Apache2.4HTTPServer版本2.4

421 107

此模块为ApacheHTTPServer提供SSLv3和TLSv1.x支持。SSLv2不再受支持。

这个模块依靠OpenSSL来提供密码引擎。

SSL文档中提供了更多细节,讨论和示例。

可以将此模块配置为向SSI和CGI命名空间提供多项SSL信息作为附加环境变量。由于性能原因,此信息不是默认提供的。(请参阅SSLOptions下面的StdEnvVars。)生成的变量在下表中列出。为了向后兼容,信息也可以以不同的名字提供。有关兼容性变量的详细信息,请参阅兼容性一章。

x509指定X.509DN的组件;其中之一C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email。在Apache2.1及更高版本中,x509还可能包含数字_n后缀。如果所讨论的DN包含多个具有相同名称的属性,则将该后缀用作从零开始的索引来选择特定属性。例如,服务器证书主题DN包含两个OU属性,SSL_SERVER_S_DN_OU_0并可SSL_SERVER_S_DN_OU_1用于引用每个属性。没有_n后缀的变量名相当于带有_0后缀的名字;第一个(或唯一的)属性。当使用指令StdEnvVars选项填充环境表时SSLOptions,任何DN的第一个(或唯一)属性仅在非后缀名称下添加;即没有_0添加后缀条目。

ApacheHTTPD2.3.11中*_DN变量的格式已经改变。有关详细信息,请参阅LegacyDNStringFormat选项SSLOptions。

SSL_CLIENT_V_REMAIN仅在版本2.1和更高版本中可用。

还可以在SSLRequire表达式或自定义日志格式中使用许多其他环境变量:

HTTP_USER_AGENTPATH_INFOAUTH_TYPEHTTP_REFERERQUERY_STRINGSERVER_SOFTWAREHTTP_COOKIEREMOTE_HOSTAPI_VERSIONHTTP_FORWARDEDREMOTE_IDENTTIME_YEARHTTP_HOSTIS_SUBREQTIME_MONHTTP_PROXY_CONNECTIONDOCUMENT_ROOTTIME_DAYHTTP_ACCEPTSERVER_ADMINTIME_HOURTHE_REQUESTSERVER_NAMETIME_MINREQUEST_FILENAMESERVER_PORTTIME_SECREQUEST_METHODSERVER_PROTOCOLTIME_WDAYREQUEST_SCHEMEREMOTE_ADDRTIMEREQUEST_URIREMOTE_USER在这些情况下,还可以使用两种特殊格式:

为了向后兼容,还提供了特殊的“%{名称}c”加密格式功能。有关此功能的信息在“兼容性”一章中提供。

CustomLog“logs/ssl_request_log”“%t%h%{SSL_PROTOCOL}x%{SSL_CIPHER}x\”%r\“%b”这些格式甚至可以在不设置指令StdEnvVars选项的情况下工作SSLOptions。

mod_ssl设置可用于记录格式字符串的请求的“注释”。%{name}nmod_log_config

支持的说明如下:

头文件集X-SSL-PROTOCOL“expr=%{SSL_PROTOCOL}”头文件集X-SSL-CIPHER“expr=%{SSL:SSL_CIPHER}”该功能甚至可以在不设置指令StdEnvVars选项的情况下工作SSLOptions。

mod_ssl提供与使用的几个认证供应商mod_authz_core的Require指令。

该ssl供应商拒绝访问,如果一个连接没有使用SSL加密。这与SSLRequireSSL指令类似。

要求ssl要求ssl-verify-client该ssl供应商允许访问,如果用户与有效客户证书进行认证。这只有SSLVerifyClientoptional在有效时才有用。

如果用户使用客户端证书或用户名和密码进行身份验证,则以下示例将授予访问权限。

这个目录中的文件必须是PEM编码的,并通过哈希文件名来访问。所以通常你不能把证书文件放在那里:你还必须创建名为散列值的符号链接.N。你应该确保这个目录包含适当的符号链接。

若既没有指令SSLCADNRequestPath或SSLCADNRequestFile给出,那么该组发送到客户端上可接受的CA的名称是由给定的所有的CA证书的名称SSLCACertificateFile和SSLCACertificatePath指示;换句话说,实际上将用于验证客户端证书的CA的名称。

在某些情况下,能够发送一组可接受的CA名称是有用的,这些名称与用于验证客户端证书的实际CA不同,例如,客户端证书是否由中间CA签名。在这种情况下,SSLCADNRequestPath和/或SSLCADNRequestFile可以使用;那么可接受的CA名称将从这对指令所指定的目录和/或文件中的全套证书中取得。

