Apache: Шифрование SSL/TLS: совместимость

RU EN

Пункт 46. Шифрование SSL/TLS: совместимость

На этой странице рассматривается обратная совместимость между mod_ssl и другими решениями SSL. mod_ssl — не единственное решение SSL для Apache; также доступны (или были) четыре дополнительных продукта: свободно доступный Apache-SSL Бена Лори (откуда mod_ssl был первоначально получен в 1998 году), коммерческий безопасный веб-сервер Red Hat (который был основан на mod_ssl), коммерческий модуль Raven SSL от Covalent (также основанный на mod_ssl) и, наконец, коммерческий продукт C2Net (теперь Red Hat) Stronghold (основанный на другой ветке эволюции, названной Sioux до Stronghold 2.x и основанной на mod_ssl, начиная с Stronghold 3.x).

mod_ssl в основном предоставляет расширенный набор функций всех других решений, поэтому легко перейти с одного из старых модулей на mod_ssl. Директивы конфигурации и имена переменных среды, используемые в старых решениях SSL, отличаются от используемых в mod_ssl; таблицы сопоставления включены сюда, чтобы дать эквиваленты, используемые mod_ssl.

Директивы конфигурации

Сопоставление между директивами конфигурации, используемыми Apache-SSL 1.x и mod_ssl 2.0.x, приведено в таблице 1. Сопоставление Sioux 1.x и Stronghold 2.x является лишь частичным из-за особой функциональности в этих интерфейсах, которой mod_ssl не имеет. т обеспечить.

Таблица 1: Сопоставление директив конфигурации

Старая директива	директива mod_ssl	Комментарий
Совместимость с Apache-SSL 1.x и mod_ssl 2.0.x:
`SSLEnable`	`SSLEngine on`	компактифицированный
`SSLDisable`	`SSLEngine off`	компактифицированный
`SSLLogFile` файл		`LogLevel` Вместо этого используйте настройку для каждого модуля .
`SSLRequiredCiphers` спец.	`SSLCipherSuite` спец.	переименован
`SSLRequireCipher` с1 ...	`SSLRequire %{SSL_CIPHER} in {"` с1 `", ...}`	обобщенный
`SSLBanCipher` с1 ...	`SSLRequire not (%{SSL_CIPHER} in {"` с1 `", ...})`	обобщенный
`SSLFakeBasicAuth`	`SSLOptions +FakeBasicAuth`	объединены
`SSLCacheServerPath` директор	-	функциональность удалена
`SSLCacheServerPort` целое число	-	функциональность удалена
Совместимость с Apache-SSL 1.x:
`SSLExportClientCertificates`	`SSLOptions +ExportCertData`	объединены
`SSLCacheServerRunDir` директор	-	функционал не поддерживается
Совместимость с Sioux 1.x:
`SSL_CertFile` файл	`SSLCertificateFile` файл	переименован
`SSL_KeyFile` файл	`SSLCertificateKeyFile` файл	переименован
`SSL_CipherSuite` аргумент	`SSLCipherSuite` аргумент	переименован
`SSL_X509VerifyDir` аргумент	`SSLCACertificatePath` аргумент	переименован
`SSL_Log` файл	`-`	`LogLevel` Вместо этого используйте настройку для каждого модуля .
`SSL_Connect` флаг	`SSLEngine` флаг	переименован
`SSL_ClientAuth` аргумент	`SSLVerifyClient` аргумент	переименован
`SSL_X509VerifyDepth` аргумент	`SSLVerifyDepth` аргумент	переименован
`SSL_FetchKeyPhraseFrom` аргумент	-	не отображаемый напрямую; использовать SSLPassPhraseDialog
`SSL_SessionDir` директор	-	не отображаемый напрямую; использовать SSLSessionCache
`SSL_Require` выражение	-	не отображаемый напрямую; использовать SSLRequire
`SSL_CertFileType` аргумент	-	функционал не поддерживается
`SSL_KeyFileType` аргумент	-	функционал не поддерживается
`SSL_X509VerifyPolicy` аргумент	-	функционал не поддерживается
`SSL_LogX509Attributes` аргумент	-	функционал не поддерживается
Совместимость Stronghold 2.x:
`StrongholdAccelerator` двигатель	`SSLCryptoDevice` двигатель	переименован
`StrongholdKey` директор	-	функционал не нужен
`StrongholdLicenseFile` директор	-	функционал не нужен
`SSLFlag` флаг	`SSLEngine` флаг	переименован
`SSLSessionLockFile` файл	`SSLMutex` файл	переименован
`SSLCipherList` спец.	`SSLCipherSuite` спец.	переименован
`RequireSSL`	`SSLRequireSSL`	переименован
`SSLErrorFile` файл	-	функционал не поддерживается
`SSLRoot` директор	-	функционал не поддерживается
`SSL_CertificateLogDir` директор	-	функционал не поддерживается
`AuthCertDir` директор	-	функционал не поддерживается
`SSL_Group` имя	-	функционал не поддерживается
`SSLProxyMachineCertPath` директор	`SSLProxyMachineCertificatePath` директор	переименован
`SSLProxyMachineCertFile` файл	`SSLProxyMachineCertificateFile` файл	переименован
`SSLProxyCipherList` спец.	`SSLProxyCipherSpec` спец.	переименован

