HTMLpointHTMLpoint HTMLpoint.com


 El archivo de configuración



Hasta ahora hemos resuelto la cuestión del demone httpds, la clave RSA y nuestro certificado. Nos falta ver el archivo de configuración que diga al servidor de red como se tiene que portar cuando se establezca una conexión SSL. Un ejemplo de archivo de configuración se puede encontrar, siempre en las fuentes de Apache, en el directorio ../apache/SSLconf/conf. Este archivo se ocupa de crear dos "sitios", uno seguramente en la puerta 8888 y otro "normal" (simple protocolo HTTP) en la puerta 8887. Vamos a ver los aspectos del archivo que nos interesan. Podéis notar que muchos son parecidos a los que encontramos para los archivos normales de configuración de.

User webuser
Group webgroup

# El usuario y el grupo, como para los archivos httpd.conf

Loglevel debug
# El nivel en el que están detallados los archivos de log

ServerType standalone
# A diferencia de httpd.conf, en una conexión SSL el servidor debe
# ser del tipo standalone, y no tiene que ser enviado por inetd.

Port 8887
# La puerta en la que el servidor está escuchando: de default, ésta
# sería la 443 (de /etc/services:
# https 443/udp)
# sin embargo elegimos la 8888 para que no sea root.

Listen 8887
Listen 8888

# Las puertas en las que el servidor se pone en listen: hay que notar que
# especificamos dos, una para el protocolo normal y la otra
# el protocolo HTTPS.

DocumentRoot /usr/www/site.ssl/htdocs
# La documentación root

SSLRequireSSL
# este directorio sirve para proteger un directorio rechazando el exceso
# cuando no nos conectamos con protocolo SSL. La utilidad de los directorios
# es que no permite a todo el mundo abrir los documentos
# que normalmente se podrían abrir con SSL

TransferLog logs/transfer_log
# El archivo de log.

SSLDisable
# Este directorio sirve para que el protocolo SSL no esté activo para los
# virtualhuéspedes; si queremos hacer lo contrario, será necesario
# sustituir "SSLDisable" con "SSLEnable".

SSLCACertificateFile /usr/www/site.ssl/conf/thawte.cert
# El path para el certificado CA

SSLVerifyClient 0
# Se establece desde "0", no se pide un certificado; en "1" el cliente
# puede presentar un certificado que sea válido; en "2" el cliente tiene que presentar
# un certificado que sea válido; en "3" el cliente puede presentar un certificado
# válido aunque éste no se pida para el certificado CA. Un
# típico mensaje del servidor cuando un cliente no entrega un
# certificado, podría ser:
# "No User Certificate.
# The site 'www.sito.com' has requested client
# authentication, but you don't have a Personal Certificate
# to autenthicate yourself. The site may choose not to give you access
# without one."

SSLCACertificateFile /usr/www/site.ssl/conf/cert.pem
# El path para el certificado que creamos al empezar el capítulo.

CustomLoglogs/ssl_log "%t %{version}c %{cipher}c %{clientcert}c"
# El archivo de log "custom", como el que vimos para Apache sin ningún soporte
# SSL.
  Volver al inicio de la página