<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1932312:1932807 (outdated) -->
+<!-- English Revision: 1933097 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<td>Le numéro de série du certificat client</td></tr>
<tr><td><code>SSL_CLIENT_S_DN</code></td> <td>chaîne</td>
<td>Le DN sujet du certificat client</td></tr>
-<tr><td><code>SSL_CLIENT_S_DN_</code><em>x509</em></td> <td>chaîne</td>
+<tr><td><code>SSL_CLIENT_S_DN_</code><var>x509</var></td> <td>chaîne</td>
<td>Elément du DN sujet du client</td></tr>
-<tr><td><code>SSL_CLIENT_SAN_Email_</code><em>n</em></td>
+<tr><td><code>SSL_CLIENT_SAN_Email_</code><var>n</var></td>
<td>chaîne</td> <td>Extensions subjectAltName de type rfc822Name du certificat client</td></tr>
-<tr><td><code>SSL_CLIENT_SAN_DNS_</code><em>n</em></td> <td>chaîne</td>
+<tr><td><code>SSL_CLIENT_SAN_DNS_</code><var>n</var></td> <td>chaîne</td>
<td>Extensions subjectAltName de type dNSName du certificat client</td></tr>
-<tr><td><code>SSL_CLIENT_SAN_OTHER_msUPN_</code><em>n</em></td>
+<tr><td><code>SSL_CLIENT_SAN_OTHER_msUPN_</code><var>n</var></td>
<td>chaîne</td> <td>Extensions subjectAltName de type otherName du
certificat client, forme Microsoft du nom principal de l'utilisateur (OID 1.3.6.1.4.1.311.20.2.3)</td></tr>
<tr><td><code>SSL_CLIENT_I_DN</code></td> <td>chaîne</td>
<td>DN de l'émetteur du certificat du client</td></tr>
-<tr><td><code>SSL_CLIENT_I_DN_</code><em>x509</em></td> <td>chaîne</td>
+<tr><td><code>SSL_CLIENT_I_DN_</code><var>x509</var></td> <td>chaîne</td>
<td>Elément du DN de l'émetteur du certificat du client</td></tr>
<tr><td><code>SSL_CLIENT_V_START</code></td> <td>chaîne</td>
<td>Validité du certificat du client (date de début)</td></tr>
<td>Algorithme utilisé pour la clé publique du certificat du client</td></tr>
<tr><td><code>SSL_CLIENT_CERT</code></td> <td>chaîne</td>
<td>Certificat du client au format PEM</td></tr>
-<tr><td><code>SSL_CLIENT_CERT_CHAIN_</code><em>n</em></td>
+<tr><td><code>SSL_CLIENT_CERT_CHAIN_</code><var>n</var></td>
<td>chaîne</td> <td>Certificats de la chaîne de certification du
client au format PEM</td></tr>
<tr><td><code>SSL_CLIENT_CERT_RFC4523_CEA</code></td> <td>chaîne</td>
celui de la CertificateExactAssertion de la RFC4523</td></tr>
<tr><td><code>SSL_CLIENT_VERIFY</code></td> <td>chaîne</td>
<td><code>NONE</code>, <code>SUCCESS</code>, <code>GENEROUS</code> ou
-<code>FAILED:</code><em>raison</em></td></tr>
+<code>FAILED:</code><var>raison</var></td></tr>
<tr><td><code>SSL_SERVER_M_VERSION</code></td> <td>chaîne</td>
<td>La version du certificat du serveur</td></tr>
<tr><td><code>SSL_SERVER_M_SERIAL</code></td> <td>chaîne</td> <td>
The serial of the server certificate</td></tr>
<tr><td><code>SSL_SERVER_S_DN</code></td> <td>chaîne</td>
<td>DN sujet du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_S_DN_</code><em>x509</em></td> <td>chaîne</td>
-<td>Elément du DN sujet du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_SAN_Email_</code><em>n</em></td>
+<tr><td><code>SSL_SERVER_SAN_Email_</code><var>n</var></td>
<td>chaîne</td> <td>Extensions subjectAltName de type rfc822Name du
certificat serveur</td></tr>
-<tr><td><code>SSL_CLIENT_SAN_DNS_</code><em>n</em></td> <td>chaîne</td>
+<tr><td><code>SSL_CLIENT_SAN_DNS_</code><var>n</var></td> <td>chaîne</td>
<td>Extensions subjectAltName de type dNSName du certificat serveur</td></tr>
-<tr><td><code>SSL_SERVER_SAN_OTHER_dnsSRV_</code><em>n</em></td>
+<tr><td><code>SSL_SERVER_SAN_OTHER_dnsSRV_</code><var>n</var></td>
<td>chaîne</td> <td>Extensions subjectAltName de type otherName du
certificat serveur, sous la forme SRVName (OID 1.3.6.1.5.5.7.8.7, RFC 4985)</td></tr>
+<tr><td><code>SSL_SERVER_S_DN_</code><var>x509</var></td> <td>chaîne</td>
+<td>Composante du Subject DN du serveur</td></tr>
<tr><td><code>SSL_SERVER_I_DN</code></td> <td>chaîne</td>
<td>DN de l'émetteur du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_I_DN_</code><em>x509</em></td> <td>chaîne</td>
+<tr><td><code>SSL_SERVER_I_DN_</code><var>x509</var></td> <td>chaîne</td>
<td>Elément du DN de l'émetteur du certificat du serveur</td></tr>
<tr><td><code>SSL_SERVER_V_START</code></td> <td>chaîne</td>
<td>Validité du certificat du serveur (date de dédut)</td></tr>
<td>la valeur SNI vue au format texte (ou `NONE`)</td></tr>
</table>
-<p><em>x509</em> spécifie un élément de DN X.509 parmi
+<p><var>x509</var> spécifie un élément de DN X.509 parmi
<code>C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email</code>. A partir de la version
-2.2.0 de httpd, <em>x509</em> peut aussi comporter un suffixe numérique
+2.2.0 de httpd, <var>x509</var> peut aussi comporter un suffixe numérique
<code>_n</code>. Si le DN en question comporte plusieurs attributs de
noms identiques, ce suffixe constitue un index débutant à zéro et
permettant de sélectionner un
n'est enregistrée.</p>
