<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1793934:1805201 (outdated) -->
+<!-- English Revision: 1827561:1828059 (outdated) -->
<!-- French translation : Lucien GENTIS -->
+<!-- Reviewed by : Vincent Deffontaines -->
<!--
Licensed to the Apache Software Foundation (ASF) under one or more
<p><em>x509</em> spécifie un élément de DN X.509 parmi
<code>C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email</code>. A partir de la version
-2.1 d'Apache, <em>x509</em> peut aussi comporter un suffixe numérique
+2.2.0 de httpd, <em>x509</em> peut aussi comporter un suffixe numérique
<code>_n</code>. Si le DN en question comporte plusieurs attributs de
noms identiques, ce suffixe constitue un index débutant à zéro et
permettant de sélectionner un
autrement dit, aucune entrée possédant comme suffixe <code>_0</code>
n'est enregistrée.</p>
+<p>Depuis la version 2.5.0 de httpd, il est possible d'ajouter le suffixe
+<em>_RAW</em> à <em>x509</em> dans un élément DN afin d'éviter la conversion en
+UTF-8 de la valeur de l'attribut. Il doit être placé après le suffixe index
+(s'il existe), par exemple <code>SSL_SERVER_S_DN_OU_RAW</code> ou
+<code>SSL_SERVER_S_DN_OU_0_RAW</code>.</p>
+
<p>Le format des variables <em>*_DN</em> a changé depuis la version
2.3.11 d'Apache HTTPD. Voir l'option <code>LegacyDNStringFormat</code>
de la directive <directive module="mod_ssl">SSLOptions</directive> pour
<directivesynopsis>
<name>SSLEngine</name>
<description>Interrupteur marche/arrêt du moteur SSL</description>
-<syntax>SSLEngine on|off|optional</syntax>
+<syntax>SSLEngine on|off|optional|addr[:port] [addr[:port]] ...</syntax>
<default>SSLEngine off</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
+<compatibility>Le paramètre <code>addr:port</code> est disponible à partir de la
+version 2.4.30 du serveur HTTP Apache.</compatibility>
<usage>
-<p>
-Cette directive permet d'activer/désactiver le moteur du protocole
-SSL/TLS. Elle doit être utilisée dans une section <directive
-module="core" type="section">VirtualHost</directive> pour activer
-SSL/TLS pour ce serveur virtuel particulier. Par défaut, le moteur du
-protocole SSL/TLS est désactivé pour le serveur principal et tous les
-serveurs virtuels configurés.</p>
+<p> Cette directive permet d'activer/désactiver le moteur du protocole SSL/TLS.
+Les valeurs 'on', 'off' et 'optional' doivent être utilisées dans une section
+<directive module="core" type="section">VirtualHost</directive> pour activer
+SSL/TLS pour ce serveur virtuel particulier. Par défaut, le moteur du protocole
+SSL/TLS est désactivé pour le serveur principal et tous les serveurs virtuels
+configurés.</p>
<example><title>Exemple</title>
<highlight language="config">
<VirtualHost _default_:443>
</VirtualHost>
</highlight>
</example>
-<p>Depuis la version 2.1 d'Apache, la directive
-<directive>SSLEngine</directive> peut être définie à
-<code>optional</code>, ce qui active le support de <a
-href="http://www.ietf.org/rfc/rfc2817.txt">RFC 2817</a>, Upgrading to
-TLS Within HTTP/1.1. Pour le moment, aucun navigateur web ne supporte
-RFC 2817.</p>
+<p>Le paramètre <code>addr:port</code> doit être défini au niveau de la
+configuration générale afin d'activer le moteur du protocole SSL/TLS pour
+<em>tous</em> les <directive module="core"
+type="section">VirtualHost</directive>s qui correspondent à une des adresses de
+la liste.</p>
+<example><title>Exemple</title>
+<highlight language="config">
+SSLEngine *:443
+<VirtualHost *:443>
+#...
+</VirtualHost>
+</highlight>
+</example>
+<p><directive>SSLEngine</directive> peut être définie à <code>optional</code>,
+ce qui active le support de <a href="http://www.ietf.org/rfc/rfc2817.txt">RFC
+2817</a>.
