簡體中文(ZH-CN) English(EN) 繁體中文(ZH-TW) 日本語(JA) ???(KO) Melayu(MS) Fran?ais(FR) Deutsch(DE)

目錄搜索

首頁版本說明從1.3升級到2.0 編譯時配置的改變運(yùn)行時配置的改變雜項(xiàng)變化第三方模塊從 2.0 升級到 2.2 編譯時配置的改變運(yùn)行時配置的改變雜項(xiàng)變化第三方模塊 Apache 2.1/2.2 版本的新特性核心增強(qiáng) 模塊增強(qiáng) 程序增強(qiáng) 針對模塊開發(fā)者的變化 Apache 2.0 版本的新特性核心的增強(qiáng) 模塊的增強(qiáng) Apache許可證參考手冊編譯與安裝針對心急者的概述要求下載解壓配置源代碼樹編譯安裝配置測試升級啟動 Apache是怎樣啟動的啟動時發(fā)生錯誤隨系統(tǒng)啟動時啟動額外信息停止與重新啟動簡介立即停止優(yōu)雅重啟立即重啟優(yōu)雅停止附錄：信號和競爭條件運(yùn)行時配置指令主配置文件配置文件的語法模塊指令的作用域 .htaccess文件配置段配置段(容器)的類型文件系統(tǒng)和網(wǎng)絡(luò)空間虛擬主機(jī) 代理允許使用哪些指令？配置段的合并內(nèi)容緩沖簡介緩沖概述安全方面的考慮文件句柄緩沖內(nèi)存緩沖磁盤緩沖服務(wù)器全局配置服務(wù)器標(biāo)識文件定位限制資源的使用日志文件安全警告錯誤日志訪問日志日志滾動管道日志虛擬主機(jī) 其他日志文件從URL到文件系統(tǒng)的映射相關(guān)模塊和指令 DocumentRoot DocumentRoot以外的文件用戶目錄 URL重定向反向代理重寫引擎 File Not Found 安全方面的提示保持不斷更新和升級 ServerRoot目錄的權(quán)限服務(wù)器端包含關(guān)于CGI 未指定為腳本的CGI 指定為腳本的CGI 其他動態(tài)內(nèi)容的來源系統(tǒng)設(shè)置的保護(hù) 默認(rèn)配置下服務(wù)器文件的保護(hù) 觀察日志文件動態(tài)共享對象(DSO) 實(shí)現(xiàn) 用法概要背景知識優(yōu)點(diǎn)和缺點(diǎn) 內(nèi)容協(xié)商關(guān)于內(nèi)容協(xié)商 Apache中的內(nèi)容協(xié)商協(xié)商的方法打亂品質(zhì)值透明內(nèi)容協(xié)商的擴(kuò)展超鏈和名稱轉(zhuǎn)換說明緩沖說明更多信息自定義錯誤響應(yīng) 行為配置自定義錯誤響應(yīng)與重定向地址和端口綁定概述針對IPv6的特殊考慮怎樣與虛擬主機(jī)協(xié)同工作多路處理模塊(MPM) 簡介選擇一個MPM 默認(rèn)的MPM 環(huán)境變量設(shè)置環(huán)境變量使用環(huán)境變量用于特殊目的的環(huán)境變量示例處理器的使用什么是處理器？例子程序員注意事項(xiàng) 過濾器 Apache2中的過濾器智能過慮使用過濾器 CGI腳本的Suexec執(zhí)行開始之前 suEXEC的安全模型配置和安裝suEXEC 啟用和禁用suEXEC 使用suEXEC 調(diào)試suEXEC 謹(jǐn)防Jabberwock：警告和舉例性能調(diào)整硬件和操作系統(tǒng) 運(yùn)行時的配置編譯時的配置附錄：蹤跡的詳細(xì)分析 URL重寫指南 mod_rewrite簡介實(shí)踐方案 URL的規(guī)劃內(nèi)容的處理對訪問的限制其他虛擬主機(jī)文檔總述虛擬主機(jī)支持配置指令基于主機(jī)名的虛擬主機(jī) 基于域名的虛擬主機(jī)和基于IP的虛擬主機(jī)比較使用基于域名的虛擬主機(jī) 與舊版瀏覽器的兼容性基于IP地址的虛擬主機(jī) 系統(tǒng)需求如何配置Apache 設(shè)置多個守護(hù)進(jìn)程配置擁有多個虛擬主機(jī)的單一守護(hù)進(jìn)程動態(tài)配置大量虛擬主機(jī) 動機(jī) 概述簡單的動態(tài)虛擬主機(jī) 一個實(shí)際的個人主頁系統(tǒng) 在同一個服務(wù)器上架設(shè)多個主機(jī)的虛擬系統(tǒng) 更為有效的基于IP地址的虛擬主機(jī) 使用老版本的Apache 使用mod_rewrite實(shí)現(xiàn)簡單的動態(tài)虛擬主機(jī) 使用mod_rewrite的個人主頁系統(tǒng) 使用獨(dú)立的虛擬主機(jī)配置文件虛擬主機(jī)的普通配置示例在一個IP地址上運(yùn)行多個基于域名的web站點(diǎn) 在多于一個IP的情況下使用基于域名的虛擬主機(jī) 在不同的IP的地址(比如一個內(nèi)部和一個外部地址)上提供相同的內(nèi)容在不同的端口上運(yùn)行不同的站點(diǎn) 建立基于IP的虛擬主機(jī) 混用基于端口和基于IP的虛擬主機(jī) 混用基于域名和基于IP的虛擬主機(jī) 將虛擬主機(jī)和代理模塊一起使用使用默認(rèn)虛擬主機(jī) 將一個基于域名的虛擬主機(jī)移植為一個基于IP的虛擬主機(jī) 使用ServerPath指令深入討論虛擬主機(jī)的匹配解析配置文件虛擬主機(jī)匹配小技巧文件描述符限制關(guān)于DNS和Apache 一個簡單示例拒絕服務(wù) "主服務(wù)器"地址避免這些問題的小技巧附錄：進(jìn)一步的提示常見問題概述 SSL/TLS 加密概述文檔 mod_ssl 緒論密碼技術(shù) 證書安全套接字層(SSL) 參考兼容性配置指令環(huán)境變量自定義日志功能如何... 加密方案和強(qiáng)制性高等級安全客戶認(rèn)證和訪問控制常見問題解答 About The Module Installation Configuration Certificates The SSL Protocol mod_ssl Support 如何.../指南概述認(rèn)證相關(guān)模塊和指令簡介先決條件啟用認(rèn)證允許多人訪問可能存在的問題其他認(rèn)證方法更多信息 CGI動態(tài)頁面簡介配置Apache以允許CGI 編寫CGI程序程序還是不能運(yùn)行！