<p>Depuis la version 2.4.32 de httpd, il est possible d'ajouter le suffixe
-<em>_RAW</em> à <em>x509</em> dans un élément DN afin d'éviter la conversion en
+<var>_RAW</var> à <var>x509</var> dans un élément DN afin d'éviter la conversion en
UTF-8 de la valeur de l'attribut. Il doit être placé après le suffixe index
(s'il existe), par exemple <code>SSL_SERVER_S_DN_OU_RAW</code> ou
<code>SSL_SERVER_S_DN_OU_0_RAW</code>.</p>
-<p>Le format des variables <em>*_DN</em> a changé depuis la version
+<p>Le format des variables <var>*_DN</var> a changé depuis la version
2.3.11 d'Apache HTTPD. Voir l'option <code>LegacyDNStringFormat</code>
de la directive <directive module="mod_ssl">SSLOptions</directive> pour
plus de détails.</p>
:</p>
<dl>
- <dt><code>ENV:<em>nom_variable</em></code></dt>
+ <dt><code>ENV:<var>nom_variable</var></code></dt>
<dd>Correspond à la variable d'environnement standard
- <em>nom_variable</em>.</dd>
+ <var>nom_variable</var>.</dd>
- <dt><code>HTTP:<em>nom_en-tête</em></code></dt>
+ <dt><code>HTTP:<var>nom_en-tête</var></code></dt>
<dd>Correspond à la valeur de l'en-tête de requête dont le nom est
- <em>nom_en-tête</em>.</dd>
+ <var>nom_en-tête</var>.</dd>
</dl>
</section>
disponibles pour le <a
href="mod_log_config.html#formats">Format de journal personnalisé</a> du
module <module>mod_log_config</module>. A ce titre, la fonction de
-format d'eXtension ``<code>%{</code><em>nom-var</em><code>}x</code>''
+format d'eXtension ``<code>%{</code><var>nom-var</var><code>}x</code>''
peut être utilisée pour présenter en extension toute variable fournie
par tout module, et en particulier celles fournies par mod_ssl et que
vous trouverez dans la table ci-dessus.</p>
<p>
A des fins de compatibilité ascendante, il existe une fonction de format
cryptographique supplémentaire
-``<code>%{</code><em>nom</em><code>}c</code>''. Vous trouverez toutes
+``<code>%{</code><var>nom</var><code>}c</code>''. Vous trouverez toutes
les informations à propos de cette fonction dans le chapitre <a
href="../ssl/ssl_compat.html">Compatibilité</a>.</p>
<example><title>Exemple</title>
<p><module>mod_ssl</module> enregistre des informations à propos de la
requête que l'on peut restituer dans les journaux avec la chaîne de
-format <code>%{<em>nom</em>}n</code> via le module
+format <code>%{<var>nom</var>}n</code> via le module
<module>mod_log_config</module>.</p>
<p>Les informations enregistrées sont les suivantes :</p>
name="envvars">variable</a> en provenance de <module>mod_ssl</module> peut
être utilisée pour l'<a href="../expr.html">interprétation des
expression ap_expr</a>. Les variables peuvent être référencées en
-utilisant la syntaxe ``<code>%{</code><em>varname</em><code>}</code>''.
+utilisant la syntaxe ``<code>%{</code><var>varname</var><code>}</code>''.
A partir de la version 2.4.18, on peut aussi utiliser la syntaxe de
style <module>mod_rewrite</module>
-``<code>%{SSL:</code><em>varname</em><code>}</code>'', ou la syntaxe de
-style fonction ``<code>ssl(</code><em>varname</em><code>)</code>''.</p>
+``<code>%{SSL:</code><var>varname</var><code>}</code>'', ou la syntaxe de
+style fonction ``<code>ssl(</code><var>varname</var><code>)</code>''.</p>
<example><title>Exemple (en utilisant <module>mod_headers</module>)</title>
<highlight language="config">
Header set X-SSL-PROTOCOL "expr=%{SSL_PROTOCOL}"
<name>SSLPassPhraseDialog</name>
<description>Méthode utilisée pour entrer le mot de passe pour les clés
privées chiffrées</description>
-<syntax>SSLPassPhraseDialog <em>type</em></syntax>
+<syntax>SSLPassPhraseDialog <var>type</var></syntax>
<default>SSLPassPhraseDialog builtin</default>
<contextlist><context>server config</context></contextlist>
virtuels où SSL est activé. Comme, pour des raisons de sécurité, les
fichiers de clés privées sont en général chiffrés, mod_ssl doit
demander à l'administrateur un mot de passe pour déchiffrer ces
-fichiers. L'argument <em>type</em> permet de choisir la manière dont
+fichiers. L'argument <var>type</var> permet de choisir la manière dont
cette demande peut être formulée parmi les trois suivantes :</p>
<ul>
<li><code>builtin</code>
<name>SSLRandomSeed</name>
<description>Source de déclenchement du Générateur de Nombres
Pseudo-Aléatoires (PRNG)</description>
-<syntax>SSLRandomSeed <em>contexte</em> <em>source</em>
-[<em>nombre</em>]</syntax>
+<syntax>SSLRandomSeed <var>contexte</var> <var>source</var>
+[<var>nombre</var>]</syntax>
<contextlist><context>server config</context></contextlist>
<usage>
<p>
Cette directive permet de définir une ou plusieurs sources de
déclenchement du Générateur de Nombres Pseudo-Aléatoires (PRNG) dans
-OpenSSL au démarrage du serveur (si <em>contexte</em> a pour valeur
+OpenSSL au démarrage du serveur (si <var>contexte</var> a pour valeur
<code>startup</code>) et/ou juste avant l'établissement d'une nouvelle
-connexion SSL (si <em>contexte</em> a pour valeur <code>connect</code>).