Переменные среды

Сопоставление между именами переменных среды, используемыми более старыми решениями SSL, и именами, используемыми mod_ssl, приведено в таблице 2.

Таблица 2: Вывод переменных среды

Старая переменная	mod_ssl Переменная	Комментарий
`SSL_PROTOCOL_VERSION`	`SSL_PROTOCOL`	переименован
`SSLEAY_VERSION`	`SSL_VERSION_LIBRARY`	переименован
`HTTPS_SECRETKEYSIZE`	`SSL_CIPHER_USEKEYSIZE`	переименован
`HTTPS_KEYSIZE`	`SSL_CIPHER_ALGKEYSIZE`	переименован
`HTTPS_CIPHER`	`SSL_CIPHER`	переименован
`HTTPS_EXPORT`	`SSL_CIPHER_EXPORT`	переименован
`SSL_SERVER_KEY_SIZE`	`SSL_CIPHER_ALGKEYSIZE`	переименован
`SSL_SERVER_CERTIFICATE`	`SSL_SERVER_CERT`	переименован
`SSL_SERVER_CERT_START`	`SSL_SERVER_V_START`	переименован
`SSL_SERVER_CERT_END`	`SSL_SERVER_V_END`	переименован
`SSL_SERVER_CERT_SERIAL`	`SSL_SERVER_M_SERIAL`	переименован
`SSL_SERVER_SIGNATURE_ALGORITHM`	`SSL_SERVER_A_SIG`	переименован
`SSL_SERVER_DN`	`SSL_SERVER_S_DN`	переименован
`SSL_SERVER_CN`	`SSL_SERVER_S_DN_CN`	переименован
`SSL_SERVER_EMAIL`	`SSL_SERVER_S_DN_Email`	переименован
`SSL_SERVER_O`	`SSL_SERVER_S_DN_O`	переименован
`SSL_SERVER_OU`	`SSL_SERVER_S_DN_OU`	переименован
`SSL_SERVER_C`	`SSL_SERVER_S_DN_C`	переименован
`SSL_SERVER_SP`	`SSL_SERVER_S_DN_SP`	переименован
`SSL_SERVER_L`	`SSL_SERVER_S_DN_L`	переименован
`SSL_SERVER_IDN`	`SSL_SERVER_I_DN`	переименован
`SSL_SERVER_ICN`	`SSL_SERVER_I_DN_CN`	переименован
`SSL_SERVER_IEMAIL`	`SSL_SERVER_I_DN_Email`	переименован
`SSL_SERVER_IO`	`SSL_SERVER_I_DN_O`	переименован
`SSL_SERVER_IOU`	`SSL_SERVER_I_DN_OU`	переименован
`SSL_SERVER_IC`	`SSL_SERVER_I_DN_C`	переименован
`SSL_SERVER_ISP`	`SSL_SERVER_I_DN_SP`	переименован
`SSL_SERVER_IL`	`SSL_SERVER_I_DN_L`	переименован
`SSL_CLIENT_CERTIFICATE`	`SSL_CLIENT_CERT`	переименован
`SSL_CLIENT_CERT_START`	`SSL_CLIENT_V_START`	переименован
`SSL_CLIENT_CERT_END`	`SSL_CLIENT_V_END`	переименован
`SSL_CLIENT_CERT_SERIAL`	`SSL_CLIENT_M_SERIAL`	переименован
`SSL_CLIENT_SIGNATURE_ALGORITHM`	`SSL_CLIENT_A_SIG`	переименован
`SSL_CLIENT_DN`	`SSL_CLIENT_S_DN`	переименован
`SSL_CLIENT_CN`	`SSL_CLIENT_S_DN_CN`	переименован
`SSL_CLIENT_EMAIL`	`SSL_CLIENT_S_DN_Email`	переименован
`SSL_CLIENT_O`	`SSL_CLIENT_S_DN_O`	переименован
`SSL_CLIENT_OU`	`SSL_CLIENT_S_DN_OU`	переименован