幕后是怎樣操作的? CGI模塊/庫更多信息服務(wù)器端包含簡介什么是SSI? 配置服務(wù)器以允許SSI 基本SSI指令附加的例子我還能設(shè)置其它什么？執(zhí)行命令高級SSI技術(shù) 總結(jié) .htaccess文件 .htaccess文件工作原理和使用方法 (不)使用.htaccess文件的場合指令的生效認(rèn)證舉例服務(wù)器端包含(SSI)舉例 CGI舉例疑難解答用戶網(wǎng)站目錄用戶網(wǎng)站目錄用UserDir設(shè)置文件路徑限定哪些用戶可以使用此功能啟用對每個用戶都有效的cgi目錄允許用戶改變配置對特定平臺的說明概述 Microsoft Windows 其他平臺在Microsoft Windows中使用Apache 對操作系統(tǒng)的要求下載 Apache for Windows 安裝 Apache for Windows 配置 Apache for Windows 以服務(wù)方式運(yùn)行 Apache for Windows 作為控制臺程序運(yùn)行Apache 測試安裝編譯Windows下的Apache 系統(tǒng)要求命令行編譯 Developer Studio集成開發(fā)環(huán)境的工作區(qū)編譯項(xiàng)目組件在Novell NetWare平臺上使用Apache Requirements Downloading Apache for NetWare Installing Apache for NetWare Running Apache for NetWare Configuring Apache for NetWare Compiling Apache for NetWare 在HP-UX中運(yùn)行Apache The Apache EBCDIC Port Overview of the Apache EBCDIC Port Design Goals Technical Solution Porting Notes Document Storage Notes Apache Modules' Status Third Party Modules' Status 服務(wù)器與支持程序概述 httpd 語法選項(xiàng) ab 語法選項(xiàng) Bugs apachectl 語法選項(xiàng) apxs 語法選項(xiàng) 舉例 configure 語法選項(xiàng) 環(huán)境變量 dbmmanage 語法選項(xiàng) Bugs htcacheclean 語法選項(xiàng) 返回值 htdbm 語法選項(xiàng) Bugs 返回值舉例安全方面的考慮限制 htdigest 語法選項(xiàng) htpasswd 語法選項(xiàng) 返回值舉例安全方面的考慮限制 logresolve 語法選項(xiàng) rotatelogs 語法選項(xiàng) Portability suexec 語法選項(xiàng) 其他程序 log_server_status split-logfile 雜項(xiàng)文檔概述相關(guān)標(biāo)準(zhǔn) HTTP推薦標(biāo)準(zhǔn) HTML推薦標(biāo)準(zhǔn) 認(rèn)證語言/國家代碼 Apache 模塊描述模塊的術(shù)語說明狀態(tài) 源代碼文件模塊標(biāo)識符兼容性描述指令的術(shù)語說明語法默認(rèn)值(Default) 作用域(Context) 覆蓋項(xiàng)(Override) 狀態(tài) 模塊(Module) 兼容性(Compatibility) Apache核心(Core)特性 AcceptFilter AcceptPathInfo AccessFileName AddDefaultCharset AddOutputFilterByType AllowEncodedSlashes AllowOverride AuthName AuthType CGIMapExtension ContentDigest DefaultType <Directory> <DirectoryMatch> DocumentRoot EnableMMAP EnableSendfile ErrorDocument ErrorLog FileETag <Files> <FilesMatch> ForceType HostnameLookups <IfDefine> <IfModule> Include KeepAlive KeepAliveTimeout <Limit> <LimitExcept> LimitInternalRecursion LimitRequestBody LimitRequestFields LimitRequestFieldSize LimitRequestLine LimitXMLRequestBody <Location> <LocationMatch> LogLevel MaxKeepAliveRequests NameVirtualHost Options Require RLimitCPU RLimitMEM RLimitNPROC Satisfy ScriptInterpreterSource ServerAdmin ServerAlias ServerName ServerPath ServerRoot ServerSignature ServerTokens SetHandler SetInputFilter SetOutputFilter TimeOut TraceEnable UseCanonicalName UseCanonicalPhysicalPort <VirtualHost> Apache MPM 公共指令 AcceptMutex CoreDumpDirectory EnableExceptionHook GracefulShutdownTimeout