SSLCADNRequestFile必须指定一个包含PEM编码CA证书串联的一体化文件。

可用的标志是:

这个目录中的文件必须是PEM编码的,并通过哈希文件名来访问。所以通常你不仅要把CRL文件放在那里。另外,您必须创建名为哈希值的符号链接.rN。你应该确保这个目录包含适当的符号链接。

该指令设置可选的一体化文件,您可以在其中组装证书作为服务器证书的证书链的证书颁发机构(CA)的证书。这从服务器证书颁发的CA证书开始,可以扩展到根CA证书。这样的文件就是各种PEM编码的CA证书文件的串联,通常以证书链顺序。

除了SSLCACertificatePath服务器证书之外,这应该替代地和/或另外用于显式地构建发送到浏览器的服务器证书链。使用客户端身份验证时,避免与CA证书发生冲突尤其有用。因为虽然放置服务器证书链的CA证书SSLCACertificatePath对于证书链的构造具有相同的效果,但是也有客户端认证接受同一CA证书颁发的客户端证书的副作用。

但要小心:只有在使用单个基于RSA或DSA的服务器证书时,才能提供证书链。如果您使用的是耦合的RSA+DSA证书对,则仅当实际上两个证书使用相同的证书链时才能使用。否则浏览器会在这种情况下感到困惑。

这些文件还可能包含从叶子到根目录的中间CA证书。版本2.4.8及更高版本支持此功能,并已废弃SSLCertificateChainFile。在使用OpenSSL1.0.2或更高版本运行时,这允许以每个证书为基础配置中间CA链。

自定义DH参数和临时密钥的EC曲线名称也可以添加到使用的第一个文件的末尾SSLCertificateFile。这在版本2.4.7或更高版本中受支持。这样的参数可以使用命令来生成openssldhparam和opensslecparam。参数可以按原样添加到第一个证书文件的末尾。只有第一个文件可以用于自定义参数,因为它们与认证算法类型无关地被应用。

最后,最终实体证书的私钥也可以添加到证书文件中,而不是使用单独的SSLCertificateKeyFile指令。这种做法是非常沮丧的。如果使用该密钥,则使用这种嵌入密钥的证书文件必须在证书之后使用单独的密钥文件进行配置。如果私钥已加密,则在启动时会强制执行密码对话框。

从版本2.4.7开始,mod_ssl使用主要长度为2048,3072和4096位的标准化DH参数,以及从版本2.4.10(RFC3526)开始的附加主体长度6144和8192位,并将它们发送出去到客户端的证书的RSA/DSA密钥的长度。特别是基于Java的客户端(Java7或更早版本),这可能会导致握手失败-请参阅此常见问题解答以解决此类问题。

当使用多个证书来支持不同的认证算法(如RSA,DSA,但主要是ECC)和1.0.2之前的OpenSSL时,建议使用自定义的DH参数(最好是将它们添加到第一个证书文件中)上面),或者命令这些SSLCertificateFile指令使得RSA/DSA证书放在ECC之后。

由于自定义的DH参数总是优先于默认参数,因此可以通过创建和配置它们(如上所述)来避免此问题,因此使用自定义/合适的长度。

该指令可以多次使用(引用不同的文件名)以支持多种算法进行服务器认证。对于每个SSLCertificateKeyFile指令,必须有一个匹配的SSLCertificateFile指令。

私钥也可以与文件中给出的证书结合使用SSLCertificateFile,但是这种做法是非常沮丧的。如果使用该密钥,则使用这种嵌入密钥的证书文件必须在证书之后使用单独的密钥文件进行配置。

AnSSLcipherspecificationincipher-speciscomposedof4majorattributesplusafewextraminorones:

AnSSLciphercanalsobeanexportcipher.SSLv2ciphersarenolongersupported.Tospecifywhichcipherstouse,onecaneitherspecifyalltheCiphers,oneatatime,orusealiasestospecifythepreferenceandorderfortheciphers(seeTable1).Theactuallyavailableciphersandaliasesdependsontheusedopensslversion.Neweropensslversionsmayincludeadditionalciphers.

Nowwherethisbecomesinterestingisthatthesecanbeputtogethertospecifytheorderandciphersyouwishtouse.Tospeedthisuptherearealsoaliases(SSLv3,TLSv1,EXP,LOW,MEDIUM,HIGH)forcertaingroupsofciphers.Thesetagscanbejoinedtogetherwithprefixestoformthecipher-spec.Availableprefixesare:

Beginningwithversion2.4.7,nullandexport-gradeciphersarealwaysdisabled,asmod_sslunconditionallyadds!aNULL:!eNULL:!EXPtoanycipherstringatinitialization.

