From: Lucien Gentis Date: Sat, 3 Oct 2015 15:57:13 +0000 (+0000) Subject: XML updates. X-Git-Tag: 2.4.17~42 X-Git-Url: http://git.ipfire.org/?a=commitdiff_plain;h=3d68f093cab50d08922c64093277aa6036736be6;p=thirdparty%2Fapache%2Fhttpd.git XML updates. git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/branches/2.4.x@1706603 13f79535-47bb-0310-9956-ffa450edef68 --- diff --git a/docs/manual/mod/core.xml.fr b/docs/manual/mod/core.xml.fr index de53bdd9afd..35283fccad9 100644 --- a/docs/manual/mod/core.xml.fr +++ b/docs/manual/mod/core.xml.fr @@ -1,7 +1,7 @@ - + @@ -3936,6 +3936,84 @@ seulement depuis la version 2.3.3 sous Windows. Listen + + Protocols + Protocoles disponibles pour un serveur virtuel ou non + Protocols protocole ... + Protocols http/1.1 + server configvirtual host + Disponible à partir de la version 2.4.17 du serveur + HTTP Apache. + + +

Cette directive permet de spécifier la liste des protocoles + supportés par un serveur virtuel ou non. Cette liste énumère les + protocoles qu'un client sera autorisé à négocier avec ce + serveur.

+ +

Par défaut, + seul le protocole http/1.1 est disponible (compatible avec les + clients http/1.0 et http/0.9). Par conséquent, vous devez + fournir cette liste si vous voulez étendre les protocoles + disponibles pour le serveur.

+ +

Par exemple, si vous voulez autoriser le protocole + HTTP/2 pour un serveur avec TLS, utilisez + cette directive comme suit :

+ + + Protocols h2 http/1.1 + + +

Les protocoles valides sont http/1.1 pour les + connexions http et https, h2 pour les connections + https et h2c pour les connexions http. D'autres + modules peuvent fournir d'autres protocoles.

+ +

Spécifier des protocoles non disponibles ou désactivés n'aura + aucun effet, et ceux-ci seront simplement ignorés.

+ +

Si un serveur virtuel ne possède pas de directive Protocols + propre, il hérite des protocoles spécifiés pour le serveur + principal. Autrement dit, les directives Protocols définies au + niveau d'un serveur virtuel remplacent celles définies au niveau + du serveur principal. +

+ + + ProtocolsHonorOrder + + + + + ProtocolsHonorOrder + Détermine qui du client ou du serveur détermine l'ordre + des protocoles au cours de la négociation de la connexion + ProtocolsHonorOrder On|Off + ProtocolsHonorOrder On + server configvirtual host + Disponible à partir de la version 2.4.17 du serveur + HTTP Apache. + + +

Cette directive permet de définir si le serveur doit tenir + compte de l'ordre des protocoles définis par la directive + Protocols.

+ +

Si cette directive est définie à Off, l'ordre de la liste des + protocoles fournie par le client l'emporte sur l'ordre défini + dans la configuration du serveur.

+ +

Si la directive ProtocolsHonorOrder + est définie à on (valeur par défaut), + il n'est pas tenu compte de l'ordre de la liste des protocoles + fournie par le client, et seul l'ordre de la liste des protocles + définie au niveau du serveur influera la + négociation du protocole.

+ + + Protocols + RLimitCPU diff --git a/docs/manual/mod/mod_proxy.xml.fr b/docs/manual/mod/mod_proxy.xml.fr index 0f24a2b91c0..c77096badb6 100644 --- a/docs/manual/mod/mod_proxy.xml.fr +++ b/docs/manual/mod/mod_proxy.xml.fr @@ -1,7 +1,7 @@ - + @@ -1375,7 +1375,7 @@ ProxyPass "/mirror/foo" "http://backend.example.com" généralement du style JSESSIONID ou PHPSESSIONID, et dépend du serveur d'application d'arrière-plan qui supporte les sessions. Si le serveur - d'application d'arrière-plan utilise des noms différents pour + d'application d'arrière-plan utilise un nom différent pour les cookies et les identifiants codés d'URL (comme les conteneurs de servlet), séparez-les par le caractère '|'. La première partie contient le cookie et la seconde le chemin.
diff --git a/docs/manual/mod/mod_ssl.xml.fr b/docs/manual/mod/mod_ssl.xml.fr index cc3b86a1046..3d0685e5f01 100644 --- a/docs/manual/mod/mod_ssl.xml.fr +++ b/docs/manual/mod/mod_ssl.xml.fr @@ -1,7 +1,7 @@ - + @@ -104,6 +104,9 @@ exporté Les entrées d'extension subjectAltName du certificat client de type rfc822Name SSL_CLIENT_SAN_DNS_n chaîne Les entrées d'extension subjectAltName du certificat client de type dNSName +SSL_CLIENT_SAN_OTHER_msUPN_n +chaîne Extensions subjectAltName de type otherName du +certificat client, forme Microsoft du nom principal de l'utilisateur (OID 1.3.6.1.4.1.311.20.2.3) SSL_CLIENT_I_DN chaîne DN de l'émetteur du certificat du client SSL_CLIENT_I_DN_x509 chaîne @@ -144,6 +147,9 @@ certificat de serveur de type rfc822Name SSL_SERVER_SAN_DNS_n chaîne Les entrées d'extension subjectAltName du certificat de serveur de type dNSName +SSL_SERVER_SAN_OTHER_dnsSRV_n +chaîne Extensions subjectAltName de type otherName du +certificat serveur, sous la forme SRVName (OID 1.3.6.1.5.5.7.8.7, RFC 4985) SSL_SERVER_I_DN chaîne DN de l'émetteur du certificat du serveur SSL_SERVER_I_DN_x509 chaîne @@ -703,7 +709,7 @@ applicable. Indique les versions du protocole SSL/TLS disponibles SSLProtocol [+|-]protocole ... -SSLProtocol all +SSLProtocol all -SSLv3 (jusqu'à la version 2.4.16 : all) server config virtual host @@ -719,7 +725,9 @@ casse) :