Group Listen ListenBackLog LockFile MaxClients MaxMemFree MaxRequestsPerChild MaxSpareThreads MinSpareThreads PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize ServerLimit StartServers StartThreads ThreadLimit ThreadsPerChild ThreadStackSize User Apache MPM beos MaxRequestsPerThread CoreDumpDirectory Group Listen ListenBacklog MaxClients MaxMemFree MaxSpareThreads MinSpareThreads PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize StartThreads User Apache MPM event AcceptMutex CoreDumpDirectory EnableExceptionHook Group Listen ListenBacklog LockFile MaxClients MaxMemFree MaxRequestsPerChild MaxSpareThreads MinSpareThreads PidFile ScoreBoardFile SendBufferSize ServerLimit StartServers ThreadLimit ThreadsPerChild ThreadStackSize User Apache MPM netware MaxThreads Listen ListenBacklog MaxMemFree MaxRequestsPerChild MaxSpareThreads MinSpareThreads ReceiveBufferSize SendBufferSize StartThreads ThreadStackSize Apache MPM os2 Group Listen ListenBacklog MaxRequestsPerChild MaxSpareThreads MinSpareThreads PidFile ReceiveBufferSize SendBufferSize StartServers User Apache MPM prefork 工作方式 MaxSpareServers MinSpareServers AcceptMutex CoreDumpDirectory EnableExceptionHook Group Listen ListenBacklog LockFile MaxClients MaxMemFree MaxRequestsPerChild PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize ServerLimit StartServers User Apache MPM winnt Win32DisableAcceptEx CoreDumpDirectory Listen ListenBacklog MaxMemFree MaxRequestsPerChild PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize ThreadLimit ThreadsPerChild ThreadStackSize Apache MPM worker 工作方式 AcceptMutex CoreDumpDirectory EnableExceptionHook Group Listen ListenBacklog LockFile MaxClients MaxMemFree MaxRequestsPerChild MaxSpareThreads MinSpareThreads PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize ServerLimit StartServers ThreadLimit ThreadsPerChild ThreadStackSize User Apache Module mod_actions Action指令 Script指令 Apache Module mod_alias 處理順序 Alias AliasMatch Redirect RedirectMatch RedirectPermanent RedirectTemp ScriptAlias ScriptAliasMatch Apache Module mod_asis 用法 Apache Module mod_auth_basic AuthBasicAuthoritative AuthBasicProvider Apache Module mod_auth_digest 使用摘要認(rèn)證配合 MS Internet Explorer 6 工作 AuthDigestAlgorithm AuthDigestDomain AuthDigestNcCheck AuthDigestNonceFormat AuthDigestNonceLifetime AuthDigestProvider AuthDigestQop AuthDigestShmemSize Apache Module mod_authn_alias 示例 <AuthnProviderAlias> Apache Module mod_authn_anon 示例 Anonymous Anonymous_LogEmail Anonymous_MustGiveEmail Anonymous_NoUserID Anonymous_VerifyEmail Apache Module mod_authn_dbd 配置示例 AuthDBDUserPWQuery AuthDBDUserRealmQuery Apache Module mod_authn_dbm