OpenLiteSpeed用户手册

描述

每个SSL侦听器都需要成对的SSL私钥和SSL证书。多个SSL侦听器可以共享相同的密钥和证书。
您可以使用SSL软件包自行生成SSL私钥，例如OpenSSL。SSL证书也可以从授权证书颁发机构（如VeriSign或Thawte）购买。您也可以自己签署证书。自签名证书将不受Web浏览器信任，并且不应在公共网站上使用。但是，自签名证书足以供内部使用，例如用于加密到LiteSpeed Web服务器WebAdmin控制台的流量。

描述

SSL私钥文件的文件名。密钥文件不应加密。

语法

文件路径

提示

[安全建议] 私钥文件应放在安全目录中，并且只允许服务器运行用户读取。

描述

SSL证书文件的文件名。

语法

文件路径

提示

[安全建议] 证书文件应放在安全目录中，并且只允许服务器运行用户读取。

描述

指定证书是否为链式证书。存储证书链的文件必须为PEM格式，并且证书必须按链式顺序排列，从最低级别（实际的客户端或服务器证书）到最高级别（根CA）。

语法

布尔值

描述

指定保存证书颁发机构（CA）证书的目录。这些证书用于客户端证书身份验证，并用于构建服务器证书链。服务器证书链会随服务器证书一起发送给浏览器。

语法

路径

描述

指定包含链式证书所需证书颁发机构（CA）证书的文件。此文件只是按优先顺序串联的PEM编码证书文件。它可以替代CA证书路径使用，也可以与其配合使用。这些证书用于客户端证书身份验证，并用于构建服务器证书链。服务器证书链会随服务器证书一起发送给浏览器。

语法

文件路径

描述

侦听器接受的SSL协议选择。

选项包括：SSL v3.0、TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3。

语法

从复选框中选择

描述

指定SSL握手时要使用的密码套件。 LSWS支持在SSL v3.0，TLS v1.0，TLS v1.2和TLS v1.3中实现的密码套件。

语法

以冒号分隔的密码套件规范字符串。

示例

ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

提示

[安全建议] 建议将此字段留空，以使用遵循SSL密码最佳实践的默认密码套件。

描述

允许使用椭圆曲线Diffie-Hellman密钥交换进行进一步的SSL加密。

语法

布尔值

提示

[安全建议] ECDH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥交换安全性相同。

[性能] 启用ECDH密钥交换会增加CPU负载，并且比仅使用RSA密钥要慢。

描述

允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。

语法

布尔值

提示

[安全建议] DH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥安全性相同。

[性能] 启用DH密钥交换会增加CPU负载，并且比ECDH密钥交换和RSA都慢。如果可用，建议优先使用ECDH密钥交换。

描述

指定DH密钥交换所需的Diffie-Hellman参数文件的位置。

语法

文件路径

描述

指定是否启用SSL密钥重新协商保护，以防御基于SSL握手的攻击。默认值为Yes。

语法

布尔值

提示

Information 可以在侦听器和虚拟主机级别启用此设置。

描述

使用OpenSSL的默认设置启用会话ID缓存。服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

语法

布尔值

描述

使用OpenSSL的默认会话票证设置启用会话记录单。服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

语法

布尔值

描述

应用层协议协商（ALPN）用于有选择地启用HTTP/3和HTTP/2网络协议。

如果要禁用HTTP/2和HTTP3，请勾选None，并取消勾选所有其他选项。

默认值：全部启用

语法

从复选框选择

提示

Information 可在侦听器和虚拟主机级别设置。

描述

允许映射到此侦听器的虚拟主机使用HTTP/3/QUIC网络协议。要使此设置生效，服务器级别的启用HTTP3/QUIC也必须设置为Yes。默认值为Yes。

提示

Information 当此设置为Yes时，仍可以通过虚拟主机级别的启用HTTP3/QUIC设置禁用HTTP/3/QUIC。

描述

在线证书状态协议（OCSP）是更加有效的检查数字证书是否有效的方式。它通过与另一台服务器（OCSP响应服务器）通信，以获取证书有效的验证，而不是通过证书吊销列表（CRL）进行检查。

OCSP装订是对该协议的进一步改进，允许服务器以固定的时间间隔而不是每次请求证书时与OCSP响应程序进行检查。有关更多详细信息，请参见 OCSP Wikipedia页面。

描述

确定是否启用OCSP装订，这是一种更有效的验证公钥证书的方式。

语法

布尔值

描述

此选项设置OCSP响应的最大有效时间。如果OCSP响应早于该最大有效时间，服务器将联系OCSP响应服务器以获取新的响应。默认值为86400。将此值设置为-1可以关闭最大有效时间限制。

语法

秒数整数

描述

指定要使用的OCSP响应服务器的URL。如果未设置，则服务器将尝试联系OCSP响应服务器在证书颁发机构的颁发者证书中有详细说明。某些颁发者证书可能未指定OCSP服务器URL。

语法

以http://开头的URL

示例

http://rapidssl-ocsp.geotrust.com

描述

指定存储OCSP证书颁发机构（CA）证书的文件的位置。这些证书用于检查OCSP响应服务器的响应（并确保这些响应不被欺骗或以其他方式被破坏）。该文件应包含整个证书链。如果该文件不包含根证书，则LSWS无需将根证书添加到文件中就应该能够在系统目录中找到该根证书，但是，如果此验证失败，则应尝试将根证书添加到此文件中。

此设置是可选的。如果未设置，服务器会自动检查CA证书文件。

语法

文件路径

描述

指定客户端证书身份验证的类型。可用类型包括：

None: 不需要客户端证书。
Optional: 客户端证书可选。
Require: 客户端必须提供有效证书。
Optional_no_ca: 与Optional相同。

默认值为None。

语法

从下拉列表选择

提示

Information 建议使用None或Require。

描述

指定在判定客户端没有有效证书之前，应验证证书链的深度。默认值为1。

语法

从下拉列表选择

描述

指定包含已吊销客户端证书的PEM编码CA CRL文件的目录。此目录中的文件必须为PEM编码。这些文件通过哈希文件名（hash-value.rN）访问。有关如何创建哈希文件名，请参考OpenSSL或Apache mod_ssl文档。

语法

路径

描述

指定包含PEM编码CA CRL文件的文件，这些文件列出已吊销的客户端证书。它可以替代客户端吊销路径使用，也可以与其配合使用。

语法

文件路径

SSL私钥和证书

SSL协议

安全与功能

OCSP装订

客户端验证

描述

描述

语法

提示

描述

语法

提示

描述

语法

描述

语法

描述

语法

描述

语法

描述

语法

示例

提示

描述

语法

提示

描述

语法

提示

描述

语法

描述

语法

提示

描述

语法

描述

语法

描述

语法

提示

描述

提示

描述

描述

语法

描述

语法

描述

语法

示例

描述

语法

描述

语法

提示

描述

语法

描述

语法

描述

语法