+connexion SSL (si <var>contexte</var> a pour valeur <code>connect</code>).
Cette directive ne peut être utilisée qu'au niveau du serveur global car
le PRNG est un service global.</p>
<p>
-Les différentes valeurs de <em>source</em> disponibles sont :</p>
+Les différentes valeurs de <var>source</var> disponibles sont :</p>
<ul>
<li><code>builtin</code>
<p>Cette source de déclenchement intégrée est toujours disponible. Son
<p>
Cette variante utilise un fichier externe
<code>file:/chemin/vers/source</code> comme source de déclenchement
- du PRNG. Lorsque <em>nombre</em> est spécifié, seuls les
- <em>nombre</em> premiers octets du fichier forment l'entropie (et
- <em>nombre</em> est fourni comme premier argument à
- <code>/chemin/vers/source</code>). Lorsque <em>nombre</em> n'est pas
+ du PRNG. Lorsque <var>nombre</var> est spécifié, seuls les
+ <var>nombre</var> premiers octets du fichier forment l'entropie (et
+ <var>nombre</var> est fourni comme premier argument à
+ <code>/chemin/vers/source</code>). Lorsque <var>nombre</var> n'est pas
spécifié, l'ensemble du fichier forme l'entropie (et <code>0</code>
est fourni comme premier argument à
<code>/chemin/vers/source</code>). Utilisez cette source en
<p>
Cette variante utilise un exécutable externe
<code>/chemin/vers/programme</code> comme source de déclenchement du
- PRNG. Lorsque <em>nombre</em> est spécifié, seules les
- <em>nombre</em> premiers octets de son flux <code>stdout</code>
- forment l'entropie. Lorsque <em>nombre</em> n'est pas spécifié,
+ PRNG. Lorsque <var>nombre</var> est spécifié, seules les
+ <var>nombre</var> premiers octets de son flux <code>stdout</code>
+ forment l'entropie. Lorsque <var>nombre</var> n'est pas spécifié,
l'intégralité des données produites sur <code>stdout</code> forment
l'entropie. N'utilisez cette variante qu'au démarrage où une source
de déclenchement fortement aléatoire est nécessaire, en utilisant
<name>SSLSessionCache</name>
<description>Type du cache de session SSL global et
inter-processus</description>
-<syntax>SSLSessionCache <em>type</em></syntax>
+<syntax>SSLSessionCache <var>type</var></syntax>
<default>SSLSessionCache none</default>
<contextlist><context>server config</context></contextlist>
inter-processus permet d'éviter des négociations de session
inutiles.</p>
<p>
-Les quatre <em>type</em>s de stockage suivants sont actuellement
+Les cinq <var>type</var>s de stockage suivants sont actuellement
supportés :</p>
<ul>
<li><code>none</code>
fiabilité sous forte charge. Pour l'utiliser, le module
<module>mod_socache_dbm</module> doit être chargé.</p></li>
-<li><code>shmcb:/chemin/vers/fichier-données</code>[<code>(</code><em>nombre</em><code>)</code>]
+<li><code>shmcb:/chemin/vers/fichier-données</code>[<code>(</code><var>nombre</var><code>)</code>]
<p>Cette valeur utilise un tampon cyclique à hautes performances
- (d'une taille d'environ <em>nombre</em> octets) dans un segment de
+ (d'une taille d'environ <var>nombre</var> octets) dans un segment de
mémoire partagée en RAM (établi via
<code>/chemin/vers/fichier-données</code>, pour synchroniser les
caches OpenSSL locaux en mémoire des processus du serveur. C'est le
<name>SSLSessionCacheTimeout</name>
<description>Nombre de secondes avant l'expiration d'une session SSL
dans le cache de sessions</description>
-<syntax>SSLSessionCacheTimeout <em>secondes</em></syntax>
+<syntax>SSLSessionCacheTimeout <var>secondes</var></syntax>
<default>SSLSessionCacheTimeout 300</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<name>SSLProtocol</name>
<description>Indique les versions du protocole SSL/TLS
disponibles</description>
-<syntax>SSLProtocol [+|-]<em>protocole</em> ...</syntax>
+<syntax>SSLProtocol [+|-]<var>protocole</var> ...</syntax>
<default>SSLProtocol all -SSLv3</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
Cette directive permet de définir quelles versions du protocole SSL/TLS
seront acceptées lors de l'initialisation d'une nouvelle connexion.</p>
<p>
-Les <em>protocoles</em> disponibles sont les suivants (sensibles à la
+Les <var>protocoles</var> disponibles sont les suivants (sensibles à la
casse) :</p>
<ul>
<li><code>SSLv3</code>
<p>
C'est un raccourci pour ``<code>+SSLv3 +TLSv1</code>'' ou, à partir
de la version 1.0.1 d'OpenSSL, ``<code>+SSLv3 +TLSv1 +TLSv1.1
- +TLSv1.2</code>'' (sauf si OpenSSL a été compilé avec l'option
+ +TLSv1.2 +TLSv1.3</code>'' (sauf si OpenSSL a été compilé avec l'option
``no-ssl3'', auquel cas <code>all</code> n'inclura pas
<code>+SSLv3</code>).</p></li>
</ul>
<name>SSLCipherSuite</name>
<description>Algorithmes de chiffrement disponibles pour la négociation
au cours de l'initialisation de la connexion SSL</description>
-<syntax>SSLCipherSuite [<em>protocol</em>] <em>cipher-spec</em></syntax>
+<syntax>SSLCipherSuite [<var>protocol</var>] <var>cipher-spec</var></syntax>