AuthDBMType AuthDBMUserFile Apache Module mod_authn_default AuthDefaultAuthoritative Apache Module mod_authn_file AuthUserFile Apache Module mod_authnz_ldap Contents Operation The require Directives 舉例 Using TLS Using SSL Using Microsoft FrontPage with mod_authnz_ldap AuthLDAPBindDN AuthLDAPBindPassword AuthLDAPCharsetConfig AuthLDAPCompareDNOnServer AuthLDAPDereferenceAliases AuthLDAPGroupAttribute AuthLDAPGroupAttributeIsDN AuthLDAPRemoteUserIsDN AuthLDAPUrl AuthzLDAPAuthoritative Apache Module mod_authz_dbm AuthDBMGroupFile AuthzDBMAuthoritative AuthzDBMType Apache Module mod_authz_default AuthzDefaultAuthoritative Apache Module mod_authz_groupfile AuthGroupFile AuthzGroupFileAuthoritative Apache Module mod_authz_host Allow Deny Order Apache Module mod_authz_owner 配置示例 AuthzOwnerAuthoritative Apache Module mod_authz_user AuthzUserAuthoritative Apache Module mod_autoindex Autoindex Request Query Arguments AddAlt AddAltByEncoding AddAltByType AddDescription AddIcon AddIconByEncoding AddIconByType DefaultIcon HeaderName IndexIgnore IndexOptions IndexOrderDefault IndexStyleSheet ReadmeName Apache Module mod_cache Related Modules and Directives 配置示例 CacheDefaultExpire CacheDisable CacheEnable CacheIgnoreCacheControl CacheIgnoreHeaders CacheIgnoreNoLastMod CacheLastModifiedFactor CacheMaxExpire CacheStoreNoStore CacheStorePrivate Apache Module mod_cern_meta MetaDir MetaFiles MetaSuffix Apache Module mod_cgi CGI 環(huán)境變量 CGI 腳本的調(diào)試 ScriptLog ScriptLogBuffer ScriptLogLength Apache Module mod_cgid ScriptSock ScriptLog ScriptLogBuffer ScriptLogLength Apache Module mod_charset_lite Common Problems CharsetDefault CharsetOptions CharsetSourceEnc Apache Module mod_dav Enabling WebDAV Security Issues Complex Configurations Dav DavDepthInfinity DavMinTimeout Apache Module mod_dav_fs DavLockDB Apache Module mod_dav_lock DavGenericLockDB Apache Module mod_dbd Connection Pooling Apache DBD API SQL Prepared Statements DBDExptime DBDKeep DBDMax DBDMin DBDParams DBDPersist DBDPrepareSQL DBDriver Apache Module mod_deflate 配置舉例啟用壓縮代理服務(wù)器 DeflateBufferSize DeflateCompressionLevel DeflateFilterNote DeflateMemLevel DeflateWindowSize Apache Module mod_dir DirectoryIndex DirectorySlash Apache Module mod_disk_cache CacheDirLength CacheDirLevels CacheMaxFileSize CacheMinFileSize CacheRoot Apache Module mod_dumpio 啟用dumpio支持 DumpIOInput DumpIOOutput Apache Module mod_echo ProtocolEcho Apache Module mod_env PassEnv SetEnv UnsetEnv Apache Module mod_example Compiling the example module Using the mod_example Module Example Apache Module mod_expires 交替間隔語法 ExpiresActive ExpiresByType ExpiresDefault Apache Module mod_ext_filter 舉例 ExtFilterDefine