# После этого дочерний процесс будет завершен, чтобы избежать

# неприятностей связанных с продолжительным использованием из-за

# изъянов Apache (а может и используемых им библиотек) . На многих

# системах этот параметр не очень нужен, но некоторые (такие как

# Solaris) действительно имеют изъяны в библиотеках. Для таких систем

# задайте значение, наподобие 10000;

# значение 0 означает "неограниченный".

#

# Внимание: Это значение не включает keepalive-запросы после .соединения.

# Например, если дочерний процесс обрабатывает начальный запрос и 10

# последующих keptalive-запросов, будет учтен только один запрос

# при анализе превышения данного предела .

#

maxRequestsPerChild 100

#

# Listen: Позволяет привязать Apache к конкретным iP-адресам

# и/или портам, в дополнение к принятым по умолчанию значениям.

# См. также команду VirtualHost.

#

#Listen 3000

#Listen 12.34.56.78:80

Listen 80

#

# bindAddress: Эту сйщию можно использовать для поддержки виртуальных

# хостов. Эта опция указывает серверу iP-адрес для прослушивания. Он

# может содержать либо "*", либо iP-адрес, либо полное квалифицированное

# имя internet-домена. См. также команду VirtualHost.

#

# bindAddress *

# Поддержка Dynamic Shared Object (DSO - Динамические

# совместные объекты)

#

# Чтобы использовать функциональность модулей, построенных как DSO,

# поместите соответствующие строчки 'Loadmodule' в этом месте, чтобы

# содержащиеся в них команды были доступны до того, как они будут

# использованы. Для дополнительной информации о механизме DSO,

# пожалуйста, прочтите файл READmE. DSO из дистрибутива Apache Д. 3 и

# запустите 'httpd -1' для получения списка уже встроенных модулей

# (они Скомпонованы статически и, таким образом, всегда доступны)

# в исполняемом модуле httpd.

# # Внимание : Порядок загрузки модулей существенен. Не меняйте

# приведенный ниже порядок без консультации со специалистом.

# Пример :

# Loadmodule foo_module libexec/mod_foo.so

#

# Loadmodule imiap_static_module modules /mod_mmap_static. so

Loadmodule vhost_alias_module modules/mod_vhost_alias.so

Loadmodule env_module modules /mod_env. so

Loadmodule conf ig_log_module modules /mod_log_config. so

Loadmodule agent_log_module modules /mod_log_agent .so

Loadmodule referer_log_module modules /mod_log_referer .so

#Loadmodule mime_magic_module modules /mod_mime_magic .so

Loadmodule mime_module modules /mod_mime. so

Loadmodule negotiation_module modules /mod_negotiation. so

Loadmodule status_module modules /mod_status. so

Loadmodule info_module modules /mod_info. so

Loadmodule includes_module modules/mod_include.so

Loadmodule autoindex_module modules/mod_autoindex.so

Loadmodule dir_module modules /mod_dir .so

Loadmodule cgi_module modules /mod_cgi .so

Loadmodule asis_module modules/mod_asis . so

Loadmodule imap_module modules /mod_imap. so

Loadmodule action_module modules /mod_actions . so

tLoadmodule speling_module modules /mod_speling. so

Loadmodule userdir_module modules /mod_userdir. so

Loadmodule alias_module modules/mod_alias .so

Loadmodule rewrite_module modules /mod_rewrite. so

Loadmodule access_module modules /mocLaccess. so

LuaJWuUule auUuuuQule modules/mod_auth.so

Loadmodule anon_auth_module modules /mocLauth_anon. so

Loadmodule db_auth_module modules /mod_auth_db. so

#Loadmodule digest module modules /mod_dige'st. so

#Loadmodule proxy_module modules /libproxy. so

#Loadmodule cern_meta_moduie modules /mod cern_meta.so

Loadmodule expires_module modules /mod_expires. so

Loadmodule headers_module modules/mod_headers.so

#Loadmodule usertrack_module modules /mod_user track. so

#LoadmnHn1e example_modul modules /mod_example. so

#Loadmodule unique_id_module modules /mod_unique_id. so

Loadmodule setenvif_module moauies/mod_secenvit.so

#Loadmodule bandwidth_module modules /mod_bandwidth . so

iLoadmodule put_module modules/mod_put.so