<default>SSLCipherSuite DEFAULT (dépend de la version d'OpenSSL
installée)</default>
<contextlist><context>server config</context>
<usage>
<p>
-Cette directive complexe utilise la chaîne <em>cipher-spec</em>
+Cette directive complexe utilise la chaîne <var>cipher-spec</var>
contenant la liste des algorithmes de chiffrement OpenSSL que le client
peut utiliser au cours de la phase d'initialisation de la connexion SSL. La
spécification optionnelle du protocole permet de configurer la suite
documentation OpenSSL</a>.</p>
<p>
La liste d'algorithmes de chiffrement SSL spécifiée par l'argument
-<em>cipher-spec</em> comporte quatre attributs principaux auxquels
+<var>cipher-spec</var> comporte quatre attributs principaux auxquels
s'ajoutent quelques attributs secondaires :</p>
<ul>
<li><em>Algorithme d'échange de clés</em>:<br />
lequel vous voulez les utiliser. Pour simplifier tout cela, vous
disposez aussi d'alias (<code>SSLv3, TLSv1, EXP, LOW, MEDIUM,
HIGH</code>) pour certains groupes d'algorithmes. Ces symboles peuvent
-être reliés par des préfixes pour former la chaîne <em>algorithmes</em>.
+être reliés par des préfixes pour former la chaîne <var>algorithmes</var>.
Les préfixes disponibles sont :</p>
<ul>
<li>none: ajoute l'algorithme à la liste</li>
<p>Pour vous simplifier la vie, vous pouvez utiliser la commande
``<code>openssl ciphers -v</code>'' qui vous fournit un moyen simple de
-créer la chaîne <em>algorithmes</em> avec succès. La chaîne
-<em>algorithmes</em> par défaut dépend de la version des bibliothèques
+créer la chaîne <var>algorithmes</var> avec succès. La chaîne
+<var>algorithmes</var> par défaut dépend de la version des bibliothèques
SSL installées. Supposons qu'elle contienne
``<code>RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5</code>'', ce qui
stipule de mettre <code>RC4-SHA</code> et <code>AES128-SHA</code> en
SSLCertificateFile "pkcs11:token=My%20Token%20Name;id=45"
</highlight>
</example>
+
+<p>Ce fichier est lu au démarrage du serveur, alors que ce dernier s’exécute
+encore en tant que <code>root</code> (avant la restriction de ses privilèges) ;
+il ne doit donc être la propriété que de <code>root</code> et lisible uniquement
+par ce dernier. Le fichier n’est pas relu en fonctionnement normal ; un
+redémarrage du serveur est requis pour que les changements prennent effet.</p>
</usage>
</directivesynopsis>
SSLCertificateKeyFile "pkcs11:token=My%20Token%20Name;id=45"
</highlight>
</example>
+
+<p>Ce fichier est lu au démarrage du serveur, alors que ce dernier s’exécute
+encore en tant que <code>root</code> (avant la restriction de ses privilèges) ;
+il ne doit donc être la propriété que de <code>root</code> et lisible uniquement
+par ce dernier, car il contient la clé privée. Le fichier n’est pas relu en
+fonctionnement normal ; un redémarrage du serveur est requis pour que les
+changements prennent effet.</p>
</usage>
</directivesynopsis>
SSLCertificateChainFile "/usr/local/apache2/conf/ssl.crt/ca.crt"
</highlight>
</example>
+
+<p>Ce fichier est lu au démarrage du serveur, alors que ce dernier s’exécute
+encore en tant que <code>root</code> (avant la restriction de ses privilèges) ;
+il ne doit donc être la propriété que de <code>root</code> et lisible uniquement
+par ce dernier. Le fichier n’est pas relu en fonctionnement normal ; un
+redémarrage du serveur est requis pour que les changements prennent effet.</p>
</usage>
</directivesynopsis>
<name>SSLCACertificatePath</name>
<description>Répertoire des certificats de CA codés en PEM pour
l'authentification des clients</description>
-<syntax>SSLCACertificatePath <em>chemin-répertoire</em></syntax>
+<syntax>SSLCACertificatePath <var>chemin-répertoire</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<override>AuthConfig</override>
accédés via des noms de fichier sous forme de condensés ou hash. Il ne
suffit donc pas de placer les fichiers de certificats dans ce répertoire
: vous devez aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
+<var>valeur-de-hashage</var><code>.N</code>, et vous devez toujours vous
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
SSLCACertificatePath "/usr/local/apache2/conf/ssl.crt/"
</highlight>
</example>
+
+<p>Les fichiers de ce répertoire sont lus au démarrage du serveur, alors que ce dernier s’exécute
+encore en tant que <code>root</code> (avant la restriction de ses privilèges) ;
+il ne doit donc être la propriété que de <code>root</code> et lisible uniquement
+par ce dernier. Le fichier n’est pas relu en fonctionnement normal ; un
+redémarrage du serveur est requis pour que les changements prennent effet.</p>
</usage>
</directivesynopsis>
SSLCACertificateFile "/usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt"
</highlight>
</example>
+