ExtFilterOptions Apache Module mod_file_cache Using mod_file_cache CacheFile MMapFile Apache Module mod_filter Smart Filtering Filter Declarations Configuring the Chain Examples Protocol Handling FilterChain FilterDeclare FilterProtocol FilterProvider FilterTrace Apache Module mod_headers 處理順序前處理和后處理舉例 Header RequestHeader Apache Module mod_ident IdentityCheck IdentityCheckTimeout Apache Module mod_imagemap New Features Imagemap File Example Mapfile Referencing your mapfile ImapBase ImapDefault ImapMenu Apache Module mod_include Enabling Server-Side Includes PATH_INFO with Server Side Includes Basic Elements Include Variables Variable Substitution Flow Control Elements SSIEndTag SSIErrorMsg SSIStartTag SSITimeFormat SSIUndefinedEcho XBitHack Apache Module mod_info 安全問題選擇哪些信息可以被顯示已知的局限 AddModuleInfo Apache Module mod_isapi 用法附加注釋程序員注記 ISAPIAppendLogToErrors ISAPIAppendLogToQuery ISAPICacheFile ISAPIFakeAsync ISAPILogNotSupported ISAPIReadAheadBuffer Apache Module mod_ldap 示例配置 LDAP 連接池 LDAP 緩沖使用SSL/TLS SSL/TLS 證書 LDAPCacheEntries LDAPCacheTTL LDAPConnectionTimeout LDAPOpCacheEntries LDAPOpCacheTTL LDAPSharedCacheFile LDAPSharedCacheSize LDAPTrustedClientCert LDAPTrustedGlobalCert LDAPTrustedMode LDAPVerifyServerCert Apache Module mod_log_config 定制日志文件格式安全考慮 BufferedLogs CookieLog CustomLog LogFormat TransferLog Apache Module mod_log_forensic 定制日志文件格式安全考慮 ForensicLog Apache Module mod_logio 定制日志文件格式 Apache Module mod_mem_cache MCacheMaxObjectCount MCacheMaxObjectSize MCacheMaxStreamingBuffer MCacheMinObjectSize MCacheRemovalAlgorithm MCacheSize Apache Module mod_mime 帶多擴(kuò)展名的文件內(nèi)容編碼字符集和語言 AddCharset AddEncoding AddHandler AddInputFilter AddLanguage AddOutputFilter AddType DefaultLanguage ModMimeUsePathInfo MultiviewsMatch RemoveCharset RemoveEncoding RemoveHandler RemoveInputFilter RemoveLanguage RemoveOutputFilter RemoveType TypesConfig Apache Module mod_mime_magic "Magic文件"的格式性能問題注意 MimeMagicFile Apache Module mod_negotiation 類型表 MultiViews CacheNegotiatedDocs ForceLanguagePriority LanguagePriority Apache Module mod_nw_ssl NWSSLTrustedCerts NWSSLUpgradeable SecureListen Apache Module mod_proxy 正向和反向代理簡單示例控制對代理服務(wù)器的訪問緩慢啟動局域網(wǎng)代理協(xié)議調(diào)整請求體 AllowCONNECT NoProxy <Proxy> ProxyBadHeader ProxyBlock ProxyDomain ProxyErrorOverride ProxyIOBufferSize <ProxyMatch> ProxyMaxForwards ProxyPass ProxyPassReverse ProxyPassReverseCookieDomain ProxyPassReverseCookiePath ProxyPreserveHost ProxyReceiveBufferSize ProxyRemote ProxyRemoteMatch ProxyRequests ProxyTimeout ProxyVia Apache Module mod_proxy_ajp Overview of the protocol Basic Packet Structure Request Packet Structure Response Packet Structure Apache Module mod_proxy_balancer Load balancer scheduler algorithm Request Counting Algorithm Weighted Traffic Counting Algorithm Enabling Balancer Manager Support Apache Module mod_proxy_connect Apache Module mod_proxy_ftp 為什么xxx類型的文件不能從FTP下載？