Apache HTTP 伺器版本 2.4
Apache HTTP 伺器版本 2.4
本頁涵蓋 mod_ssl 與其他 SSL 解決方案之間的向下相容性。 mod_ssl 並非 Apache 唯一的 SSL 解決方案;還有(或曾經有)四種額外的產品可用:Ben Laurie 免費提供的 Apache-SSL(mod_ssl 最初於 1998 年由此衍生而來)、Red Hat 的商業安全網路伺服器(基於 mod_ssl)、Covalent 的商業 Raven SSL 模組(也基於 mod_ssl),最後是 C2Net(現為 Red Hat)的商業產品 Stronghold(基於不同的演進分支,命名為 Sioux 直到 Stronghold 2.x,並從 Stronghold 3.x 開始基於 mod_ssl)。
mod_ssl 主要提供所有其他解決方案功能的超集,因此從舊模組遷移到 mod_ssl 很簡單。 舊 SSL 解決方案使用的設定指令和環境變數名稱與 mod_ssl 中使用的名稱不同;此處包含映射表以提供 mod_ssl 使用的對應項。
Apache-SSL 1.x 和 mod_ssl 2.0.x 使用的設定指令之間的映射關係如 表 1 所示。 從 Sioux 1.x 和 Stronghold 2.x 的映射僅是部分映射,因為這些介面中存在 mod_ssl 不提供的特殊功能。
| 舊指令 | mod_ssl 指令 | 說明 |
|---|---|---|
| Apache-SSL 1.x 和 mod_ssl 2.0.x 相容性 | ||
SSLEnable | SSLEngine on | 簡化 |
SSLDisable | SSLEngine off | 簡化 |
SSLLogFile file | | 改用每個模組的 LogLevel 設定。 |
SSLRequiredCiphers spec | SSLCipherSuite spec | 重新命名 |
SSLRequireCipher c1 ... | SSLRequire %{SSL_CIPHER} in {"c1", ...} | 通用化 |
SSLBanCipher c1 ... | SSLRequire not (%{SSL_CIPHER} in {"c1", ...}) | 通用化 |
SSLFakeBasicAuth | SSLOptions +FakeBasicAuth | 合併 |
SSLCacheServerPath dir | - | 功能已移除 |
SSLCacheServerPort integer | - | 功能已移除 |
| Apache-SSL 1.x 相容性 | ||
SSLExportClientCertificates | SSLOptions +ExportCertData | 合併 |
SSLCacheServerRunDir dir | - | 不支援此功能 |
| Sioux 1.x 相容性 | ||
SSL_CertFile file | SSLCertificateFile file | 重新命名 |
SSL_KeyFile file | SSLCertificateKeyFile file | 重新命名 |
SSL_CipherSuite arg | SSLCipherSuite arg | 重新命名 |
SSL_X509VerifyDir arg | SSLCACertificatePath arg | 重新命名 |
SSL_Log file | - | 改用每個模組的 LogLevel 設定。 |
SSL_Connect flag | SSLEngine flag | 重新命名 |
SSL_ClientAuth arg | SSLVerifyClient arg | 重新命名 |
SSL_X509VerifyDepth arg | SSLVerifyDepth arg | 重新命名 |
SSL_FetchKeyPhraseFrom arg | - | 無法直接映射;請使用 SSLPassPhraseDialog |
SSL_SessionDir dir | - | 無法直接映射;請使用 SSLSessionCache |
SSL_Require expr | - | 無法直接映射;請使用 SSLRequire |
SSL_CertFileType arg | - | 不支援此功能 |
SSL_KeyFileType arg | - | 不支援此功能 |
SSL_X509VerifyPolicy arg | - | 不支援此功能 |
SSL_LogX509Attributes arg | - | 不支援此功能 |
| Stronghold 2.x 相容性 | ||