+<p>Ce fichier est lu au démarrage du serveur, alors que ce dernier s’exécute
+encore en tant que <code>root</code> (avant la restriction de ses privilèges) ;
+il ne doit donc être la propriété que de <code>root</code> et lisible uniquement
+par ce dernier. Le fichier n’est pas relu en fonctionnement normal ; un
+redémarrage du serveur est requis pour que les changements prennent effet.</p>
</usage>
</directivesynopsis>
SSLCADNRequestFile "/usr/local/apache2/conf/ca-names.crt"
</highlight>
</example>
+
+<p>Ce fichier est lu au démarrage du serveur, alors que ce dernier s’exécute
+encore en tant que <code>root</code> (avant la restriction de ses privilèges) ;
+il ne doit donc être la propriété que de <code>root</code> et lisible uniquement
+par ce dernier. Le fichier n’est pas relu en fonctionnement normal ; un
+redémarrage du serveur est requis pour que les changements prennent effet.</p>
</usage>
</directivesynopsis>
<name>SSLCADNRequestPath</name>
<description>Répertoire contenant des fichiers de certificats de CA
codés en PEM pour la définition de noms de CA acceptables</description>
-<syntax>SSLCADNRequestPath <em>chemin-répertoire</em></syntax>
+<syntax>SSLCADNRequestPath <var>chemin-répertoire</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
accédés via des noms de fichier sous forme de condensés ou hash. Il ne
suffit donc pas de placer les fichiers de certificats dans ce répertoire
: vous devez aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
+<var>valeur-de-hashage</var><code>.N</code>, et vous devez toujours vous
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
SSLCADNRequestPath "/usr/local/apache2/conf/ca-names.crt/"
</highlight>
</example>
+
+<p>Les fichiers de ce répertoire sont lus au démarrage du serveur, alors que ce
+dernier s’exécute encore en tant que <code>root</code> (avant la restriction de
+ses privilèges) ; il ne doit donc être la propriété que de <code>root</code> et
+lisible uniquement par ce dernier. Le fichier n’est pas relu en fonctionnement
+normal ; un redémarrage du serveur est requis pour que les changements prennent
+effet.</p>
</usage>
</directivesynopsis>
<name>SSLCARevocationPath</name>
<description>Répertoire des CRLs de CA codés en PEM pour
l'authentification des clients</description>
-<syntax>SSLCARevocationPath <em>chemin-répertoire</em></syntax>
+<syntax>SSLCARevocationPath <var>chemin-répertoire</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
accédés via des noms de fichier sous forme de condensés ou hash. Il ne
suffit donc pas de placer les fichiers de CRL dans ce répertoire
: vous devez aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
+<var>valeur-de-hashage</var><code>.N</code>, et vous devez toujours vous
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
SSLCARevocationPath "/usr/local/apache2/conf/ssl.crl/"
</highlight>
</example>
+
+<p>Les fichiers de ce répertoire sont lus au démarrage du serveur, alors que ce
+dernier s’exécute encore en tant que <code>root</code> (avant la restriction de
+ses privilèges) ; il ne doit donc être la propriété que de <code>root</code> et
+lisible uniquement par ce dernier. Le fichier n’est pas relu en fonctionnement
+normal ; un redémarrage du serveur est requis pour que les changements prennent
+effet.</p>
</usage>
</directivesynopsis>
SSLCARevocationFile "/usr/local/apache2/conf/ssl.crl/ca-bundle-client.crl"
</highlight>
</example>
+
+<p>Ce fichier est lu au démarrage du serveur, alors que ce
+dernier s’exécute encore en tant que <code>root</code> (avant la restriction de
+ses privilèges) ; il ne doit donc être la propriété que de <code>root</code> et
+lisible uniquement par ce dernier. Le fichier n’est pas relu en fonctionnement
+normal ; un redémarrage du serveur est requis pour que les changements prennent
+effet.</p>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>SSLCARevocationCheck</name>
<description>Active la vérification des révocations basée sur les CRL</description>
-<syntax>SSLCARevocationCheck chain|leaf|none [<em>flag</em>s ...]</syntax>
+<syntax>SSLCARevocationCheck chain|leaf|none [<var>flag</var>s ...]</syntax>
<default>SSLCARevocationCheck none</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
-<compatibility>Le paramètre optionnel <em>flag</em>s est disponible à partir de
+<compatibility>Le paramètre optionnel <var>flag</var>s est disponible à partir de
la version 2.4.21 du serveur HTTP Apache</compatibility>
<usage>
</p>
</note>
-<p>Les <em>drapeau</em>x disponibles sont :</p>
+<p>Les <var>drapeau</var>x disponibles sont :</p>
<ul>
<li><code>no_crl_for_cert_ok</code>
<p>
avec une erreur <code>"unable to get certificate CRL"</code>.
</p>
<p>
- Le <em>drapeau</em> <code>no_crl_for_cert_ok</code> permet de rétablir le
+ Le <var>drapeau</var> <code>no_crl_for_cert_ok</code> permet de rétablir le
comportement précédent.