启用压缩会导致大多数安装问题(所谓的CRIME攻击)。

该指令允许使用加密硬件加速器板来卸载一些SSL处理开销。这个指令只有在SSL工具箱是用“引擎”支持构建时才能使用;OpenSSL0.9.7和更高版本默认具有“引擎”支持,必须使用OpenSSL0.9.6的单独版本“-engine”。

要发现支持哪些引擎名称,请运行命令“opensslengine”。

#...上的SSLEngine在Apache2.1及更高版本中,SSLEngine可以设置为optional。这使得支持RFC2817,在HTTP/1.1中升级到TLS。目前没有网页浏览器支持RFC2817。

ThisdirectivetogglestheusageoftheSSLlibraryFIPS_modeflag.Itmustbesetintheglobalservercontextandcannotbeconfiguredwithconflictingsettings(SSLFIPSonfollowedbySSLFIPSofforsimilar).ThemodeappliestoallSSLlibraryoperations.

Ifmod_sslislinkedagainstOpenSSLversion0.9.8morlater,bydefaultrenegotiationisonlysupportedwithclientssupportingthenewprotocolextension.Ifthisdirectiveisenabled,renegotiationwillbeallowedwithold(unpatched)clients,albeitinsecurely.

Ifthisdirectiveisenabled,SSLconnectionswillbevulnerabletotheMan-in-the-MiddleprefixattackasdescribedinCVE-2009-3555.

SSLInsecureRenegotiationonTheSSL_SECURE_RENEGenvironmentvariablecanbeusedfromanSSIorCGIscripttodeterminewhethersecurerenegotiationissupportedforagivenSSLconnection.

ThisoptionsetsthedefaultOCSPrespondertouse.IfSSLOCSPOverrideResponderisnotenabled,theURIgivenwillbeusedonlyifnoresponderURIisspecifiedinthecertificatebeingverified.

TheOCSPresponderusediseitherextractedfromthecertificateitself,orderivedbyconfiguration;seetheSSLOCSPDefaultResponderandSSLOCSPOverrideResponderdirectives.

ThisoptionforcestheconfigureddefaultOCSPrespondertobeusedduringOCSPcertificatevalidation,regardlessofwhetherthecertificatebeingvalidatedreferencesanOCSPresponder.

ThisoptionallowstosettheURLofaHTTPproxythatshouldbeusedforallqueriestoOCSPresponders.

ThissuppliesalistoftrustedOCSPrespondercertificatestobeusedduringOCSPrespondercertificatevalidation.Thesuppliedcertificatesareimplicitlytrustedwithoutanyfurthervalidation.ThisistypicallyusedwheretheOCSPrespondercertificateisselfsignedoromittedfromtheOCSPresponse.

ThisoptionsetsthetimeoutforqueriestoOCSPresponders,whenSSLOCSPEnableisturnedon.

Thisoptionsetsthemaximumallowableage("freshness")forOCSPresponses.Thedefaultvalue(-1)doesnotenforceamaximumage,whichmeansthatOCSPresponsesareconsideredvalidaslongastheirnextUpdatefieldisinthefuture.

ThisoptionsetsthemaximumallowabletimeskewforOCSPresponses(whencheckingtheirthisUpdateandnextUpdatefields).

ThesetofavailableSSLOpenSSLConfCmdcommandsdependsontheOpenSSLversionbeingusedformod_ssl(atleastversion1.0.2isrequired).Foralistofsupportedcommandnames,seethesectionSupportedconfigurationfilecommandsintheSSL_CONF_cmd(3)manualpageforOpenSSL.

SomeoftheSSLOpenSSLConfCmdcommandscanbeusedasanalternativetoexistingdirectives(suchasSSLCipherSuiteorSSLProtocol),thoughitshouldbenotedthatthesyntax/allowablevaluesfortheparametersmaysometimesdiffer.

Theavailableoptionsare:

可用的(不区分大小写的)协议是:

Priortoversion2.3.15,CRLcheckinginmod_sslalsosucceededwhennoCRL(s)werefoundinanyofthelocationsconfiguredwithSSLProxyCARevocationFileorSSLProxyCARevocationPath.Withtheintroductionofthisdirective,thebehaviorhasbeenchanged:whencheckingisenabled,CRLsmustbepresentforthevalidationtosucceed-otherwiseitwillfailwithan"unabletogetcertificateCRL"error.