StrongholdAccelerator engine | SSLCryptoDevice engine | 重新命名 |
StrongholdKey dir | - | 不需要此功能 |
StrongholdLicenseFile dir | - | 不需要此功能 |
SSLFlag flag | SSLEngine flag | 重新命名 |
SSLSessionLockFile file | SSLMutex file | 重新命名 |
SSLCipherList spec | SSLCipherSuite spec | 重新命名 |
RequireSSL | SSLRequireSSL | 重新命名 |
SSLErrorFile file | - | 不支援此功能 |
SSLRoot dir | - | 不支援此功能 |
SSL_CertificateLogDir dir | - | 不支援此功能 |
AuthCertDir dir | - | 不支援此功能 |
SSL_Group name | - | 不支援此功能 |
SSLProxyMachineCertPath dir | SSLProxyMachineCertificatePath dir | 重新命名 |
SSLProxyMachineCertFile file | SSLProxyMachineCertificateFile file | 重新命名 |
SSLProxyCipherList spec | SSLProxyCipherSpec spec | 重新命名 |
舊 SSL 解決方案使用的環境變數名稱與 mod_ssl 使用的名稱之間的映射關係如 表 2 所示。
| 舊變數 | mod_ssl 變數 | 說明 |
|---|---|---|
SSL_PROTOCOL_VERSION | SSL_PROTOCOL | 重新命名 |
SSLEAY_VERSION | SSL_VERSION_LIBRARY | 重新命名 |
HTTPS_SECRETKEYSIZE | SSL_CIPHER_USEKEYSIZE | 重新命名 |
HTTPS_KEYSIZE | SSL_CIPHER_ALGKEYSIZE | 重新命名 |
HTTPS_CIPHER | SSL_CIPHER | 重新命名 |
HTTPS_EXPORT | SSL_CIPHER_EXPORT | 重新命名 |
SSL_SERVER_KEY_SIZE | SSL_CIPHER_ALGKEYSIZE | 重新命名 |
SSL_SERVER_CERTIFICATE | SSL_SERVER_CERT | 重新命名 |
SSL_SERVER_CERT_START | SSL_SERVER_V_START | 重新命名 |
SSL_SERVER_CERT_END | SSL_SERVER_V_END | 重新命名 |
SSL_SERVER_CERT_SERIAL | SSL_SERVER_M_SERIAL | 重新命名 |
SSL_SERVER_SIGNATURE_ALGORITHM | SSL_SERVER_A_SIG | 重新命名 |
SSL_SERVER_DN | SSL_SERVER_S_DN | 重新命名 |
SSL_SERVER_CN | SSL_SERVER_S_DN_CN | 重新命名 |
SSL_SERVER_EMAIL | SSL_SERVER_S_DN_Email | 重新命名 |
SSL_SERVER_O | SSL_SERVER_S_DN_O | 重新命名 |
SSL_SERVER_OU | SSL_SERVER_S_DN_OU | 重新命名 |
SSL_SERVER_C | SSL_SERVER_S_DN_C | 重新命名 |
SSL_SERVER_SP | SSL_SERVER_S_DN_SP | 重新命名 |
SSL_SERVER_L | SSL_SERVER_S_DN_L | 重新命名 |
SSL_SERVER_IDN | SSL_SERVER_I_DN | 重新命名 |
SSL_SERVER_ICN | SSL_SERVER_I_DN_CN | 重新命名 |
SSL_SERVER_IEMAIL | SSL_SERVER_I_DN_Email | 重新命名 |
SSL_SERVER_IO | SSL_SERVER_I_DN_O | 重新命名 |
SSL_SERVER_IOU | SSL_SERVER_I_DN_OU | 重新命名 |
SSL_SERVER_IC | SSL_SERVER_I_DN_C | 重新命名 |
SSL_SERVER_ISP | SSL_SERVER_I_DN_SP | 重新命名 |
SSL_SERVER_IL | SSL_SERVER_I_DN_L | 重新命名 |