+</p>
</usage>
</directivesynopsis>
<module>mod_auth_basic</module> permet de contrôler à la
fois le nom d'utilisateur et le mot de passe ; elle fournit donc un
mécanisme plus général de simulation d'authentification de base.</p>
+
+ <note type="warning">
+ <p>Les noms d'utilisateur pour <code>FakeBasicAuth</code> ne doivent pas
+ contenir de caractères non-ASCII, de caractères d'échappement ASCII (comme
+ newline), ou de caractère ':'. A partir de la version 2.5.1 de httpd, si
+ un caractère ':' est rencontré, une erreur 403 Forbidden sera générée.</p>
+ </note>
</li>
<li><code>StrictRequire</code>
<p>
et certificats permettant au serveur mandataire de s'authentifier auprès
des serveurs distants.
</p>
-<p>Les fichiers de ce répertoire doivent être codés en PEM et ils sont
-accédés via des noms de fichier sous forme de condensés ou hash. Vous
-devez donc aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
-assurer que ce répertoire contient les liens symboliques appropriés.</p>
+<p>mod_ssl va essayer de charger tous les fichiers contenus dans le répertoire
+spécifié, mais en ignorera les éventuels sous-répertoires. Chaque fichier doit
+contenir un certificat codé au format PEM ainsi que la clé privée
+correspondante.</p>
<note type="warning">
<p>Actuellement, les clés privées chiffrées ne sont pas supportées.</p>
</note>
<name>SSLOCSPEnable</name>
<description>Active la validation OCSP de la chaîne de certificats du
client</description>
-<syntax>SSLOCSPEnable on|off</syntax>
+<syntax>SSLOCSPEnable on|leaf|off</syntax>
<default>SSLOCSPEnable off</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
certificats du client. Si elle est activée, les certificats de la chaîne
de certificats du client seront validés auprès d'un répondeur OCSP, une
fois la vérification normale effectuée (vérification des CRLs
-incluse).</p>
+incluse). En mode 'leaf', seul le certificat du client sera validé.</p>
<p>Le répondeur OCSP utilisé est soit extrait du certificat lui-même,
soit spécifié dans la configuration ; voir les directives <directive
</usage>
</directivesynopsis>
+<directivesynopsis>
+<name>SSLPolicy</name>
+<description>Applique une politique SSL en la référençant par son nom</description>
+<syntax>SSLPolicy <em>name</em></syntax>
+<contextlist><context>server config</context>
+<context>virtual host</context></contextlist>
+<compatibility>Disponible à partir de la version 2.4.30 du serveur HTTP Apache</compatibility>
+
+<usage>
+<p>Cette directive permet d'appliquer le jeu de directives définies au sein
+de la polique SSL de nom 'name' (voir directive <directive
+type="section">SSLPolicyDefine</directive>) comme configuration <em>de base</em> dans
+le contexte courant. Apache httpd est fourni avec les politiques SSL prédéfinies
+suivantes de Mozilla, l'éditeur du navigateur Firefox (<a
+href="https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations">description
+détaillée</a>) :
+</p>
+<ul>
+ <li><code>modern</code>: recommandé lorsque votre serveur est accessible
+ depuis internet, fonctionne avec tous les navigateurs modernes, mais les
+ anciens navigateurs peuvent avoir des difficultés pour se connecter.</li>
+ <li><code>intermediate</code>: version dégradée si vous devez supporter les
+ vieux clients (mais pas trop vieux).</li>
+ <li><code>old</code>: lorsque vous voulez donner accès à IE6 sous Windows XP
+ (ultime recours).</li>
+</ul>
+
+<p>La directive SSLPolicy s'applique à l'endroit où elle est définie, ce qui
+signifie que des valeurs définies évntuellement au préalable sont écrasées, et
+bien entendu que cette même directive peut être écrasée par d'éventuelles
+directives définies plus loin dans le fichier de configuration.</p>
+
+<p>Vous pouvez obtenir une description détaillée de toutes les politiques
+prédéfinies via la commande :</p>
+<example><title>Liste de toutes les politiques SSL prédéfinies</title>
+<highlight language="sh">
+httpd -t -D DUMP_SSL_POLICIES
+</highlight>
+</example>
+
+</usage>
+</directivesynopsis>
+
+
</modulesynopsis>
projects / apache / blobdiff