ThefilesinthisdirectoryhavetobePEM-encodedandareaccessedthroughhashfilenames.SousuallyyouhavenotonlytoplacetheCRLfilesthere.Additionallyyouhavetocreatesymboliclinksnamedhash-value.rN.Andyoushouldalwaysmakesurethisdirectorycontainstheappropriatesymboliclinks.

Inallreleases2.4.5through2.4.20,settingSSLProxyCheckPeerNameoffwassufficienttoenablethisbehavior(astheSSLProxyCheckPeerCNdefaultwason.)Inthesereleases,bothdirectivesmustbesettoofftocompletelyavoidremoteservercertificatenamevalidation.Manyusersreportedthistobeveryconfusing.

Asofrelease2.4.21,allconfigurationswhichenableeitheroneoftheSSLProxyCheckPeerNameorSSLProxyCheckPeerCNoptionswillusethenewSSLProxyCheckPeerNamebehavior,andallconfigurationswhichdisableeitheroneoftheSSLProxyCheckPeerNameorSSLProxyCheckPeerCNoptionswillsuppressallremoteservercertificatenamevalidation.OnlythefollowingconfigurationwilltriggerthelegacycertificateCNcomparisonin2.4.21andlaterreleases;

Wildcardmatchingissupportedforspecificcases:ansubjectAltNameentryoftypedNSName,orCNattributesstartingwith*.willmatchwithanyhostnameofthesamenumberofnameelementsandthesamesuffix.E.g.*.example.orgwillmatchfoo.example.org,butwillnotmatchfoo.bar.example.org,becausethenumberofelementsintherespectivehostnamesdiffers.

Thisfeaturewasintroducedin2.4.5andsupersededthebehavioroftheSSLProxyCheckPeerCNdirective,whichonlytestedtheexactvalueinthefirstCNattributeagainstthehostname.However,manyuserswereconfusedbythebehaviorofusingthesedirectivesindividually,sothemutualbehaviorofSSLProxyCheckPeerNameandSSLProxyCheckPeerCNdirectiveswereimprovedinrelease2.4.21.SeetheSSLProxyCheckPeerCNdirectivedescriptionfortheoriginalbehavioranddetailsoftheseimprovements.

EquivalenttoSSLCipherSuite,butfortheproxyconnection.PleaserefertoSSLCipherSuiteforadditionalinformation.

ThisdirectivetogglestheusageoftheSSL/TLSProtocolEngineforproxy.ThisisusuallyusedinsideasectiontoenableSSL/TLSforproxyusageinaparticularvirtualhost.BydefaulttheSSL/TLSProtocolEngineisdisabledforproxybothforthemainserverandallconfiguredvirtualhosts.

NotethattheSSLProxyEnginedirectiveshouldnot,ingeneral,beincludedinavirtualhostthatwillbeactingasaforwardproxy(usingorProxyRequestsdirectives).SSLProxyEngineisnotrequiredtoenableaforwardproxyservertoproxySSL/TLSrequests.

ThisreferencedfileissimplytheconcatenationofthevariousPEM-encodedcertificatefiles.Uponstartup,eachclientcertificateconfiguredwillbeexaminedandachainoftrustwillbeconstructed.

Ifthisdirectiveisenabled,allofthecertificatesinthefilewillbetrustedasiftheywerealsoinSSLProxyCACertificateFile.

ThisreferencedfileissimplytheconcatenationofthevariousPEM-encodedcertificatefiles,inorderofpreference.UsethisdirectivealternativelyoradditionallytoSSLProxyMachineCertificatePath.

Currentlythereisnosupportforencryptedprivatekeys

ThefilesinthisdirectorymustbePEM-encodedandareaccessedthroughhashfilenames.Additionally,youmustcreatesymboliclinksnamedhash-value.N.Andyoushouldalwaysmakesurethisdirectorycontainstheappropriatesymboliclinks.

PleaserefertoSSLProtocolforadditionalinformation.

WhenaproxyisconfiguredtoforwardrequeststoaremoteSSLserver,thisdirectivecanbeusedtoconfigurecertificateverificationoftheremoteserver.