SSL_CLIENT_CERTIFICATE | SSL_CLIENT_CERT | 重新命名 |
SSL_CLIENT_CERT_START | SSL_CLIENT_V_START | 重新命名 |
SSL_CLIENT_CERT_END | SSL_CLIENT_V_END | 重新命名 |
SSL_CLIENT_CERT_SERIAL | SSL_CLIENT_M_SERIAL | 重新命名 |
SSL_CLIENT_SIGNATURE_ALGORITHM | SSL_CLIENT_A_SIG | 重新命名 |
SSL_CLIENT_DN | SSL_CLIENT_S_DN | 重新命名 |
SSL_CLIENT_CN | SSL_CLIENT_S_DN_CN | 重新命名 |
SSL_CLIENT_EMAIL | SSL_CLIENT_S_DN_Email | 重新命名 |
SSL_CLIENT_O | SSL_CLIENT_S_DN_O | 重新命名 |
SSL_CLIENT_OU | SSL_CLIENT_S_DN_OU | 重新命名 |
SSL_CLIENT_C | SSL_CLIENT_S_DN_C | 重新命名 |
SSL_CLIENT_SP | SSL_CLIENT_S_DN_SP | 重新命名 |
SSL_CLIENT_L | SSL_CLIENT_S_DN_L | 重新命名 |
SSL_CLIENT_IDN | SSL_CLIENT_I_DN | 重新命名 |
SSL_CLIENT_ICN | SSL_CLIENT_I_DN_CN | 重新命名 |
SSL_CLIENT_IEMAIL | SSL_CLIENT_I_DN_Email | 重新命名 |
SSL_CLIENT_IO | SSL_CLIENT_I_DN_O | 重新命名 |
SSL_CLIENT_IOU | SSL_CLIENT_I_DN_OU | 重新命名 |
SSL_CLIENT_IC | SSL_CLIENT_I_DN_C | 重新命名 |
SSL_CLIENT_ISP | SSL_CLIENT_I_DN_SP | 重新命名 |
SSL_CLIENT_IL | SSL_CLIENT_I_DN_L | 重新命名 |
SSL_EXPORT | SSL_CIPHER_EXPORT | 重新命名 |
SSL_KEYSIZE | SSL_CIPHER_ALGKEYSIZE | 重新命名 |
SSL_SECKEYSIZE | SSL_CIPHER_USEKEYSIZE | 重新命名 |
SSL_SSLEAY_VERSION | SSL_VERSION_LIBRARY | 重新命名 |
SSL_STRONG_CRYPTO | - | mod_ssl 不支援 |
SSL_SERVER_KEY_EXP | - | mod_ssl 不支援 |
SSL_SERVER_KEY_ALGORITHM | - | mod_ssl 不支援 |
SSL_SERVER_KEY_SIZE | - | mod_ssl 不支援 |
SSL_SERVER_SESSIONDIR | - | mod_ssl 不支援 |
SSL_SERVER_CERTIFICATELOGDIR | - | mod_ssl 不支援 |
SSL_SERVER_CERTFILE | - | mod_ssl 不支援 |
SSL_SERVER_KEYFILE | - | mod_ssl 不支援 |
SSL_SERVER_KEYFILETYPE | - | mod_ssl 不支援 |
SSL_CLIENT_KEY_EXP | - | mod_ssl 不支援 |
SSL_CLIENT_KEY_ALGORITHM | - | mod_ssl 不支援 |
SSL_CLIENT_KEY_SIZE | - | mod_ssl 不支援 |
啟用 mod_ssl 後,mod_log_config 的 自訂日誌格式 會有額外的函數,如參考章節中所述。 除了 ``%{varname}x'' eXtension 格式函數(可用於展開任何模組提供的任何變數)之外,還有一個額外的密碼學 ``%{name}c'' 密碼學格式函數,以實現向下相容性。 目前實作的函數呼叫列於 表 3 中。
| 函數呼叫 | 說明 |
|---|---|
%...{version}c | SSL 協定版本 |
%...{cipher}c | SSL 密碼 |
%...{subjectdn}c | 用戶端憑證主體識別名稱 |
%...{issuerdn}c | 用戶端憑證發行者識別名稱 |
%...{errcode}c | 憑證驗證錯誤(數值) |
%...{errstr}c | 憑證驗證錯誤(字串) |