`SSL_CLIENT_C`	`SSL_CLIENT_S_DN_C`	переименован
`SSL_CLIENT_SP`	`SSL_CLIENT_S_DN_SP`	переименован
`SSL_CLIENT_L`	`SSL_CLIENT_S_DN_L`	переименован
`SSL_CLIENT_IDN`	`SSL_CLIENT_I_DN`	переименован
`SSL_CLIENT_ICN`	`SSL_CLIENT_I_DN_CN`	переименован
`SSL_CLIENT_IEMAIL`	`SSL_CLIENT_I_DN_Email`	переименован
`SSL_CLIENT_IO`	`SSL_CLIENT_I_DN_O`	переименован
`SSL_CLIENT_IOU`	`SSL_CLIENT_I_DN_OU`	переименован
`SSL_CLIENT_IC`	`SSL_CLIENT_I_DN_C`	переименован
`SSL_CLIENT_ISP`	`SSL_CLIENT_I_DN_SP`	переименован
`SSL_CLIENT_IL`	`SSL_CLIENT_I_DN_L`	переименован
`SSL_EXPORT`	`SSL_CIPHER_EXPORT`	переименован
`SSL_KEYSIZE`	`SSL_CIPHER_ALGKEYSIZE`	переименован
`SSL_SECKEYSIZE`	`SSL_CIPHER_USEKEYSIZE`	переименован
`SSL_SSLEAY_VERSION`	`SSL_VERSION_LIBRARY`	переименован
`SSL_STRONG_CRYPTO`	`-`	Не поддерживается mod_ssl
`SSL_SERVER_KEY_EXP`	`-`	Не поддерживается mod_ssl
`SSL_SERVER_KEY_ALGORITHM`	`-`	Не поддерживается mod_ssl
`SSL_SERVER_KEY_SIZE`	`-`	Не поддерживается mod_ssl
`SSL_SERVER_SESSIONDIR`	`-`	Не поддерживается mod_ssl
`SSL_SERVER_CERTIFICATELOGDIR`	`-`	Не поддерживается mod_ssl
`SSL_SERVER_CERTFILE`	`-`	Не поддерживается mod_ssl
`SSL_SERVER_KEYFILE`	`-`	Не поддерживается mod_ssl
`SSL_SERVER_KEYFILETYPE`	`-`	Не поддерживается mod_ssl
`SSL_CLIENT_KEY_EXP`	`-`	Не поддерживается mod_ssl
`SSL_CLIENT_KEY_ALGORITHM`	`-`	Не поддерживается mod_ssl
`SSL_CLIENT_KEY_SIZE`	`-`	Не поддерживается mod_ssl

Пользовательские функции журнала

Когда mod_ssl включен, существуют дополнительные функции для пользовательского формата журнала, mod_log_config как описано в справочной главе. Помимо функции формата `` %{ varname }x '' eXtension, которая может использоваться для расширения любых переменных, предоставляемых любым модулем, существует дополнительная функция криптографии Cryptography `` %{ name '' для обратной совместимости. }c В настоящее время реализованные вызовы функций перечислены в таблице 3.

Таблица 3: Функция шифрования пользовательского журнала

Вызов функции	Описание
`%...{version}c`	Версия протокола SSL
`%...{cipher}c`	SSL-шифр
`%...{subjectdn}c`	Отличительное имя субъекта сертификата клиента
`%...{issuerdn}c`	Отличительное имя издателя сертификата клиента
`%...{errcode}c`	Ошибка проверки сертификата (числовое значение)
`%...{errstr}c`	Ошибка проверки сертификата (строка)