Thefollowinglevelsareavailableforlevel:

深度实际上是中间证书颁发者的最大数量,即验证远程服务器证书时最大允许遵循的CA证书的数量。深度为0表示仅接受自签名的远程服务器证书,默认深度为1意味着远程服务器证书可以是自签名的,或者必须由服务器直接知晓的CA签名(即CA的证书在SSLProxyCACertificatePath)等等

以下源代码版本可用:

请注意,在许多配置中,发送请求主体的客户端将不可信,因此在更改此配置设置时,必须考虑由消耗内存导致的拒绝服务攻击。

InSSLRequire,thecomparisonoperators<,<=,...arecompletelyequivalenttotheoperatorslt,le,...andworkinasomewhatpeculiarwaythatfirstcomparesthelengthoftwostringsandthenthelexicalorder.Ontheotherhand,ap_exprhastwosetsofcomparisonoperators:Theoperators<,<=,...dolexicalstringcomparison,whiletheoperators-lt,-le,...dointegercomparison.Forthelatter,therearealsoaliaseswithouttheleadingdashes:lt,le,...

Thisdirectivespecifiesageneralaccessrequirementwhichhastobefulfilledinordertoallowaccess.Itisaverypowerfuldirectivebecausetherequirementspecificationisanarbitrarilycomplexbooleanexpressioncontaininganynumberofaccesschecks.

Theexpressionmustmatchthefollowingsyntax(givenasaBNFgrammarnotation):

expr::="true"|"false"|"!"expr|expr"&&"expr|expr"||"expr|"("expr")"|compcomp::=word"=="word|word"eq"word|word"!="word|word"ne"word|word"<"word|word"lt"word|word"<="word|word"le"word|word">"word|word"gt"word|word">="word|word"ge"word|word"in""{"wordlist"}"|word"in""PeerExtList("word")"|word"=~"regex|word"!~"regexwordlist::=word|wordlist","wordword::=digit|cstring|variable|functiondigit::=[0-9]+cstring::="..."variable::="%{"varname"}"function::=funcname"("funcargs")"ForvarnameanyofthevariablesdescribedinEnvironmentVariablescanbeused.Forfuncnametheavailablefunctionsarelistedintheap_exprdocumentation.

Theexpressionisparsedintoaninternalmachinerepresentationwhentheconfigurationisloaded,andthenevaluatedduringrequestprocessing.In.htaccesscontext,theexpressionisbothparsedandexecutedeachtimethe.htaccessfileisencounteredduringrequestprocessing.

SSLRequire(%{SSL_CIPHER}!~m/^(EXP|NULL)-/\and%{SSL_CLIENT_S_DN_O}eq"SnakeOil,Ltd."\and%{SSL_CLIENT_S_DN_OU}in{"Staff","CA","Dev"}\and%{TIME_WDAY}-ge1and%{TIME_WDAY}-le5\and%{TIME_HOUR}-ge8and%{TIME_HOUR}-le20)\or%{REMOTE_ADDR}=~m/^192\.76\.162\.[0-9]+$/ThePeerExtList(object-ID)functionexpectstofindzeroormoreinstancesoftheX.509certificateextensionidentifiedbythegivenobjectID(OID)intheclientcertificate.Theexpressionevaluatestotrueiftheleft-handsidestringmatchesexactlyagainstthevalueofanextensionidentifiedwiththisOID.(IfmultipleextensionswiththesameOIDarepresent,atleastoneextensionmustmatch).

Thefollowingfivestoragetypesarecurrentlysupported:

SSLSessionCache“dbm:/usr/local/apache/logs/ssl_gcache_data”SSLSessionCache“shmcb:/usr/local/apache/logs/ssl_gcache_data(512000)”该ssl-cache互斥用于串行访问会话缓存以防止腐败。这个互斥量可以使用Mutex指令进行配置。

票证密钥文件必须包含48个字节的随机数据,最好由高熵源创建。在基于Unix的系统上,可以如下创建票据密钥文件:

ddif=/dev/randomof=/path/to/file.tkeybs=1count=48

票据密钥应该经常旋转(替换),因为这是使现有会话票证失效的唯一方法-OpenSSL当前不允许指定票据生存期的限制。重新启动Web服务器后,只能使用新票证密钥。所有现有的会话票证在重新启动后都会失效。

票证密钥文件包含敏感的密钥材料,应使用类似于所使用的文件许可权来保护SSLCertificateKeyFile。

该指令允许启用或禁用TLS会话票证(RFC5077)的使用。

TLS会话票据默认启用。使用它们而不必以适当的频率(例如每天)重新启动web服务器就可以实现完美的前向保密。

此伪指令设置用于伪造未知用户的SRP用户参数的种子,以避免泄露给定用户是否存在。指定一个秘密字符串。如果不使用此指令,则Apache将向指定未知用户名的客户端返回UNKNOWN_PSK_IDENTITY警报。

SSLSRPUnknownUserSeed"secret"