</p>
</li>
<directivesynopsis>
<name>SSLVerifyClient</name>
<description>Niveau de vérification du certificat client</description>
-<syntax>SSLVerifyClient <em>niveau</em></syntax>
+<syntax>SSLVerifyClient <var>niveau</var></syntax>
<default>SSLVerifyClient none</default>
<contextlist><context>server config</context>
<context>virtual host</context>
niveau de vérification du client spécifié, après la lecture d'une
requête HTTP, mais avant l'envoi de la réponse HTTP.</p>
<p>
-Les valeurs de <em>niveau</em> disponibles sont les suivantes :</p>
+Les valeurs de <var>niveau</var> disponibles sont les suivantes :</p>
<ul>
<li><strong>none</strong>:
aucun certificat client n'est requis</li>
<name>SSLVerifyDepth</name>
<description>Profondeur maximale des certificats de CA pour la
vérification des certificats clients</description>
-<syntax>SSLVerifyDepth <em>nombre</em></syntax>
+<syntax>SSLVerifyDepth <var>nombre</var></syntax>
<default>SSLVerifyDepth 1</default>
<contextlist><context>server config</context>
<context>virtual host</context>
<directivesynopsis>
<name>SSLSRPUnknownUserSeed</name>
<description>Source de randomisation pour utilisateur SRP inconnu</description>
-<syntax>SSLSRPUnknownUserSeed <em>secret-string</em></syntax>
+<syntax>SSLSRPUnknownUserSeed <var>secret-string</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<compatibility>Disponible depuis la version 2.4.4 du serveur HTTP
<name>SSLOptions</name>
<description>Configure différentes options d'exécution du moteur
SSL</description>
-<syntax>SSLOptions [+|-]<em>option</em> ...</syntax>
+<syntax>SSLOptions [+|-]<var>option</var> ...</syntax>
<contextlist><context>server config</context>
<context>virtual host</context>
<context>directory</context>
options.
</p>
<p>
-Les <em>option</em>s disponibles sont :</p>
+Les <var>option</var>s disponibles sont :</p>
<ul>
<li><code>StdEnvVars</code>
<p>
Lorsque cette option est activée, des variables d'environnement
CGI/SSI supplémentaires sont créées : <code>SSL_SERVER_CERT</code>,
<code>SSL_CLIENT_CERT</code> et
- <code>SSL_CLIENT_CERT_CHAIN_</code><em>n</em> (avec <em>n</em> =
+ <code>SSL_CLIENT_CERT_CHAIN_</code><var>n</var> (avec <var>n</var> =
0,1,2,..). Elles contiennent les certificats X.509 codés en PEM du
serveur et du client pour la connexion HTTPS courante, et peuvent
être utilisées par les scripts CGI pour une vérification de
contrôle d'accès. Le nom d'utilisateur est tout simplement le Sujet
du certificat X509 du client (il peut être déterminé en utilisant la
commande OpenSSL <code>openssl x509</code> : <code>openssl x509
- -noout -subject -in </code><em>certificat</em><code>.crt</code>). La
+ -noout -subject -in </code><var>certificat</var><code>.crt</code>). La
directive optionnelle <directive
module="mod_ssl">SSLUserName</directive> permet de spécifier quelle
partie du sujet du certificat est incluse dans le nom d'utilisateur.
<name>SSLRequire</name>
<description>N'autorise l'accès que lorsqu'une expression booléenne
complexe et arbitraire est vraie</description>
-<syntax>SSLRequire <em>expression</em></syntax>
+<syntax>SSLRequire <var>expression</var></syntax>
<contextlist><context>directory</context>
<context>.htaccess</context></contextlist>
<override>AuthConfig</override>
est une expression booléenne complexe et arbitraire contenant un nombre
quelconque de vérifications quant aux autorisations d'accès.</p>
<p>
-L'<em>expression</em> doit respecter la syntaxe suivante (fournie ici
+L'<var>expression</var> doit respecter la syntaxe suivante (fournie ici
sous la forme d'une notation dans le style de la grammaire BNF) :</p>
<blockquote>
<pre>
disponibles dans la <a href="../expr.html#functions">documentation
ap_expr</a>.</p>
-<p><em>expression</em> est interprétée et traduite
+<p><var>expression</var> est interprétée et traduite
sous une forme machine interne lors du chargement de la configuration,
puis évaluée lors du traitement de la requête. Dans le contexte des
-fichiers .htaccess, <em>expression</em> est interprétée et exécutée
+fichiers .htaccess, <var>expression</var> est interprétée et exécutée
chaque fois que le fichier .htaccess intervient lors du traitement de la
requête.</p>
<example><title>Exemple</title>
</example>
-<p>La fonction <code>PeerExtList(<em>identifiant objet</em>)</code>
+<p>La fonction <code>PeerExtList(<var>identifiant objet</var>)</code>
recherche une instance d'extension de certificat X.509 identifiée par
-<em>identifiant objet</em> (OID) dans le certificat client. L'expression est
+<var>identifiant objet</var> (OID) dans le certificat client. L'expression est
évaluée à true si la partie gauche de la chaîne correspond exactement à
la valeur d'une extension identifiée par cet OID (Si plusieurs
extensions possèdent le même OID, l'une d'entre elles au moins doit
<name>SSLProxyMachineCertificatePath</name>
<description>Répertoire des clés et certificats clients codés en PEM que
le mandataire doit utiliser</description>
-<syntax>SSLProxyMachineCertificatePath <em>chemin-répertoire</em></syntax>
+<syntax>SSLProxyMachineCertificatePath <var>chemin-répertoire</var></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
<compatibility>Le contexte d'une section proxy est supporté à partir de la
<name>SSLProxyMachineCertificateFile</name>
<description>Fichier contenant la concaténation des clés et certificats
clients codés en PEM que le mandataire doit utiliser</description>
-<syntax>SSLProxyMachineCertificateFile <em>file-path</em></syntax>
+<syntax>SSLProxyMachineCertificateFile <var>file-path</var></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
<compatibility>Le contexte d'une section proxy est pris en charge à partir de la
