home *** CD-ROM | disk | FTP | other *** search

---

/ Personal Computer World 2005 October / PCWOCT05.iso / Software / FromTheMag / XAMPP 1.4.14 / xampp-win32-1.4.14-installer.exe / xampp / apache / conf / ssl.conf

< prev

next >

Wrap

Text File  |  2004-06-03  |  9KB  |  180 lines

---

1. Listen 443
2. LoadModule ssl_module modules/mod_ssl.so
3. LoadFile "/xampp/apache/bin/libeay32.dll"
4. LoadFile "/xampp/apache/bin/ssleay32.dll"
5.  
6. ##
7. ## SSL Virtual Host Context
8. ##
9. ### NEW CACHE IN APACHE LOGS FOLDER ### 
10. SSLSessionCache dbm:logs 
11. # SSLSessionCache dbm:/xampp/tmp/ssl
12. SSLSessionCacheTimeout 600
13. <VirtualHost _default_:443>
14. #  <VirtualHost 127.0.0.1:443>
15.  
16. #  General setup for the virtual host
17. DocumentRoot "/xampp/htdocs"
18. ServerName localhost
19. ServerAdmin you@your.address
20. DocumentRoot "/xampp/htdocs"
21. ErrorLog logs/sslerror.log
22.  
23. #   SSL Engine Switch:
24. #   Enable/Disable SSL for this virtual host.
25. SSLEngine on
26.  
27. #   SSL Cipher Suite:
28. #   List the ciphers that the client is permitted to negotiate.
29. #   See the mod_ssl documentation for a complete list.
30. #SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
31.  
32. #   Server Certificate:
33. #   Point SSLCertificateFile at a PEM encoded certificate.  If
34. #   the certificate is encrypted, then you will be prompted for a
35. #   pass phrase.  Note that a kill -HUP will prompt again. A test
36. #   certificate can be generated with `make certificate' under
37. #   built time. Keep in mind that if you've both a RSA and a DSA
38. #   certificate you can configure both in parallel (to also allow
39. #   the use of DSA ciphers, etc.)
40. #SSLCertificateFile "/xampp/apache/conf/ssl.crt/snakeoil-rsa.crt"
41. SSLCertificateFile "/xampp/apache/conf/ssl.crt/server.crt"
42. #SSLCertificateFile "/xampp/apache/conf/ssl.crt/server.csr"
43. #SSLCertificateFile C:/Apache/conf/ssl.crt/server-dsa.crt
44.  
45. #   Server Private Key:
46. #   If the key is not combined with the certificate, use this
47. #   directive to point at the key file.  Keep in mind that if
48. #   you've both a RSA and a DSA private key you can configure
49. #   both in parallel (to also allow the use of DSA ciphers, etc.)
50. #SSLCertificateKeyFile "/xampp/apache/conf/ssl.key/snakeoil-rsa.key"
51. SSLCertificateKeyFile "/xampp/apache/conf/ssl.key/server.key"
52. #SSLCertificateKeyFile C:/Apache/conf/ssl.key/server-dsa.key
53.  
54. #   Server Certificate Chain:
55. #   Point SSLCertificateChainFile at a file containing the
56. #   concatenation of PEM encoded CA certificates which form the
57. #   certificate chain for the server certificate. Alternatively
58. #   the referenced file can be the same as SSLCertificateFile
59. #   when the CA certificates are directly appended to the server
60. #   certificate for convinience.
61. #SSLCertificateChainFile C:/Apache/conf/ssl.crt/ca.crt
62.  
63. #   Certificate Authority (CA):
64. #   Set the CA certificate verification path where to find CA
65. #   certificates for client authentication or alternatively one
66. #   huge file containing all of them (file must be PEM encoded)
67. #   Note: Inside SSLCACertificatePath you need hash symlinks
68. #         to point to the certificate files. Use the provided
69. #         Makefile to update the hash symlinks after changes.
70. #SSLCACertificatePath C:/Apache/conf/ssl.crt
71. #SSLCACertificateFile C:/Apache/conf/ssl.crt/ca-bundle.crt
72.  
73. #   Certificate Revocation Lists (CRL):
74. #   Set the CA revocation path where to find CA CRLs for client
75. #   authentication or alternatively one huge file containing all
76. #   of them (file must be PEM encoded)
77. #   Note: Inside SSLCARevocationPath you need hash symlinks
78. #         to point to the certificate files. Use the provided
79. #         Makefile to update the hash symlinks after changes.
80. #SSLCARevocationPath C:/Apache/conf/ssl.crl
81. #SSLCARevocationFile C:/Apache/conf/ssl.crl/ca-bundle.crl
82.  
83. #   Client Authentication (Type):
84. #   Client certificate verification type and depth.  Types are
85. #   none, optional, require and optional_no_ca.  Depth is a
86. #   number which specifies how deeply to verify the certificate
87. #   issuer chain before deciding the certificate is not valid.
88. #SSLVerifyClient require
89. #SSLVerifyDepth  10
90.  
91. #   Access Control:
92. #   With SSLRequire you can do per-directory access control based
93. #   on arbitrary complex boolean expressions containing server
94. #   variable checks and other lookup directives.  The syntax is a
95. #   mixture between C and Perl.  See the mod_ssl documentation
96. #   for more details.