<if Define HAVE_PERL>

Loadmodule perl_module modules /libperl .so

</lfDefine>

<if Define HAVE_PHP>

Loadmodule php_module modules /mod_php. so

</ifDefine>

<ifDefine HAVE_PHP3>

Loadmodule php3_module modules /libphpS . so

</ifDefine>

<ifDefine HAVE_PHP4>

Loadmodule php4_module modules/ iibphp4. so

</ifDefine>

<ifDefine HAVE_DAV>

Loadmodule dav_module modules /libdav. so

</ifDefine>

<if Define HAVE_ROAmiNG>

Loadmodule roaming_module modules /mod_roaming. so

</ifDefine>

<ifDefine HAVE_SSL>

Loadmodule ssl_module modules/libssl .so

</ifDef ine>

# Реконструкция полного списка модулей из всех доступных модулей

# (статических и совместных) для обеспечения правильного порядка

# выполнения модулей.

# [ВСЯКИЙ РАЗ ПОСЛЕ ПОПРАВОК В СЕКЦИИ LOADmODULE (см. выше)

# ТАКЖЕ ОТКОРРЕКТИРУЙТЕ И ЭТУ СЕКЦИЮ]

ClearmoduleList

#Addmodule mod_mmap_static.c

Addmodule mod_vhost_alias.c

Addmodule mod__env.с

Addmodule mod_log_conf ig.c

Addmodule mod_log_agent.c

Addmodule mod_log_referer.c

#Addmodule mod_mime_magic . с

Addmodule mod_mime . с

Addmodule mod_negotiation.c

Addmodule mod_status.c

Addmodule mod_info.c

Addmodule mod_include.c

Addmodule mod_auto index . с

Addmodule mod_dir.c

Addmodule mod_cgi.c

Addmodule mod_asis.c

Addmodule mod_imap.c

Addmodule mod_actions.c

#Addmodule mod_spel ing . с

Addmodule mod_userdir . с

Addmodule mod_alias.c

Addmodule mod_rewrite .c

Addmodule mod_access . с

Addmodule mod_auth.c

Addmodule mod_auth_anon . с

Addmodule mod_auth_db . с

#Addmodule mod_digest.c

#Addmodule mod_proxy.c

#Addmodule mod_cern_meta . с

Addmodule mod_expires . с

Addmodule mod_headers . с

#Addmodule mocLuser track _e

#Addmodule mod_example.c

#Addmodule mod_unique_id . с

Addmodule mod_so.c

Addmodule mod_setenvif .c

#Addmodule mod__bandwidth . с

#Addmodule mod_put.c

< if Define HAVE_PERL>

Addmodule mod_perl.с

</ifDefine>

<ifDefine HAVE_PHP>

Addmodule mod_php.c

</ifDefine>

<ifDefine HAVE_PHP3>

Addmodule mod_php3 . с

</ifDef ine>

<if Define HAVE_PHP4>

Addmodule mod_php4.c

</ifDefine>

<if Define HAVE_DAV>

Addmodule mod_dav . с

</ifDefine>

<ifDefine HAVE_ROAmiNG>

Addmodule mod_roaming . с

</ifDef ine>

<ifDefine HAVE_SSL>

Addmodule mod_ssl . с

</ifDef ine>

# ExtendedStatus : определяет, будет ли Apache генерировать

# информацию о состоянии в полном объеме (ExtendedStatus On)

# или только базисную информацию (ExtendedStatus Off) ,

# когда вызывается обработчик "server-status". По умолчанию

# используется значение Off.

#

#ExtendedStatus On

#

### Раздел 2: 'main' конфигурация сервера

#

# Директивы этого раздела устанавливают значения, используемые

# 'main' сервером, который отвечает на любой запрос, не

# обработанный хостом <VirtualHost>.

# Эти значения также задают величины по умолчанию для любых

# контейнеров <VirtualHost>, которые вы можете

# определить позже.

#

# Все эти директивы могут возникать внутри контейнеров

# <VirtualHost>. В этом случае значения по умолчанию будут

# заменены этими величинами для виртуальных хостов.

#

#

# Если ваша директива ServerType (см. выше в разделе

# 'Global Environment') устанавливает значение "inetd",

# следующие несколько директив не оказывают никакого эффекта,

# поскольку их значения определены inetd-конфигурацией.

#

# Переходите к директиве ServerAdmin.

#

# Port: порт, который прослушивает сервер в режиме standalone.

# Если номер порта < 1023, то при загрузке httpd нужно запускать с

# привилегиями root .

# Port 80

# Чтобы запустить httpd как другого пользователя или группу

# пользователей, необходимо вначале запустить httpd как root, a

# он затем сам выполнит переключение.

#

# User/Group: Имя (или #номер) пользователя/группы, под которым

# запустить httpd.

# На SCO (ОПТ 3) используйте User nouser и Group nogroup

# Если на HPUX указать nobody, то нельзя будет использовать

# разделяемую память и выходом из положения может быть

# создание пользователя www и его использование.

#

# ПРИМЕЧАНИЕ : в некоторых системах ядро отвергает запросы на

# Здесь допустимы также значения "None", "All" и любые комбинации

# "indexes", "includes", "followSymLinks", "ExecCGi" и "multiViews".

# Заметьте: "multiViews" должно быть указано *явно* - "Options All"

# не устанавливает эту опцию.

Options indexes includes followSymLinks