此指令启用TLS-SRP,并设置包含TLS-SRP用户名,验证程序,盐和组参数的OpenSSLSRP(安全远程密码)验证程序文件的路径。

SSLSRPVerifierFile"/path/to/file.srpv"

验证程序文件可以使用openssl命令行工具创建:

opensslsrp-srpvfilepasswd.srpv-userinfo"someinfo"-addusername

在可选-userinfo参数中给出的值在SSL_SRP_USERINFO请求环境变量中是可用的。

如果SSLUseStapling启用,则配置用于存储包含在TLS握手中的OCSP响应的高速缓存。OCSP装订必须配置缓存。除了none和nonenotnull,与支持相同的存储类型SSLSessionCache。

启用并且针对OCSP响应者的装订目的查询失败时,mod_ssl将合成客户端的“tryLater”响应。只有在有效的情况下才有效SSLStaplingReturnResponderErrors。

该指令覆盖从证书的authorityInfoAccess(AIA)扩展中获得的OCSP响应者的URI。一个潜在的用途是何时使用代理来检索OCSP查询。

这个选项设定考虑到装订目的的OCSP响应(即何时SSLUseStapling打开)时的最大允许年龄(“新鲜度”)。默认值(-1)不强制实现最大年龄,这意味着只要nextUpdate字段在将来,OCSP响应就被认为是有效的。

该指令设置是否允许非SNI客户端访问基于名称的虚拟主机。如果设置为on默认的基于名称的虚拟主机,SNI不知道的客户端将不被允许访问属于该特定IP/端口组合的任何虚拟主机。如果on在任何其他虚拟主机中设置,SNI不知道的客户端不允许访问这个特定的虚拟主机。

请注意,如果使用该FakeBasicAuth选项,则此伪指令不起作用(请参阅SSLOptions)。

OCSP装订减轻了客户自己查询OCSP响应的难度,但是应该注意的是,在RFC6066规范中,服务器的CertificateStatus回复可能只包括针对单个证书的OCSP响应。对于在其链中具有中间CA证书的服务器证书(当今的典型情况),因此当前实现中的装订仅部分实现了“节省往返和资源”的既定目标-也参见RFC6961(TLS多证书状态扩展)。

启用OCSP装订时,ssl-stapling互斥锁用于控制对OCSP装订高速缓存的访问,以防止损坏,并使用sss-stapling-refresh互斥锁来控制OCSP响应的刷新。这些互斥体可以使用Mutex指令进行配置。

此伪指令为客户端身份验证设置证书验证级别。注意这个指令可以用在每个服务器和每个目录的上下文中。在每服务器上下文中,它适用于在建立连接时在标准SSL握手中使用的客户端身份验证过程。在每个目录上下文中,在HTTP请求被读取之后但在发送HTTP响应之前,它强制使用重新配置的客户端验证级别的SSL重新协商。

以下级别可用于级别:

深度实际上是中间证书颁发者的最大数量,即验证客户端证书时最大允许遵循的CA证书的数量。深度为0表示仅接受自签名客户端证书,默认深度为1意味着客户端证书可以是自签名的,或者必须由服务器直接知道的CA签名(即,CA的证书是下SSLCACertificatePath)等

校睿宝,培训机构学员管理软件,教师工资计算软件,消课管理软件!

数据备份软件,文件数据备份软件,文件备份软件,B/S架构备份软件,分布式计算机备份软件!

THE END

什么是证书?

在计算机和网络安全领域,SecurityCertificates(安全证书)是用于确保数据安全加密通信验证身份等目的的工具。以下是常见的几种安全证书类型,它们在不同场景和用途上发挥重要作用:suv789

