Эта директива может использоваться для управления различными параметрами времени выполнения для каждого каталога. Обычно, если к каталогу можно применить несколько SSLOptions , то наиболее конкретный из них берется полностью; варианты не объединены. Однако, если всем параметрам директивы SSLOptions предшествует символ плюс ( + ) или минус ( - ), параметры объединяются. Любые параметры, которым предшествует а, + добавляются к действующим в настоящее время параметрам, а любые параметры, которым предшествует а, - удаляются из действующих в настоящее время параметров.

Доступные варианты :

• StdEnvVars

  Когда этот параметр включен, создается стандартный набор переменных среды CGI/SSI, связанных с SSL. По умолчанию это отключено из соображений производительности, поскольку этап извлечения информации является довольно дорогостоящей операцией. Поэтому обычно эту опцию включают только для запросов CGI и SSI.

• ExportCertData

  SSL_SERVER_CERT Когда этот параметр включен, создаются дополнительные переменные среды CGI/SSI: SSL_CLIENT_CERT и SSL_CLIENT_CERT_CHAIN_ n (с n = 0,1,2,..). Они содержат сертификаты сервера и клиента X.509 в кодировке PEM для текущего соединения HTTPS и могут использоваться сценариями CGI для более глубокой проверки сертификатов. Кроме того, также предоставляются все остальные сертификаты цепочки сертификатов клиента. Это немного раздувает среду, поэтому вы должны использовать эту опцию, чтобы включить ее по требованию.

• FakeBasicAuth

  Когда этот параметр включен, отличительное имя субъекта (DN) сертификата клиента X509 преобразуется в имя пользователя базовой авторизации HTTP. Это означает, что для управления доступом можно использовать стандартные методы аутентификации Apache. Имя пользователя — это просто субъект сертификата X509 клиента (можно определить, выполнив openssl x509 команду OpenSSL: openssl x509 -noout -subject -in certificate .crt ). Обратите внимание, что пароль от пользователя не получен. Каждой записи в пользовательском файле нужен этот пароль: `` xxj31ZMTZzkVA '', который представляет собой зашифрованную по DES версию слова ` password ''. Те, кто работает с шифрованием на основе MD5 (например, под FreeBSD или BSD/OS и т. д.), должны использовать следующий хэш MD5 того же слова: `` ' $1$OXLyS...$Owx8s2/m9/gfkcRVXzgoE/ '.

  Обратите внимание, что AuthBasicFake директива внутри mod_auth_basic может использоваться как более общий механизм для подделки базовой аутентификации, предоставляя контроль над структурой как имени пользователя, так и пароля.

• StrictRequire

  Это принудительно запрещает доступ, когда SSLRequireSSL или SSLRequire успешно принято решение о том, что доступ должен быть запрещен. Обычно по умолчанию в случае, когда Satisfy any используется директива `` '' и передаются другие ограничения доступа, отказ в доступе из-за SSLRequireSSL или SSLRequire переопределяется (поскольку именно так Satisfy должен работать механизм Apache). Но для строгого ограничения доступа вы можно использовать SSLRequireSSL и/или SSLRequire в сочетании с `` SSLOptions +StrictRequire ''. Тогда дополнительный `` Satisfy Any '' не имеет шансов, если mod_ssl решил отказать в доступе.

• OptRenegotiate

  Это позволяет оптимизировать обработку повторного согласования соединения SSL, когда директивы SSL используются в контексте каждого каталога. По умолчанию включена строгая схема, при которой каждая реконфигурация параметров SSL для каждого каталога приводит к полному повторному согласованию SSL. При использовании этой опции mod_ssl пытается избежать ненужных рукопожатий, выполняя более детальную (но все же безопасную) проверку параметров. Тем не менее, эти детальные проверки иногда могут не соответствовать ожиданиям пользователя, поэтому, пожалуйста, включите их только для каждого каталога.

• LegacyDNStringFormat

  SSL_{CLIENT,SERVER}_{I,S}_DN Этот параметр влияет на то, как форматируются значения переменных . Начиная с версии 2.3.11, Apache HTTPD по умолчанию использует формат, совместимый с RFC 2253. Это использует запятые в качестве разделителей между атрибутами, позволяет использовать символы, отличные от ASCII (которые преобразуются в UTF8), экранирует различные специальные символы с помощью обратной косой черты и сортирует атрибуты с атрибутом «C» в последнюю очередь.

  Если LegacyDNStringFormat установлено, будет использоваться старый формат, который сначала сортирует атрибут «C», использует косую черту в качестве разделителя и не обрабатывает символы, отличные от ASCII, и специальные символы каким-либо согласованным образом.

Пример

SSLOptions +FakeBasicAuth -StrictRequire
<Files ~ "\.(cgi|shtml)$">
 SSLOptions +StdEnvVars -ExportCertData
</Files>