<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_ssl

Langues Disponibles:  en  |  fr 

Description:Chiffrement de haut niveau basé sur les protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS)
Statut:Extension
Identificateur de Module:ssl_module
Fichier Source:mod_ssl.c

Sommaire

Ce module fournit le support SSL v3 et TLS v1 au serveur HTTP Apache. SSL v2 n'est plus supporté.

Ce module s'appuie sur OpenSSL pour fournir le moteur de chiffrement.

D'autres détails, discussions et exemples sont fournis dans la documentation SSL.

Support Apache!

Sujets

Directives

Traitement des bugs

Voir aussi

top

Variables d'environnement

Ce module peut être configuré pour fournir aux espaces de nommage SSI et CGI de nombreux éléments d'informations concernant SSL par le biais de variables d'environnement supplémentaires. Par défaut, sauf pour HTTPS et SSL_TLS_SNI qui sont toujours définies, ces informations ne sont pas fournies pour des raisons de performances (Voir la directive SSLOptions StdEnvVars ci-dessous). Les variables générées se trouvent dans la table ci-dessous. Ces informations peuvent également être disponible sous des noms différents à des fins de compatibilité ascendante. Reportez-vous au chapitre Compatibilité pour plus de détails à propos des variables de compatibilité.

Nom de la variable Type de valeur Description
HTTPS drapeau HTTPS est utilisé.
SSL_PROTOCOL chaîne La version du protocole SSL (SSLv3, TLSv1, TLSv1.1, TLSv1.2)
SSL_SESSION_ID chaîne L'identifiant de session SSL codé en hexadécimal
SSL_SESSION_RESUMED chaîne Session SSL initiale ou reprise. Note : plusieurs requêtes peuvent être servies dans le cadre de la même session SSL (initiale ou reprise) si les connexions persistantes (HTTP KeepAlive) sont utilisées
SSL_SECURE_RENEG chaîne true si la renégociation sécurisée est supportée, false dans le cas contraire
SSL_CIPHER chaîne Le nom de l'algorithme de chiffrement
SSL_CIPHER_EXPORT chaîne true si l'algorithme de chiffrement est un algorithme exporté
SSL_CIPHER_USEKEYSIZE nombre Nombre de bits de chiffrement (réellement utilisés)
SSL_CIPHER_ALGKEYSIZE nombre Nombre de bits de chiffrement (possible)
SSL_COMPRESS_METHOD chaîne Méthode de compression SSL négociée
SSL_VERSION_INTERFACE chaîne La version du programme mod_ssl
SSL_VERSION_LIBRARY chaîne La version du programme OpenSSL
SSL_CLIENT_M_VERSION chaîne La version du certificat client
SSL_CLIENT_M_SERIAL chaîne Le numéro de série du certificat client
SSL_CLIENT_S_DN chaîne Le DN sujet du certificat client
SSL_CLIENT_S_DN_x509 chaîne Elément du DN sujet du client
SSL_CLIENT_SAN_Email_n chaîne Les entrées d'extension subjectAltName du certificat client de type rfc822Name
SSL_CLIENT_SAN_DNS_n chaîne Les entrées d'extension subjectAltName du certificat client de type dNSName
SSL_CLIENT_SAN_OTHER_msUPN_n chaîne Extensions subjectAltName de type otherName du certificat client, forme Microsoft du nom principal de l'utilisateur (OID 1.3.6.1.4.1.311.20.2.3)
SSL_CLIENT_I_DN chaîne DN de l'émetteur du certificat du client
SSL_CLIENT_I_DN_x509 chaîne Elément du DN de l'émetteur du certificat du client
SSL_CLIENT_V_START chaîne Validité du certificat du client (date de début)
SSL_CLIENT_V_END chaîne Validité du certificat du client (date de fin)
SSL_CLIENT_V_REMAIN chaîne Nombre de jours avant expiration du certificat du client
SSL_CLIENT_A_SIG chaîne Algorithme utilisé pour la signature du certificat du client
SSL_CLIENT_A_KEY chaîne Algorithme utilisé pour la clé publique du certificat du client
SSL_CLIENT_CERT chaîne Certificat du client au format PEM
SSL_CLIENT_CERT_CHAIN_n chaîne Certificats de la chaîne de certification du client au format PEM
SSL_CLIENT_CERT_RFC4523_CEA chaîne Numéro de série et fournisseur du certificat. le format correspond à celui de la CertificateExactAssertion dans la RFC4523
SSL_CLIENT_VERIFY chaîne NONE, SUCCESS, GENEROUS ou FAILED:raison
SSL_SERVER_M_VERSION chaîne La version du certificat du serveur
SSL_SERVER_M_SERIAL chaîne The serial of the server certificate
SSL_SERVER_S_DN chaîne DN sujet du certificat du serveur
SSL_SERVER_S_DN_x509 chaîne Elément du DN sujet du certificat du serveur
SSL_SERVER_SAN_Email_n chaîne Les entrées d'extension subjectAltName du certificat de serveur de type rfc822Name
SSL_SERVER_SAN_DNS_n chaîne Les entrées d'extension subjectAltName du certificat de serveur de type dNSName
SSL_SERVER_SAN_OTHER_dnsSRV_n chaîne Extensions subjectAltName de type otherName du certificat serveur, sous la forme SRVName (OID 1.3.6.1.5.5.7.8.7, RFC 4985)
SSL_SERVER_I_DN chaîne DN de l'émetteur du certificat du serveur
SSL_SERVER_I_DN_x509 chaîne Elément du DN de l'émetteur du certificat du serveur
SSL_SERVER_V_START chaîne Validité du certificat du serveur (date de dédut)
SSL_SERVER_V_END chaîne Validité du certificat du serveur (date de fin)
SSL_SERVER_A_SIG chaîne Algorithme utilisé pour la signature du certificat du serveur
SSL_SERVER_A_KEY chaîne Algorithme utilisé pour la clé publique du certificat du serveur
SSL_SERVER_CERT chaîne Certificat du serveur au format PEM
SSL_SRP_USER chaîne nom d'utilisateur SRP
SSL_SRP_USERINFO chaîne informations sur l'utilisateur SRP
SSL_TLS_SNI string Contenu de l'extension SNI TLS (si supporté par ClientHello)

x509 spécifie un élément de DN X.509 parmi C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email. A partir de la version 2.2.0 d'Apache, x509 peut aussi comporter un suffixe numérique _n. Si le DN en question comporte plusieurs attributs de noms identiques, ce suffixe constitue un index débutant à zéro et permettant de sélectionner un attribut particulier. Par exemple, si le DN sujet du certificat du serveur comporte deux champs OU, on peut utiliser SSL_SERVER_S_DN_OU_0 et SSL_SERVER_S_DN_OU_1 pour référencer chacun d'entre eux. Un nom de variable sans suffixe _n est équivalent au même nom avec le suffixe _0, ce qui correspond au premier attribut (ou au seul) caractérisant le DN. Lorsque la table d'environnement est remplie en utilisant l'option StdEnvVars de la directive SSLOptions, le premier attribut (ou le seul) caractérisant le DN est enregistré avec un nom sans suffixe ; autrement dit, aucune entrée possédant comme suffixe _0 n'est enregistrée.

A partir de la version 2.4.32 de httpd, on peut ajouter le suffixe _RAW à x509 dans un composant DN afin d'empêcher la conversion de la valeur de l'attribut en UTF-8. Il doit être placé après le suffixe index (s'il existe). On utilisera par