Apache2.4HTTPServer版本2.4

六种主流身份验证方法应用程序服务器公钥令牌密钥

通过互联网查询个人信用报告

Django中的自定义验证Django文档Django

征信知识

macOSVPN

数字证书身份认证原理与签发步骤详解小菜学网络

基于RSA加密算法身份认证方案的设计

江苏工会APP用户隐私政策

1.什么是TLS证书?如何使用证书进行身份验证?TLS(传输层安全)证书是用于加密通信和验证通信双方身份的一种安全证书。TLS证书可以用于HTTPS协议,用于保护网站或应用程序与用户之间的通信安全。TLS证书包含了一些关键信息,例如证书持有者的公钥、证书持有者的身份信息、证书的有效期等。 使用TLS证书进行身份验证的过程如下: 客户端发起连接请求:客户端向服务端发起连接https://www.mbalib.com/ask/question-b5a5c3e2a5f8d2a9582207d107c1541b.html
2.该证书无效不能用于验证此web站点的身份阿里云为您提供该证书无效不能用于验证此web站点的身份相关的19276条产品文档内容及常见问题解答内容,还有等云计算产品文档及常见问题解答。如果您想了解更多云计算产品,就来阿里云帮助文档查看吧,阿里云帮助文档地址https://help.aliyun.com/。https://help.aliyun.com/wordpower/5705748-1.html
3.服务器身份验证当您的设备或其他客户端尝试连接时 AWS IoT Core, AWS IoT Core 服务器将发送一个 X.509 证书,您的设备将使用该证书对服务器进行身份验证。身份验证是通过验证 X.509 证书链在TLS层上进行的。这与您访问时浏览器使用的方法相同HTTPSURL。如果要使用您自己的证书颁发机构提供的证书,请参阅管理CA 证书。 当您https://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/server-authentication.html
4.如何选择三种验证类型的https证书选择用于身份验证的证书https证书验证类型的选择主要取决于您要加密其网站的企业或组织的类型。个人或博客类的网站选择DV SSL证书就足够了。 另一方面,如果您是为事业单位机构,非营利组织或运营受限的注册商业实体购买的,则可能要考虑OVSSL证书。涉及到在线交易、可识别个人身份或敏感信息的较大企业必须选择EV SSL证书。 https://blog.csdn.net/weixin_43762887/article/details/114526188
5.IPsec使用证书身份验证进行配置要进行证书身份验证,您需要在您的FSxONTAP文件系统上生成并安装来自证书颁发机构的证书,以及将访问文件系统数据的客户端。以下示例 Amazon Private Certificate Authority 用于设置私有证书颁发机构,并生成要安装在文件系统和客户端上的证书。使用 Amazon Private Certificate Authority,您可以创建由根证书颁发机构和从属证书https://docs.amazonaws.cn/fsx/latest/ONTAPGuide/config-ipsec-ca-auth.html
6.什么是SSL双向认证,与单向认证证书有什么区别?是用于用户浏览器和网站服务器之间的数据传输加密,实现互联网传输安全保护,大多数情况下指的是服务器证书。服务器证书是用于向浏览器客户端验证服务器,这种是属于单向认证的SSL证书。但是,如果服务器需要对客户端进行身份验证,该怎么办?这就需要双向认证证书。 https://maimai.cn/article/detail?fid=1563723342&efid=22hpZvd6d4O3gruA01YrTA
7.HTTPS权威指南:在服务器和Web应用上部署SSL/TLS和PKI(2) 验证出示的证书,或使用其他方式进行身份验证。 (3) 对将用于保护会话的共享主密钥达成一致。 (4) 验证握手消息并未被第三方团体修改。 注意 在实际使用中,第2步和第3步都是密钥交换(更通用的说法是密钥生成)的一部分,密钥交换是一个单独的步骤。我更喜欢将它们分开来说,用以强调协议的安全性取决于正确https://www.ituring.com.cn/book/tupubarticle/11135
8.什么是相互身份验证TLS(mTLS)?mTLS如何运作如何使用?相互身份验证传输层安全协议(mTLS)是一种在网络通信中用于确保通信双方身份验证和数据机密性的协议。它建立在传输层安全协议(TLS)的基础之上,通过在TLS握手过程中进行双方证书的互相验证,以确保通信双方的身份合法和可信。在mTLS中,通。 币界网报道: 相互身份验证传输层安全协议(mTLS)是一种在网络通信中用于确保通信https://www.528btc.com/college/1696744275134611.html
9.WorkspaceONEBoxer的应用程序配置AuthenticationType 字符串 证书 当身份验证类型设置为证书时,如果为 Exchange Server 配置了身份验证证书,则将自动启用基于证书的身份验证并对用户进行身份验证。OnlineMeetingsCBAEnabled 是基于帐户的 KVP,用于从适用于 Android 的 Workspace ONE Boxer 到 Microsoft Teams 和 Zoom 会议的现代身份验证。注意https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/services/Boxer_Admin_Guide/GUID-ApplicationConfigurations.html