如何強(qiáng)制文件xxx使用FTP的ASCII形式下載？我如何使用FTP上傳？我如何能訪問我自己home目錄以外的FTP文件？我如何才能在瀏覽器的URL框中隱藏FTP的明文密碼？ Apache Module mod_proxy_http Apache Module mod_rewrite 特殊字符的引用環(huán)境變量實(shí)用方案 RewriteBase RewriteCond RewriteEngine RewriteLock RewriteLog RewriteLogLevel RewriteMap RewriteOptions RewriteRule Apache Module mod_setenvif BrowserMatch BrowserMatchNoCase SetEnvIf SetEnvIfNoCase Apache Module mod_so 為Windows創(chuàng)建可加載模塊 LoadFile LoadModule Apache Module mod_speling CheckSpelling Apache Module mod_ssl 環(huán)境變量 Custom Log Formats SSLCACertificateFile SSLCACertificatePath SSLCADNRequestFile SSLCADNRequestPath SSLCARevocationFile SSLCARevocationPath SSLCertificateChainFile SSLCertificateFile SSLCertificateKeyFile SSLCipherSuite SSLCryptoDevice SSLEngine SSLHonorCipherOrder SSLMutex SSLOptions SSLPassPhraseDialog SSLProtocol SSLProxyCACertificateFile SSLProxyCACertificatePath SSLProxyCARevocationFile SSLProxyCARevocationPath SSLProxyCipherSuite SSLProxyEngine SSLProxyMachineCertificateFile SSLProxyMachineCertificatePath SSLProxyProtocol SSLProxyVerify SSLProxyVerifyDepth SSLRandomSeed SSLRequire SSLRequireSSL SSLSessionCache SSLSessionCacheTimeout SSLUserName SSLVerifyClient SSLVerifyDepth Apache Module mod_status Enabling Status Support 自動更新 Machine Readable Status File ExtendedStatus Apache Module mod_suexec SuexecUserGroup Apache Module mod_unique_id Theory Apache Module mod_userdir UserDir Apache Module mod_usertrack Logging 2-digit or 4-digit dates for cookies? CookieDomain CookieExpires CookieName CookieStyle CookieTracking Apache Module mod_version <IfVersion> Apache Module mod_vhost_alias 目錄名稱的轉(zhuǎn)換示例 VirtualDocumentRoot VirtualDocumentRootIP VirtualScriptAlias VirtualScriptAliasIP 開發(fā)者文檔 Overview Topics External Resources Apache API notes Basic concepts How handlers work Resource allocation and resource pools Configuration Debugging Memory Allocation in APR Available debugging options Allowable Combinations Activating Debugging Options Documenting Apache 2.0 Apache 2.0 Hook Functions Creating a hook function Hooking the hook Converting Modules from Apache 1.3 to Apache 2.0 The easier changes ... The messier changes... Request Processing in Apache 2.0 The Request Processing Cycle The Request Parsing Phase The Security Phase The Preparation Phase The Handler Phase How Filters Work in Apache 2.0 Filter Types How are filters inserted? Asis Explanations 詞匯和索引詞匯表模塊索引指令索引指令速查譯者聲明