#

# Здесь указывается, какие опции могут переопределить файлы .htaccess,

# находящиеся в каталогах. Значение может быть "All" или любой

# комбинацией "Options", "filelnfo", "AuthConfig" и "Limit".

AllowOverride None

# Указывает, кто может брать файлы на этом сервере

Order a How, deny

Allow from all

</Directory>

#

# UserDir: Имя каталога, которое добавляется к домашнему каталогу

# пользователя, если получен запрос типа ~user.

#

UserDir public_html

#

# Управление доступом к каталогам UserDir. Ниже приведен пример

# для узла, на котором каталоги объявлены доступными только для чтения.

#

#<Directory /home/*/public_html>

# AllowOverride filelnfo AuthConfig Limit

# Options multiViews indexes SymLinksifOwnermatch includesNoExec

# <Limit GET POST OPTiONS PROPfiND>

# Order allow, deny

# Allow from all

# </Limit>

# <Limit PUT DELETE PATCH PROPPATCH mKCOL COPY mOVE LOCK UNLOCK>

# Order" deny, allow

# Deny from all

# </Limit>

#< /Directory>

#

# Directorylndex: Имя или имена файлов, которые будут использоваться как

# индексные файлы HTmL. Разделяйте имена пробелами, если их несколько.

#

Directorylndex index.html index.htm index. shtml index. php index. php4

-> index . php3 index . cgi

#

# AccessfileName: Имя файла, который нужно искать в каждом каталоге

# и который содержит информацию по управлению доступом.

#

AccessfileName .htaccess

#

# Следующие строки защищают файлы .htaccess от просмотра

# Web- клиентами. Поскольку файлы .htaccess часто содержат

# сведения об авторизации, доступ закрывается из соображений

# безопасности. Закомментируйте эти строки, если хотите

# предоставить Web-клиентам возможность просмотра содержимого

# файлов .htaccess. Если вы изменили директиву AccessfileName

# выше, то внесите соответствующие изменения и здесь.

# Поскольку часто для файлов парольной защиты используются

# файлы .htpasswd, защита будет обеспечена.

#

<files - ^н/ч \ .ht">

Order allow, deny

Deny from all

</files>

#

# CacheNegotiatedDocs : По умолчанию Apache посылает псевдокомментарий:

# не кэшировать содержимое документов по договоренности. Это указывает

# прокси-серверу не кэшировать документы. Раскомментирование нижестоящей

# строки отменяет это действие и прокси-серверам будет разрешено

# кэширование документов.

#

# CacheNegotiatedDocs

#

# UseCanonicalName: (появилось в 1.3) Если включить эту опцию, то

# всякий раз, когда Apache нужно построить самоссылающийся URL

# (URL, который ссылается на сервер, с которого идет ответ) , он будет

# использовать ServerName и Port для формирования "канонического"

# имени. Когда эта опция выключена, сервер будет использовать

# переданный клиентом hostname:port, если это возможно. Это также влияет

# на SERVER NAmE И SERVER PORT в CGi.

#

UseCanonicalName On

#

# TypesConfig указывает где нужно искать файл mime. types (или его аналог)

#

TypesConfig /etc /mime. types

#

# DefaultType - тип mimE по умолчанию для тех документов, тип

# которых сервер не может определить по расширению файлов.

# Если ваш сервер содержит в основном текстовые или

# HTmL-документы, следует задать значение "text/plain".

# Если содержимое в основном дцоичное, например, приложения

# или иллюстрации, можно использовать значение

# "application/ octet-stream", чтобы заблокировать попытки

# браузеров отобразить двоичные файлы как текст.

#

DefaultType text/plain