10.配置X.509证书身份验证—GeoServer2.24.xUserManual证书身份验证涉及使用公钥/私钥来标识自己。与基本用户名和密码方案相比,这是一个更安全的替代方案。 X.509是一个定义良好的公钥证书格式标准。本教程将介绍设置X.509证书身份验证的过程。 先决条件? 本教程假设: 支持使用客户端证书进行身份验证的Web浏览器,也称为“双向SSL”。本教程使用火狐. https://www.osgeo.cn/geoserver-user-manual/security/tutorials/cert/index.html
11.金山办公技能认证隐私政策为帮助您成为我们的用户,即完成账号创建,以便我们为您提供注册我们用户服务,我们为您提供了多种注册渠道供您自行选择。当您选择使用手机号码或电子邮箱注册时,您需要向我们提供您的手机号码、电子邮箱地址及密码,我们使用这类信息发送验证码信息以供您提交验证身份是否有效。 https://www.wps.cn/privacy/kos
12.上海市数字证书认证中心有限公司产品介绍行业动态代码签名证书(Code Signing Certificates)针对程序代码和内容建立了一种数字化的验证及保护,用于识别和验证您的身份与您的代码,并保证代码自添加签名后未被篡改。可在您的代码被用户下载、安装或运行时,通过系统显示您的身份信息,大幅提高代码的安全性和可信性。 https://www.sheca.com/industry/c5c686992d20430eb603206f03f64b22
13.什么是相互身份验证?双向身份验证CloudflareSSH 可以使用公钥身份验证或证书身份验证。换句话说,在 SSH 中可以用公钥或公钥证书进行相互身份验证。 TLS:虽然默认情况下 TLS 不会相互验证连接的两端,但它可以用于此目的。Mutual TLS (mTLS) 是最常用的相互身份验证类型之一。在 mTLS 中,连接的两端都有一个 TLS 证书。mTLS 常被用于 API 安全、IoT 安全和https://www.cloudflare-cn.com/learning/access-management/what-is-mutual-authentication/
14.什么是身份验证?Cloudflare额外的身份验证因素 除了上面列出的三个主要因素之外,安全行业的一些成员还提出或使用了额外的身份验证因素。其中两个额外因素是位置(用户在哪里)和时间(他们访问系统的时间)。 通过数字证书验证身份 除了使用上述身份验证因素之外,还可以向已知和受信任的实体颁发数字证书。数字证书是一个小的数字文件,其中包含用于验证https://www.cloudflare.com/zh-cn/learning/access-management/what-is-authentication/
15.基于属性的云计算远程证明认证研究AET本文介绍了基于云计算下的TPM框架实现的基于属性的云计算远程证明,在进行属性远程证明过程中,采用了属性权威中心作为可信第三方,对云平台的配置计算其满足的属性,并能够验证属性证书的可靠性。此外,本文基于可信第三方AIK证书中心对用户和平台身份进行认证。针对属性证书验证中的签密过程,本文做了缓存处理,减少了签密算法http://www.chinaaet.com/article/3000016262
16.什么是radius认证服务器?Worktile社区身份验证:Radius认证服务器可以提供各种不同的身份验证方法,如基于口令(用户名和密码)、证书、令牌等。用户在连接到网络后,通过提供相应的凭证来进行身份验证,并验证其合法性。 Radius(Remote Authentication Dial-In User Service)是一种用于网络身份认证和授权的协议。而Radius认证服务器是指用来进行Radius协议认证的服https://worktile.com/kb/ask/1389037.html
17.什么是相互身份验证TLS(mTLS)?mTLS如何运作如何使用?相互TLS 简称 mTLS,是一种相互身份验证的方法。mTLS 通过验证他们都拥有正确的私人密钥来确保网络连接两端的各方都是他们声称的身份。他们各自的 TLS 证书中的信息提供了额外的验证。 mTLS 通常被用于零信任安全框架*,以验证组织内的用户、设备和服务器。它也可以帮助保持 API 的安全。 https://www.jb51.net/blockchain/888058.html
18.什么是ca证书?ssl证书与ca证书的区别有哪些?聚名资讯CA 证书是由认证机构(CA,Certificate Authority)签发的数字证书,用于验证网站或服务器的身份和加密通信。CA 是一个可信任的第三方实体,其责任是验证证书请求者的身份,并签发证书来证明该身份的真实性。 SSL 证书是一种由 CA 签发的特定类型的数字证书,用于保护网站和服务器的安全通信。SSL(Secure Sockets Layer)是https://www.juming.com/zx/19849.html
19.HTTP转HTTPS—使用OpenSSL创建自签名SSL证书以及Tomcat配置SSLhttps协议中身份认证的部分是由数字证书来完成的,证书由公钥、证书主体、数字签名等内容组成,在客户端发起SSL请求后,服务端会将数字证书发给客户端,客户端会对证书进行验证,并获取用于秘钥交换的非对称密钥。 数字证书有两个作用: 1)身份授权。确保浏览器访问的网站是经过CA验证的可信任的网站。 2)分发公钥。每个数https://cloud.tencent.com/developer/article/1558378