ssl.conf 파일 옵션

SSLRandomSeed

SSL/TLS 세션키를 생성하기 위해 난수 생성기를 초기화 하는데 사용 SSLRandomSeed context source [bytes] context 종류 startup : 서버가 시작될 때 초기화될 소스 connect : 각 클라이언트 연결마다 난수 생성기를 초기화할 소스 source builtin : 언제든지 사용 가능한 builtin seeding secure, 최소한의 CPU cycle 소비 내장된 난수 생성기 사용 file:/path/to/source : 외부 파일로 부터 난수를 읽어옴 exec:/경로/프로그램 : 외부 프로그램 사용 시 서버 속도를 저하 시킴 bytes 값 생략 시 512 바이트 적용

 

SSLHonorCipherOrder

mod_ssl 모듈에서 제공하는 디렉티브 SSL/TLS 우선순위 지정 시 사용 on : 서버 클라이언트와 SSL/TLS 연결을 협상할 때 암호화 알고리즘의 우선순위를 지킴 클라이언트가 제공한 목록에서 가장 강력한 암호화 알고리즘 선택 off : 우선순위를 엄격히 지키지 않음, 클라이언트가 제공한 암호화 알고리즘 목록에서 제일 첫번째로 일치하는 알고리즘 선택

 

SSLProtocol

SSL/TLS 프로토콜 버전 지정 시 사용 됨 여러 프로토콜을 지정할 수 있으며 우선순위는 왼쪽에서 오른쪽 이다. SSLProtocol +TLSv1.2 +TLSv1.3 -SSLv3 ⇒ TLSv1.2와 1.3은 활성화 SSLv3는 비활성화 SSLProtocol -ALL + TLSv1.1 + TLSv1.2 SSLProxyProtocol -ALL + TLSv1.1 + TLSv1.2

 

SSLPassPhraseDialog

SSLPassPhraseDialog type:path << 과 같이 사용됨 type builtin : 내장된 대화 상자를 사용하여 암호 입력 받음 서버 시작 시 암호 입력 해야함 exec : 외부 명령을 실행하여 암호를 동적으로 얻어옴 file : 특정 파일에서 암호를 읽어옴 / 파일은 서버 사용자에 의해 관리됨(안전 중요) pipe : SSLPassPhraseDialogHelper와 사이의 UNIX 파이프를 통해 암호를 읽어옴 path : 대화 상자 유형에 따라 필요한 경로 지정

 

 

SSLSessionCache

SSL/TLS 세션 캐시 구성 시 사용 - 이전에 수행된 핸드셰이크 일부 재사용 - 성능 향상 SSLSessionCache type:arg 와 같은 구조를 가지고 있음 type : 세션 캐시 유형 지정 none : 세션 캐싱 비활성화 dbm : DBM 형식 파일 사용하여 세션 캐시 저장 shmcb : 공유 메모리 세그먼트를 사용하여 세션 캐시 저장 (성능 제일 좋음) arg : 세션 캐시 유형에 따라 필요한 추가 인수 지정

 

 

SSL에서 사용되는 파일

CertificateFile (인증서 파일) - 서버의 공개키인 인증서를 지정 - 서버 클라이언트 통신에 사용되는 공개키 포함 - x.509 형식 = .pem, .crt, .cer 등의 확장자를 가짐 - CA에 의해 서명된 서버의 공개키와 식별 정보 포함

CertificateKeyFile (인증서 개인 키 파일 ) - 서버의 개인키 지정 파일 - 서버의 비밀키⇒ 서버에서만 액세스 가능해야함 - .pem, .key 등 으로 저장 됨 - 서버 공개키와 짝임

CertificateChainFile (인증 체인 파일) - 인증 체인을 지정하는 파일 - 클라이언트가 서버 인증서를 신뢰할 수 있는지 확인하기 위해 사용 - CA의 중간 인증서와 루트 인증서를 포함 - .pem, .crt, .cer 등으로 제공

 

DumpPost 란?

Apache HTTP 서버의 mod_dumpio 모듈에서 제공하는 디렉티브 HTTP POST 요청의 내용을 로깅하기 위해 사용됨 DumpPost [on/off] on : DumpPost 를 활성화 하여 POST 요청 본문을 로깅함 off : DumpPost 를 비활성화 하여 POS t요청 본문 로깅을 중지함 로깅된 POST 요청은 서버 로그 파일에 기록됨