?
本文檔使用 PHP中文網(wǎng)手冊發(fā)布

文字

SSL/TLS高強(qiáng)度加密：如何...?

這個問題的解決方案是簡單而且直接的，只是為了給讀者做做練習(xí)。

-- 標(biāo)準(zhǔn)教科書

由于SSL、HTTP、Apache三者共同對請求進(jìn)行處理，這使得在支持SSL的web服務(wù)器上實(shí)現(xiàn)特殊的安全制約變得不那么簡單。本節(jié)介紹了普通情況下的解決方案，作為找出最終方案的第一步。采用這些方案以前，先要盡量地去理解，不了解其限制和相關(guān)性就貿(mào)然使用是最糟糕的了。

加密方案和強(qiáng)制性高等級安全

僅使用SSLv2的服務(wù)器
僅接受高強(qiáng)度加密請求的服務(wù)器
以服務(wù)器為網(wǎng)關(guān)的加密
更強(qiáng)的針對目錄的加密需求

如何建立一個僅使用SSLv2的服務(wù)器？

可以這樣建立一個僅使用SSLv2協(xié)議及其密碼算法的服務(wù)器：

httpd.conf

SSLProtocol -all +SSLv2 SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP

如何建立一個僅接受高強(qiáng)度加密請求的SSL服務(wù)器？

如下設(shè)置為僅使用最強(qiáng)的七種密碼算法：

httpd.conf

SSLProtocol all SSLCipherSuite HIGH:MEDIUM

如何建立一個僅接受高強(qiáng)度加密請求的SSL服務(wù)器，而又允許對外瀏覽器使用更強(qiáng)的加密？

這個功能被稱為以服務(wù)器為網(wǎng)關(guān)的加密(Server Gated Cryptography[SGC])，在隨mod_ssl發(fā)布的README.GlobalID文檔中有詳細(xì)說明。簡單地說就是：服務(wù)器擁有一個由來自Verisign的一個特殊的CA證書簽發(fā)的服務(wù)器身份證，從而在對外瀏覽器上實(shí)現(xiàn)高強(qiáng)度加密。其過程如下：瀏覽器使用對外密碼進(jìn)行連接，服務(wù)器返回其全局ID身份證，瀏覽器校驗(yàn)后在后繼HTTP通訊產(chǎn)生之前提升其密碼組。現(xiàn)在的問題是：如何允許這樣的提升，而又強(qiáng)制性地使用高強(qiáng)度加密。換句話說就是：瀏覽器必須在開始連接時就使用高強(qiáng)度加密，或者提升到高強(qiáng)度加密，但是維持對外密碼是不允許的。以下巧妙地解決了這個問題：

httpd.conf

# 允許在初始握手階段使用所有的密碼，以允許對外服務(wù)器通過SGC功能提升密碼組 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL <Directory /usr/local/apache2/htdocs> # 但是最終會拒絕所有沒有提升密碼組的瀏覽器 SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128 </Directory>

如何建立接受所有類型密碼的SSL服務(wù)器，但對特定的URL實(shí)施高強(qiáng)度加密？

顯然，不能使用服務(wù)器全局設(shè)置SSLCipherSuite，它會限制密碼為強(qiáng)類型。但是，mod_ssl允許重配置針對目錄的密碼組，并自動進(jìn)行一個帶有服從新配置的SSL參數(shù)的重協(xié)商。因此，其解決方案成了：

# 在一般情況下的處理是寬松的 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL <Location /strong/area> # 但對于 https://hostname/strong/area/ 及其以下的內(nèi)容要求高強(qiáng)度密碼 SSLCipherSuite HIGH:MEDIUM </Location>

客戶認(rèn)證和訪問控制

簡單的基于證書的客戶認(rèn)證
選擇性的基于證書的客戶認(rèn)證
特殊的基于證書的客戶認(rèn)證
intranet和internet的認(rèn)證

在知道所有客戶的情況下，如何實(shí)現(xiàn)基于證書的客戶認(rèn)證？

如果你了解你的用戶群體(比如：一個封閉的用戶組)，正如在一個Intranet中，則可以使用一般的證書認(rèn)證。所有要做的事情只是，建立由你自己的CA證書簽發(fā)的客戶證書ca.crt ，并依此證書校驗(yàn)客戶。

httpd.conf

# require a client certificate which has to be directly # signed by our CA certificate in ca.crt SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile conf/ssl.crt/ca.crt

如何針對一個特定的URL對客戶實(shí)施基于證書的認(rèn)證，而同時又允許任何客戶訪問服務(wù)器其余部分？

這又要用到mod_ssl提供的針對目錄的重配置功能：

httpd.conf

SSLVerifyClient none SSLCACertificateFile conf/ssl.crt/ca.crt <Location /secure/area> SSLVerifyClient require SSLVerifyDepth 1 </Location>