<name>SSLProxyMachineCertificateChainFile</name>
<description>Fichier de certificats de CA encodés PEM concaténés permettant au
mandataire de choisir un certificat</description>
-<syntax>SSLProxyMachineCertificateChainFile <em>nom-fichier</em></syntax>
+<syntax>SSLProxyMachineCertificateChainFile <var>nom-fichier</var></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
<compatibility>Le contexte d'une section proxy est supporté à partir de la
<name>SSLProxyVerify</name>
<description>Niveau de vérification du certificat du serveur
distant</description>
-<syntax>SSLProxyVerify <em>niveau</em></syntax>
+<syntax>SSLProxyVerify <var>niveau</var></syntax>
<default>SSLProxyVerify none</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
vérification du certificat de ce serveur distant.</p>
<p>
-Les valeurs de <em>niveau</em>x disponibles sont les suivantes :</p>
+Les valeurs de <var>niveau</var>x disponibles sont les suivantes :</p>
<ul>
<li><strong>none</strong>:
aucun certificat n'est requis pour le serveur distant</li>
<name>SSLProxyVerifyDepth</name>
<description>Niveau de profondeur maximum dans les certificats de CA
lors de la vérification du certificat du serveur distant</description>
-<syntax>SSLProxyVerifyDepth <em>niveau</em></syntax>
+<syntax>SSLProxyVerifyDepth <var>niveau</var></syntax>
<default>SSLProxyVerifyDepth 1</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
<name>SSLProxyProtocol</name>
<description>Définit les protocoles SSL disponibles pour la fonction de
mandataire</description>
-<syntax>SSLProxyProtocol [+|-]<em>protocole</em> ...</syntax>
+<syntax>SSLProxyProtocol [+|-]<var>protocole</var> ...</syntax>
<default>SSLProxyProtocol all -SSLv3</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
<name>SSLProxyCipherSuite</name>
<description>Algorithmes de chiffrement disponibles pour la négociation
lors de l'initialisation d'une connexion SSL de mandataire</description>
-<syntax>SSLProxyCipherSuite [<em>protocol</em>] <em>cipher-spec</em></syntax>
+<syntax>SSLProxyCipherSuite [<var>protocol</var>] <var>cipher-spec</var></syntax>
<default>SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
<name>SSLProxyCACertificatePath</name>
<description>Répertoire des certificats de CA codés en PEM pour
l'authentification des serveurs distants</description>
-<syntax>SSLProxyCACertificatePath <em>chemin-répertoire</em></syntax>
+<syntax>SSLProxyCACertificatePath <var>chemin-répertoire</var></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
<compatibility>Le contexte d'une section proxy est supporté à partir de la
accédés via des noms de fichier sous forme de condensés ou hash. Il ne
suffit donc pas de placer les fichiers de certificats dans ce répertoire
: vous devez aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
+<var>valeur-de-hashage</var><code>.N</code>, et vous devez toujours vous
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
<name>SSLProxyCARevocationPath</name>
<description>Répertoire des CRLs de CA codés en PEM pour
l'authentification des serveurs distants</description>
-<syntax>SSLProxyCARevocationPath <em>chemin-répertoire</em></syntax>
+<syntax>SSLProxyCARevocationPath <var>chemin-répertoire</var></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
<compatibility>Le contexte d'une section proxy est supporté à partir de la
accédés via des noms de fichier sous forme de condensés ou hash. Il ne
suffit donc pas de placer les fichiers de CRL dans ce répertoire
: vous devez aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.rN</code>, et vous devez toujours vous
+<var>valeur-de-hashage</var><code>.rN</code>, et vous devez toujours vous
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
<name>SSLUserName</name>
<description>Nom de la variable servant à déterminer le nom de
l'utilisateur</description>
-<syntax>SSLUserName <em>nom-var</em></syntax>
+<syntax>SSLUserName <var>nom-var</var></syntax>
<contextlist><context>server config</context>
<context>directory</context>
<context>.htaccess</context></contextlist>
pour identifier l'utilisateur avec une chaîne de caractères. En
particulier, l'utilisation de cette directive peut provoquer la
définition de la variable d'environnement <code>REMOTE_USER</code>.
-La valeur de l'argument <
em>nom-var</em> peut correspondre à toute <a
+La valeur de l'argument <
var>nom-var</var> peut correspondre à toute <a
href="#envvars">variable d'environnement SSL</a>.</p>
<p>Lorsque l'option <code>FakeBasicAuth</code> est activée, cette
<name>SSLCryptoDevice</name>
<description>Active l'utilisation d'un accélérateur matériel de
chiffrement</description>
-<syntax>SSLCryptoDevice <em>moteur</em></syntax>
+<syntax>SSLCryptoDevice <var>moteur</var></syntax>
<default>SSLCryptoDevice builtin</default>
<contextlist><context>server config</context></contextlist>
<name>SSLOCSPDefaultResponder</name>
<description>Définit l'URI du répondeur par défaut pour la validation
OCSP</description>
-<syntax>SSLOCSPDefaultResponder <em>uri</em></syntax>
+<syntax>SSLOCSPDefaultResponder <var>uri</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<name>SSLOCSPResponseTimeSkew</name>
<description>Dérive temporelle maximale autorisée pour la validation des
réponses OCSP</description>
-<syntax>SSLOCSPResponseTimeSkew <em>secondes</em></syntax>
+<syntax>SSLOCSPResponseTimeSkew <var>secondes</var></syntax>
<default>SSLOCSPResponseTimeSkew 300</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<directivesynopsis>
<name>SSLOCSPResponseMaxAge</name>
<description>Age maximum autorisé pour les réponses OCSP</description>
-<syntax>SSLOCSPResponseMaxAge <em>secondes</em></syntax>