Il s'agit du protocole Secure Sockets Layer (SSL) version 3.0 de Netscape Corporation. C'est le successeur de SSLv2 et le - prédécesseur de TLSv1.

+ prédécesseur de TLSv1, mais est considéré comme + obsolète dans la RFC + 7568

  • TLSv1

    @@ -741,7 +749,10 @@ casse) :

  • all

    C'est un raccourci pour ``+SSLv3 +TLSv1'' ou - à partir - de la version 1.0.1 d'OpenSSL - ``+SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2.

    • + de la version 1.0.1 d'OpenSSL - ``+SSLv3 +TLSv1 +TLSv1.1 + +TLSv1.2'' (sauf si OpenSSL a été compilé avec l'option + ``no-ssl3'', auquel cas all n'inclura pas + +SSLv3).

    Exemple @@ -897,9 +908,9 @@ peut plus y être rajouté plus tard) EXP sont toujours désactivés

    Depuis la version 2.4.7, les algorithmes de type null ou destinés à l'exportation sont toujours -désactivés car mod_ssl fait -obligatoirement précéder toute chaîne de suite d'algorithmes par -!aNULL:!eNULL:!EXP: à l'initialisation.

    +désactivés car mod_ssl ajoute obligatoirement +!aNULL:!eNULL:!EXP à toute chaîne d'algorithme de +chiffrement à l'initialisation.

    Pour vous simplifier la vie, vous pouvez utiliser la commande @@ -982,44 +993,44 @@ PEM les informations de certificat X.509 du serveur codées au format PEM. Ce fichier doit contenir au minimum un certificat d'entité finale (feuille). -La directive peut être utilisée plusieurs fois (elle référence des -fichiers différents) pour accepter plusieurs algorithmes +La directive peut être utilisée plusieurs fois (elle référence des +fichiers différents) pour accepter plusieurs algorithmes d'authentification au niveau du serveur - souvent RSA, DSA et ECC. Le -nombre d'algorithmes supportés dépend de la version d'OpenSSL utilisée -avec mod_ssl : à partir de la version 1.0.0, la commande openssl +nombre d'algorithmes supportés dépend de la version d'OpenSSL utilisée +avec mod_ssl : à partir de la version 1.0.0, la commande openssl list-public-key-algorithms affiche la liste des algorithmes -supportés. +supportés.

    Les fichiers peuvent aussi contenir des certificats de CA -intermédiaires triés depuis la feuille vers la racine. Cette -fonctionnalité est disponible depuis la version 2.4.8 du serveur HTTP -Apache, et rend obsolète la directive SSLCertificateChainFile. A partir de la -version 1.0.2 d'OpenSSL, il est alors possible de configurer la chaîne +version 1.0.2 d'OpenSSL, il est alors possible de configurer la chaîne de certification en fonction du certificat.

    Depuis la version 2.4.7 du serveur HTTP Apache, on peut aussi ajouter -des paramètres DH personnalisés et un nom EC -curve pour les clés éphémères à la fin du premier fichier défini par la +des paramètres DH personnalisés et un nom EC +curve pour les clés éphémères à la fin du premier fichier défini par la directive SSLCertificateFile. -Ces paramètres peuvent être générés avec les commandes openssl -dhparam et openssl ecparam, et ils peuvent être -ajoutés tel quel à la fin du premier fichier de certificat. En effet, -seul le premier fichier de certificat défini peut être utilisé pour -enregistrer des paramètres personnalisés, car ces derniers s'appliquent -indépendamment de l'algorithme d'authentification utilisé. +Ces paramètres peuvent être générés avec les commandes openssl +dhparam et openssl ecparam, et ils peuvent être +ajoutés tel quel à la fin du premier fichier de certificat. En effet, +seul le premier fichier de certificat défini peut être utilisé pour +enregistrer des paramètres personnalisés, car ces derniers s'appliquent +indépendamment de l'algorithme d'authentification utilisé.

