服务器证书链会随服务器证书一起发送给浏览器。

语法

文件路径

描述

指定SSL握手时要使用的密码套件。 LSWS支持在SSL v3.0，TLS v1.0，TLS v1.2和TLS v1.3中实现的密码套件。

语法

以冒号分隔的密码套件规范字符串。

示例

提示

[安全建议] 建议将此字段留空，以使用遵循SSL密码最佳实践的默认密码套件。

描述

允许使用椭圆曲线Diffie-Hellman密钥交换进行进一步的SSL加密。

语法

布尔值

提示

[安全建议] ECDH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥交换安全性相同。

[性能] 启用ECDH密钥交换会增加CPU负载，并且比仅使用RSA密钥要慢。

描述

允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。

语法

布尔值

提示

[安全建议] DH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥安全性相同。

[性能] 启用DH密钥交换会增加CPU负载，并且比ECDH密钥交换和RSA都慢。如果可用，建议优先使用ECDH密钥交换。

描述

指定DH密钥交换所需的Diffie-Hellman参数文件的位置。

语法

文件路径

描述

使用Automatic Certificate Management Environment（ACME）证书协议自动生成和续订SSL证书（配置后）。更多信息请参见：
自动SSL证书（ACME）

在服务器级别将此项设置为Disabled会在整个服务器范围内禁用此设置。在其他所有情况下， 服务器级别设置都可以在虚拟主机级别覆盖。

默认值：
服务器级别：关闭
虚拟主机级别：继承服务器级别设置

语法

从列表中选择

描述

（可选）执行通配符证书生成API调用时使用的dns类型。此值取决于所使用的DNS提供商， 生成非通配符证书时不需要。有关可用dns类型API值的更多信息，请参见：
acme.sh-如何使用DNS API

与设置环境配合使用。

示例

描述

（可选）执行通配符证书生成API调用时要包含的环境值。所需的具体值取决于使用的DNS提供商， 生成非通配符证书时不需要。有关所需环境API值的更多信息，请参见：
acme.sh-如何使用DNS API

与设置ACME API dns_type配合使用。

语法

Key="VALUE"键值对列表，每行一个，且每个VALUE都用双引号括起。

示例

描述

指定是否启用SSL密钥重新协商保护，以 防御基于SSL握手的攻击。默认值为Yes。

语法

布尔值

提示

Information 可以在侦听器和虚拟主机级别启用此设置。

描述

使用OpenSSL的默认设置启用会话ID缓存。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

语法

布尔值

描述

使用OpenSSL的默认会话票证设置启用会话记录单。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

语法

布尔值

描述

应用层协议协商（ALPN）用于有选择地启用HTTP/3和HTTP/2网络协议。

如果要禁用HTTP/2和HTTP3，请勾选None，并取消勾选所有其他选项。

默认值：全部启用

语法

从复选框选择

提示

Information 可在侦听器和虚拟主机级别设置。

描述

为此虚拟主机启用HTTP3/QUIC网络协议。 要使此设置生效，服务器级别的启用HTTP3/QUIC和监听器级别的打开HTTP/3/QUIC（UDP）端口也必须分别设置为Yes。 默认值为Yes。

语法

从单选框中选择

提示

Information 当此设置为No时，将不再发送HTTP3/QUIC公告。如果浏览器仍缓存HTTP3/QUIC信息，并且服务器级别和监听器级别仍启用HTTP3/QUIC，则在这些信息不再缓存或遇到HTTP3/QUIC协议错误之前，仍会继续使用HTTP3/QUIC连接。

描述

在线证书状态协议（OCSP）是更加有效的检查数字证书是否有效的方式。 它通过与另一台服务器（OCSP响应服务器）通信，以获取证书有效的验证，而不是通过证书吊销列表（CRL）进行检查。

OCSP装订是对该协议的进一步改进，允许服务器以固定的时间间隔而不是每次请求证书时与OCSP响应程序进行检查。 有关更多详细信息，请参见 OCSP Wikipedia页面 。

描述

确定是否启用OCSP装订，这是一种更有效的验证公钥证书的方式。

语法

布尔值

描述

此选项设置OCSP响应的最大有效时间。如果OCSP响应早于该最大有效时间，服务器将联系OCSP响应服务器以获取新的响应。默认值为86400。将此值设置为-1可以关闭最大有效时间限制。

语法

秒数整数

描述

指定要使用的OCSP响应服务器的URL。 如果未设置，则服务器将尝试联系OCSP响应服务器 在证书颁发机构的颁发者证书中有详细说明。 某些颁发者证书可能未指定OCSP服务器URL。

语法

以http://开头的URL

示例

描述

指定存储OCSP证书颁发机构（CA）证书的文件的位置。 这些证书用于检查OCSP响应服务器的响应（并确保这些响应不被欺骗或以其他方式被破坏）。 该文件应包含整个证书链。 如果该文件不包含根证书，则LSWS无需将根证书添加到文件中就应该能够在系统目录中找到该根证书， 但是，如果此验证失败，则应尝试将根证书添加到此文件中。

此设置是可选的。如果未设置，服务器会自动检查CA证书文件。

语法

文件路径

描述

指定客户端证书身份验证的类型。 可用类型包括：

• None: 不需要客户端证书。
• Optional: 客户端证书可选。
• Require: 客户端必须提供有效证书。
• Optional_no_ca: 与Optional相同。

语法

从下拉列表选择

提示

Information 建议使用None或Require。

描述

指定在判定客户端没有有效证书之前，应验证证书链的深度。 默认值为1。

语法

从下拉列表选择

描述

指定包含已吊销客户端证书的PEM编码CA CRL文件的目录。 此目录中的文件必须为PEM编码。 这些文件通过哈希文件名（hash-value.rN）访问。 有关如何创建哈希文件名，请参考OpenSSL或Apache mod_ssl文档。

语法

路径

描述

指定包含PEM编码CA CRL文件的文件，这些文件列出已吊销的客户端证书。 它可以替代客户端吊销路径使用，也可以与其配合使用。

语法

文件路径