+<syntax>SSLOCSPResponseMaxAge <var>secondes</var></syntax>
<default>SSLOCSPResponseMaxAge -1</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<directivesynopsis>
<name>SSLOCSPResponderTimeout</name>
<description>Délai d'attente pour les requêtes OCSP</description>
-<syntax>SSLOCSPResponderTimeout <em>secondes</em></syntax>
+<syntax>SSLOCSPResponderTimeout <var>secondes</var></syntax>
<default>SSLOCSPResponderTimeout 10</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<name>SSLOCSPResponderCertificateFile</name>
<description>Fournit un jeu de certificats de confiance du répondeur OCSP avec
encodage PEM</description>
-<syntax>SSLOCSPResponderCertificateFile <em>file</em></syntax>
+<syntax>SSLOCSPResponderCertificateFile <var>file</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<compatibility>Disponible à partir de la version 2.4.26 du serveur HTTP Apache,
<directivesynopsis>
<name>SSLOCSPProxyURL</name>
<description>Adresse de mandataire à utiliser pour les requêtes OCSP</description>
-<syntax>SSLOCSPProxyURL <em>url</em></syntax>
+<syntax>SSLOCSPProxyURL <var>url</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<compatibility>Disponible à partir de la version 2.4.19 du serveur HTTP Apache</compatibility>
<directivesynopsis>
<name>SSLStaplingCache</name>
<description>Configuration du cache pour l'agrafage OCSP</description>
-<syntax>SSLStaplingCache <em>type</em></syntax>
+<syntax>SSLStaplingCache <var>type</var></syntax>
<contextlist><context>server config</context></contextlist>
<compatibility>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</compatibility>
<name>SSLStaplingResponseTimeSkew</name>
<description>Durée de vie maximale autorisée des réponses OCSP incluses dans la
négociation TLS</description>
-<syntax>SSLStaplingResponseTimeSkew <em>secondes</em></syntax>
+<syntax>SSLStaplingResponseTimeSkew <var>secondes</var></syntax>
<default>SSLStaplingResponseTimeSkew 300</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<name>SSLStaplingResponderTimeout</name>
<description>Temps d'attente maximum pour les requêtes vers les serveurs
OCSP</description>
-<syntax>SSLStaplingResponderTimeout <em>secondes</em></syntax>
+<syntax>SSLStaplingResponderTimeout <var>secondes</var></syntax>
<default>SSLStaplingResponderTimeout 10</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<name>SSLStaplingResponseMaxAge</name>
<description>Age maximum autorisé des réponses OCSP incluses dans la
négociation TLS</description>
-<syntax>SSLStaplingResponseMaxAge <em>secondes</em></syntax>
+<syntax>SSLStaplingResponseMaxAge <var>secondes</var></syntax>
<default>SSLStaplingResponseMaxAge -1</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<directivesynopsis>
<name>SSLStaplingStandardCacheTimeout</name>
<description>Durée de vie des réponses OCSP dans le cache</description>
-<syntax>SSLStaplingStandardCacheTimeout <em>secondes</em></syntax>
+<syntax>SSLStaplingStandardCacheTimeout <var>secondes</var></syntax>
<default>SSLStaplingStandardCacheTimeout 3600</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<name>SSLStaplingErrorCacheTimeout</name>
<description>Durée de vie des réponses invalides dans le cache pour
agrafage OCSP</description>
-<syntax>SSLStaplingErrorCacheTimeout <em>secondes</em></syntax>
+<syntax>SSLStaplingErrorCacheTimeout <var>secondes</var></syntax>
<default>SSLStaplingErrorCacheTimeout 600</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<name>SSLStaplingForceURL</name>
<description>Remplace l'URI du serveur OCSP spécifié dans l'extension
AIA du certificat</description>
-<syntax>SSLStaplingForceURL <em>uri</em></syntax>
+<syntax>SSLStaplingForceURL <var>uri</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<compatibility>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</compatibility>
<p>Cette directive permet la collecte des données de ClientHello pendant la
négociation qui sont conservées pendant toute la durée de la connexion, de façon
qu’elles soient disponibles sous la forme de variables d’environnement
-<code>SSL_CLIENTHELLLO_*</code> pour les requêtes qui dépendent de la définition
+<code>SSL_CLIENTHELLO_*</code> pour les requêtes qui dépendent de la définition
de <code>StdEnvVars</code>. Les variables sont formatées comme les tampons bruts
codés en hexadécimal observés dans le protocole réseau brut et tels que fournis
par OpenSSL. Les valeurs de GREASE (RFC 8701) sont filtrées par OpenSSL lors de
<directivesynopsis>
<name>SSLOpenSSLConfCmd</name>
<description>Configuration des paramètres d'OpenSSL via son API <em>SSL_CONF</em></description>
-<syntax>SSLOpenSSLConfCmd <em>commande</em> <em>valeur</em></syntax>
+<syntax>SSLOpenSSLConfCmd <var>commande</var> <var>valeur</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<compatibility>Disponible depuis la version 2.4.8 du serveur HTTP
<directivesynopsis>
<name>SSLPolicy</name>
<description>Applique une politique SSL en la référençant par son nom</description>
-<syntax>SSLPolicy <em>name</em></syntax>
+<syntax>SSLPolicy <var>name</var></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<compatibility>Disponible à partir de la version 2.5.0 du serveur HTTP Apache</compatibility>
<name>SSLECHKeyDir</name>
<description>Chargement des fichiers PEM « Encrypted Client Hello » (ECH) dans le
répertoire spécifié</description>
-<syntax>SSLECHKeyDir <em>dirname</em></syntax>
+<syntax>SSLECHKeyDir <var>dirname</var></syntax>
<contextlist><context>server config</context></contextlist>
<compatibility>Disponible à partir de la version 2.5.1 du serveur HTTP Apache</compatibility>
projects / thirdparty / apache / httpd.git / commitdiff