    -

    Enfin, il est aussi possible d'ajouter la clé privée du certificat de -l'entité finale au fichier de certificat, ce qui permet de se passer +

    Enfin, il est aussi possible d'ajouter la clé privée du certificat de +l'entité finale au fichier de certificat, ce qui permet de se passer d'une directive SSLCertificateKeyFile séparée. Cette -pratique est cependant fortement déconseillée. En effet, les fichiers de -certificats qui contiennent de tels clés embarquées doivent être définis -avant les certificats en utilisant un fichier de clé séparé. En outre, -si la clé est chiffrée, une boîte de dialogue pour entrer le mot de -passe de la clé s'ouvre au démarrage du serveur. +module="mod_ssl">SSLCertificateKeyFile séparée. Cette +pratique est cependant fortement déconseillée. En effet, les fichiers de +certificats qui contiennent de tels clés embarquées doivent être définis +avant les certificats en utilisant un fichier de clé séparé. En outre, +si la clé est chiffrée, une boîte de dialogue pour entrer le mot de +passe de la clé s'ouvre au démarrage du serveur.

    @@ -1070,11 +1081,11 @@ une directive SSLCertificateFile correspondante.

    -La clé privé peut aussi être ajoutée au fichier défini par la directive +La clé privé peut aussi être ajoutée au fichier défini par la directive SSLCertificateFile, mais cette -pratique est fortement déconseillée. En effet, les fichiers de -certificats qui comportent une telle clé doivent être définis après les -certificats en utilisant un fichier de clé séparé.

    +pratique est fortement déconseillée. En effet, les fichiers de +certificats qui comportent une telle clé doivent être définis après les +certificats en utilisant un fichier de clé séparé.

    Exemple @@ -2202,7 +2213,7 @@ un serveur mandataire direct pour les requêtes SSL/TLS.

    Définit les protocoles SSL disponibles pour la fonction de mandataire SSLProxyProtocol [+|-]protocole ... -SSLProxyProtocol all +SSLProxyProtocol all -SSLv3 (jusqu'à la version 2.4.16: all) server config virtual host Options diff --git a/docs/manual/mod/mpm_common.xml.fr b/docs/manual/mod/mpm_common.xml.fr index 177dc383c5e..786600abc6f 100644 --- a/docs/manual/mod/mpm_common.xml.fr +++ b/docs/manual/mod/mpm_common.xml.fr @@ -1,7 +1,7 @@ - + @@ -281,6 +281,52 @@ discussion à propos du message d'erreur Address already in use, citant d'autres causes possibles.     + +ListenCoresBucketsRatio +Rapport entre le nombre de coeurs de processeur activés et +le nombre de segments d'écoute +ListenCoresBucketsRatio ratio +ListenCoresBucketsRatio 0 (disabled) +server config + +event +prefork +worker +Disponible à partir de la version 2.4.13 du serveur HTTP +Apache, avec un noyau supportant l'option de socket +SO_REUSEPORT, et distribuant uniformément les nouvelles +connexions aux sockets d'écoute des processus (ou threads) qui +l'utilisent (par exemple Linux versions 3.9 et ultérieures, mais pas +l'implémentation courante de SO_REUSEPORT par les +plateformes de type BSD. + + +

    Vous pouvez utiliser la directive + ListenCoresBucketsRatio pour spécifier un + ratio entre le nombre de coeurs de CPU activés et le + nombre de segments d'écoute (listeners' buckets) souhaités ; le + serveur HTTP Apache va alors créernum_cpu_cores / ratio + segments d'écoute, chacun contenant son propre socket d'écoute + Listen sur le ou les mêmes ports ; chaque + processus enfant sera associé à un seul segment d'écoute (avec une + distribution de type round-robin des segments à la création des + processus enfants).

    + +

    La directive ListenCoresBucketsRatio peut + améliorer le support de la montée en charge lorsque l'arrivée de + nouvelles connexions est/devient un goulot d'étranglement. Le test + de cette fonctionnalité avec des machines possédant un nombre de + coeurs de CPU important a permit de constater une amélioration des + performances significative et des temps de réponse plus courts.

    + +

    Pour que cette fonctionnalité soit activée, le nombre de coeurs + de CPU doit être égal au moins au double du ratio + spécifié. Si vous spécifiez la valeur recommandée pour + ratio, à savoir 8, le nombre minimum de + coeurs de processeurs disponibles sera alors de 16.

    +     +     + ListenBackLog Longueur maximale de la liste d'attente des diff --git a/docs/manual/rewrite/advanced.xml.fr b/docs/manual/rewrite/advanced.xml.fr index 79e560ea78a..5fcf4fca308 100644 --- a/docs/manual/rewrite/advanced.xml.fr +++ b/docs/manual/rewrite/advanced.xml.fr @@ -3,7 +3,7 @@ - +