Admin Listeners SSL

Admin Listeners are dedicated to the Admin Server. Secure (SSL) listeners are recommended for the Admin Server.

Table of Contents

SSL私钥和证书

私钥文件 | 证书文件 | 证书链 | CA证书路径 | CA证书文件

SSL协议

协议版本 | 密码套件 | 启用ECDH密钥交换 | 启用DH密钥交换 | DH参数

Security & Features

SSL密钥重新协商保护 | 启用SSL会话缓存 | 启用会话记录单 | 启用 SPDY/HTTP2/HTTP3 | 允许QUIC

Client Verification

Client Verification | 验证深度 | 客户端吊销路径 | 客户端吊销文件

SSL私钥和证书

Description

每个SSL侦听器都需要成对的SSL私钥和SSL证书。 多个SSL侦听器可以共享相同的密钥和证书。
您可以使用SSL软件包自行生成SSL私钥, 例如OpenSSL。 SSL证书也可以从授权证书颁发机构(如VeriSign或Thawte)购买。 您也可以自己签署证书。 自签名证书将不受Web浏览器的信任,并且不应在公共网站上使用。 但是,自签名证书足以供内部使用,例如 用于加密到LiteSpeed Web服务器的WebAdmin控制台的流量。

私钥文件

Description

SSL私钥文件的文件名。 密钥文件不应被加密。

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

提示

[安全建议] 私钥文件应放在一个安全的目录中,该目录应 允许对运行服务器的用户具有只读的访问权限。

证书文件

Description

SSL证书文件的文件名。

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

提示

[安全建议] 私钥文件应放在一个安全的目录中,该目录应 允许对运行服务器的用户具有只读的访问权限。

证书链

Description

指定证书是否为证书链。 存储证书链的文件必须为PEM格式, 并且证书必须按照从最低级别(实际的客户端或服务器证书)到最高级别(Root)CA的链接顺序。

Syntax

从单选框选择

CA证书路径

Description

指定证书颁发机构(CA)证书的目录。 这些证书用于客户端证书身份验证和构建服务器证书链,除了服务器证书之外,这些证书还将发送到浏览器。

Syntax

path

CA证书文件

Description

指定包含证书颁发机构(CA)证书的证书链文件。 按照优先顺序,此文件只是PEM编码的证书文件的串联。 这可以用作替代或 除了CA证书路径。 这些证书用于客户端证书身份验证和构建服务器证书链,除了服务器证书之外,这些证书还将发送到浏览器。

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

SSL协议

Description

自定义侦听器接受的SSL协议。

协议版本

Description

指定将使用哪个版本的SSL协议。 您可以选择 SSL v3.0 TLS v1.0 。 从OpenSSL 1.0.1开始,还支持TLS v1.1 TLS v1.2 。 还可以通过BoringSSL。支持TLS v1.3

提示

将此字段保留为空白将默认启用TLS v1.0,TLS v1.1和TLS v1.2。 TLS v1.3需要BoringSSL,并且在基础SSL库支持的情况下也会启用。

密码套件

Description

Specifies the cipher suite to be used when negotiating the SSL handshake. LSWS supports cipher suites implemented in SSL v3.0, TLS v1.0, TLS v1.2, and TLS v1.3.

Syntax

Colon-separated string of cipher specifications.

例子

ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

提示

We recommend leaving this field blank to use our default cipher which follows SSL cipher best practices.

启用ECDH密钥交换

Description

允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。

Syntax

从单选框选择

提示

[安全建议] ECDH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥交换安全性相同。

[性能] 启用ECDH密钥交换会增加CPU负载,并且比仅使用RSA密钥要慢。

启用DH密钥交换

Description

允许使用Diffie-Hellman密钥交换进行进一步的SSL加密。

Syntax

从单选框选择

提示

[安全建议] DH密钥交换比仅使用RSA密钥更安全。 ECDH和DH密钥安全性相同。

[x性能] 启用DH密钥交换将增加CPU负载,并且比ECDH密钥交换和RSA都慢。 如果可用,则首选ECDH密钥交换。

DH参数

Description

指定DH密钥交换所需的Diffie-Hellman参数文件的位置。

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。

SSL密钥重新协商保护

Description

指定是否启用SSL密钥重新协商保护以 防御基于SSL握手的攻击。 默认值为“是”。

Syntax

从单选框选择

提示

可以在侦听器和虚拟主机级别启用此设置。

启用SSL会话缓存

Description

使用OpenSSL的默认设置启用会话ID缓存。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

Syntax

从单选框选择

启用会话记录单

Description

使用OpenSSL的默认会话票证设置启用会话记录单。 服务器级别设置必须设置为“是”才能使虚拟主机设置生效。
默认值:
服务器级别: Yes
虚拟主机级别: Yes

Syntax

从单选框选择

启用 SPDY/HTTP2/HTTP3

Description

有选择地启用HTTP/3,HTTP/2和SPDY HTTP网络协议。

如果要禁用SPDY,HTTP/2和HTTP3,请选中“无”,并取消选中所有其他框。
Default value: All enabled

Syntax

从复选框中选择

提示

可以在侦听器和虚拟主机级别上设置此设置。

允许QUIC

Description

允许对映射到此侦听器的虚拟主机使用QUIC网络协议。 为了使此设置生效,还必须在服务器级别将启用QUIC设置为。 默认值为

提示

当此设置设置为时,仍可以通过启用QUIC设置在虚拟主机级别禁用QUIC。

Client Verification

Description

Specifies the type of client certifcate authentication. Available types are:

  • None: No client certificate is required.
  • Optional: Client certificate is optional.
  • Require: The client must has valid certificate.
  • Optional_no_ca: Same as optional.
The default is "None".

Syntax

从列表中选择

提示

"None" or "Require" are recommended.

验证深度

Description

Specifies how deeply a certificate should be verified before determining that the client does not have a valid certificate. The default is "1".

Syntax

从列表中选择

客户端吊销路径

Description

Specifies the directory containing PEM-encoded CA CRL files for revoked client certificates. The files in this directory have to be PEM-encoded. These files are accessed through hash filenames, hash-value.rN. Please refer to openSSL or Apache mod_ssl documentation regarding creating the hash filename.

Syntax

path

客户端吊销文件

Description

Specifies the file containing PEM-encoded CA CRL files enumerating revoked client certificates. This can be used as an alternative or in addition to 客户端吊销路径.

Syntax

文件名可以是绝对路径,也可以是相对于$SERVER_ROOT的相对路径。