如何針對某些URL對特定的客戶實(shí)施基于證書的認(rèn)證，而同時又允許任何客戶訪問服務(wù)器其余部分？

其關(guān)鍵在于對客戶證書的各個組成部分進(jìn)行驗(yàn)證，一般就是指驗(yàn)證 Distinguished Name (DN) 的全部或部分。有基于mod_auth_basic和基于SSLRequire類型的兩種方法以驗(yàn)證。第一種方法適合用于客戶完全屬于不同類型，并為所有客戶建立了密碼數(shù)據(jù)庫的情形；第二種方法適用于客戶都屬于一個被編碼寫入DN的公共分級的一部分的情形，因?yàn)槠ヅ淇蛻魰菀住?/p>

第一種方法：

httpd.conf

SSLVerifyClient      none
<Directory /usr/local/apache2/htdocs/secure/area>

SSLVerifyClient      require
SSLVerifyDepth       5
SSLCACertificateFile conf/ssl.crt/ca.crt
SSLCACertificatePath conf/ssl.crt
SSLOptions           +FakeBasicAuth
SSLRequireSSL
AuthName             "Snake Oil Authentication"
AuthType             Basic
AuthBasicProvider    file
AuthUserFile         /usr/local/apache2/conf/httpd.passwd
require              valid-user
</Directory>

httpd.passwd

/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA
/C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA
/C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA

第二種方法：

httpd.conf

SSLVerifyClient      none
<Directory /usr/local/apache2/htdocs/secure/area>

  SSLVerifyClient      require
  SSLVerifyDepth       5
  SSLCACertificateFile conf/ssl.crt/ca.crt
  SSLCACertificatePath conf/ssl.crt
  SSLOptions           +FakeBasicAuth
  SSLRequireSSL
  SSLRequire       %{SSL_CLIENT_S_DN_O}  eq "Snake Oil, Ltd." \
               and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}
</Directory>

如何要求來自Internet的客戶使用強(qiáng)密碼的HTTPS，并對其訪問Intranet站點(diǎn)的子區(qū)域?qū)嵤┗蛘呋镜幕蛘呖蛻糇C書的認(rèn)證，而同時又允許Intranet的客戶進(jìn)行普通的HTTP訪問？

假設(shè)Intranet客戶的IP地址是192.160.1.0/24，Intranet站點(diǎn)子區(qū)域的URL是/subarea ，則可以在HTTPS虛擬主機(jī)以外這樣配置(以同時作用于HTTPS和HTTP)：

httpd.conf

SSLCACertificateFile conf/ssl.crt/company-ca.crt

<Directory /usr/local/apache2/htdocs>
# subarea以外的區(qū)域只允許來自Intranet的訪問
Order                deny,allow
Deny                 from all
Allow                from 192.168.1.0/24
</Directory>

<Directory /usr/local/apache2/htdocs/subarea>
# 在subarea以內(nèi)，允許所有來自Intranet的訪問，
# 但對來自Internet的訪問，僅允許HTTPS+Strong-Cipher+Password
# 或者HTTPS+Strong-Cipher+Client-Certificate

# 如果使用了HTTPS，則確保使用高強(qiáng)度加密
# 同時允許客戶以基本認(rèn)證的形式認(rèn)證
SSLVerifyClient      optional
SSLVerifyDepth       1
SSLOptions           +FakeBasicAuth +StrictRequire
SSLRequire           %{SSL_CIPHER_USEKEYSIZE} >= 128

# 強(qiáng)制來自Internet的客戶使用HTTPS
RewriteEngine        on
RewriteCond          %{REMOTE_ADDR} !^192\.168\.1\.[0-9]+$
RewriteCond          %{HTTPS} !=on
RewriteRule          .* - [F]

# 允許網(wǎng)絡(luò)訪問和基本認(rèn)證
Satisfy              any

# 控制網(wǎng)絡(luò)訪問
Order                deny,allow
Deny                 from all
Allow                192.168.1.0/24

# HTTP基本認(rèn)證
AuthType             basic
AuthName             "Protected Intranet Area"
AuthBasicProvider    file
AuthUserFile         conf/protected.passwd
Require              valid-user
</Directory>