97. #<Location />
98. #SSLRequire (    %{SSL_CIPHER} !~ m/^(EXP|NULL)/ \
99. #            and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
100. #            and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
101. #            and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \
102. #            and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20       ) \
103. #           or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
104. #</Location>
105.  
106. #   SSL Engine Options:
107. #   Set various options for the SSL engine.
108. #   o FakeBasicAuth:
109. #     Translate the client X.509 into a Basic Authorisation.  This means that
110. #     the standard Auth/DBMAuth methods can be used for access control.  The
111. #     user name is the `one line' version of the client's X.509 certificate.
112. #     Note that no password is obtained from the user. Every entry in the user
113. #     file needs this password: `xxj31ZMTZzkVA'.
114. #   o ExportCertData:
115. #     This exports two additional environment variables: SSL_CLIENT_CERT and
116. #     SSL_SERVER_CERT. These contain the PEM-encoded certificates of the
117. #     server (always existing) and the client (only existing when client
118. #     authentication is used). This can be used to import the certificates
119. #     into CGI scripts.
120. #   o StdEnvVars:
121. #     This exports the standard SSL/TLS related `SSL_*' environment variables.
122. #     Per default this exportation is switched off for performance reasons,
123. #     because the extraction step is an expensive operation and is usually
124. #     useless for serving static content. So one usually enables the
125. #     exportation for CGI and SSI requests only.
126. #   o CompatEnvVars:
127. #     This exports obsolete environment variables for backward compatibility
128. #     to Apache-SSL 1.x, mod_ssl 2.0.x, Sioux 1.0 and Stronghold 2.x. Use this
129. #     to provide compatibility to existing CGI scripts.
130. #   o StrictRequire:
131. #     This denies access when "SSLRequireSSL" or "SSLRequire" applied even
132. #     under a "Satisfy any" situation, i.e. when it applies access is denied
133. #     and no other module can change it.
134. #   o OptRenegotiate:
135. #     This enables optimized SSL connection renegotiation handling when SSL
136. #     directives are used in per-directory context.
137. #SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars +StrictRequire
138. <Files ~ "\.(cgi|shtml|phtml|php3?)$">
139.     SSLOptions +StdEnvVars
140. </Files>
141. <Directory "/xampp/cgi-bin">
142.     SSLOptions +StdEnvVars
143. </Directory>
144.  
145.  
146. #   SSL Protocol Adjustments:
147. #   The safe and default but still SSL/TLS standard compliant shutdown
148. #   approach is that mod_ssl sends the close notify alert but doesn't wait for
149. #   the close notify alert from client. When you need a different shutdown
150. #   approach you can use one of the following variables:
151. #   o ssl-unclean-shutdown:
152. #     This forces an unclean shutdown when the connection is closed, i.e. no
153. #     SSL close notify alert is send or allowed to received.  This violates
154. #     the SSL/TLS standard but is needed for some brain-dead browsers. Use
155. #     this when you receive I/O errors because of the standard approach where
156. #     mod_ssl sends the close notify alert.
157. #   o ssl-accurate-shutdown:
158. #     This forces an accurate shutdown when the connection is closed, i.e. a
159. #     SSL close notify alert is send and mod_ssl waits for the close notify
160. #     alert of the client. This is 100% SSL/TLS standard compliant, but in
161. #     practice often causes hanging connections with brain-dead browsers. Use
162. #     this only for browsers where you know that their SSL implementation
163. #     works correctly.
164. #   Notice: Most problems of broken clients are also related to the HTTP
165. #   keep-alive facility, so you usually additionally want to disable
166. #   keep-alive for those clients, too. Use variable "nokeepalive" for this.
167. #   Similarly, one has to force some clients to use HTTP/1.0 to workaround
168. #   their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
169. #   "force-response-1.0" for this.
170. SetEnvIf User-Agent ".*MSIE.*" \
171.          nokeepalive ssl-unclean-shutdown \
172.          downgrade-1.0 force-response-1.0
173.  
174. #   Per-Server Logging:
175. #   The home of a custom SSL log file. Use this when you want a
176. #   compact non-error SSL logfile on a virtual host .
177. #CustomLog /xampp/logs/ssl_request_log \
178. #          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
179.  
180. </VirtualHost>