#

# mod mime magic позволяет серверу использовать различные

# особенности самого файла для определения его типа.

# Директива mimEmagicfile указывает модулю, где

# расположены предлагаемые определения..

# mod mime magic не является частью сервера по умолчанию

# (необходимо добавить его самостоятельно с помощью

# Loadmodule [см параграф DSO в разделе 'Global Environment'],

# или рекомпилировать сервер и включить mod mime_magic

# как часть конфигурации) , поэтому он заключен в контейнер

# <ifmodule>.

# Это значит, что директива mimEmagicfile будет отработана

# только если модуль является частью сервера.

#

<ifmodule mod_mime_magic . о

mimEmagicfile /usr/ share/magic

</ifmodule>

#

# HostnameLookups : Протоколировать имена клиентов или же только

# их iP-адреса т.е. www.apache.org (on) или 204.62.129.132 (off)

# По умолчанию off, так как для сети намного лучше, когда люди

# должны сознательно включать эту опцию. Вариант on приводит

# к тому, что каждый клиентский запрос порождает по крайней

# мере одно обращение к серверу имен.

#

HoetnameLookupe O££

#

# ErrorLog: Расположение файла протокола ошибок.

# Если директива ErrorLog не задана в контейнере

# <VirtualHost>, сообщения об ошибках, касающихся

# виртуального хоста, будут регистрироваться здесь.

# Если вы определили файл регистрации ошибок для

# контейнера <VirtualHost>, то сообщения об .ошибках хоста

# будут регистрироваться в этом файле, а не здесь.

#

ErrorLog /var/log/httpd/error_log

#

# Log~Level: Управляет количеством сообщений,

# записывающихся в error log.

# Перечень возможных вариантов: debug, info, notice, warn,

# error, crit, alert, emerg.

#

LogLevel warn

#

# Далее следуют команды, определяющие формат мнемонических

# имен, которые будут использоваться в команде CustomLog (см. ниже) .

#

Logformat "%h %1 %u %t \"%r\" %>s %b \ "%{Referer}i\" \"%{User-

-> Agent }i\" " combined

Logformat "%h %1 %u %t \"%r\" %>s %b" common

Logformat "%{Referer}i -> %U" referer

Logformat "% {User-agent}!" agent

#

# Расположение файла протокола доступа (Обычный Формат Протокола) .

# Если вы не определили никаких файлов протокола доступа в контейнере

# <VirtualHost>, транзакции будут регистрироваться здесь.

# Если вы определили файл регистрации для контейнера

# <VirtualHost>, то транзакции; хоста будут регистрироваться

# в этом файле, а не здесь.

#

CustomLog /var/log/httpd/access_log common

# # Если нужен файл протокола для агентов и рекомендателей -

# раскомментируйте нижестоящие команды.

#

# CustomLog /var/log/httpd/referer_log referer

# CustomLog /var/log/httpd/agent_log agent

# Чтобы использовался один общий файл для протоколирования доступа,

# агента и рекомендателя (Комбинированный Файл Протокола) можно

# использовать следующую команду.

#

# CustomLog /var/log/httpd/access_log combined

#

# Можно добавить строку, содержащую версию сервера

# и имя виртуального хоста для страниц, сгенерированных

# сервером (сообщения об ошибках,, списки ЕТР-каталогов,

# вывод mod status и mod info и т.п.,

# но не документы, сгенерированные CGi) .

# Задайте значение "Email", чтобы также включить ссылку

# mailto: на ServerAdmin.

# Задайте одно из значений: On | Off | Email

#

ServerSignature On

#

# Aliases: Укажите здесь столько псевдонимов, сколько' необходимо

# (без ограничения) . Формат следующий: Alias fakename realname

#

# Заметьте: если завершить фиктивное имя fakename символом "/",

# то сервер требует его присутствия в URL. Так, "/icons" не замещается

# в этом примере.

#

Alias /icons/ "/var/www/ icons/"

<Directory " /var/www/ icons ">

Options indexes multiViews

AllowOverride None

Order a 1 1 ow , deny

Allow from all

</Directory>

#

# ScriptAlias: Указывает каталоги, в которых находятся сценарии сервера.

# ScriptAliases по сути представляют собой то же самое, что и Aliases,

# кроме документов из каталога realname, которые интерпретируются

# как приложения и запускаются сервером по запросу вместо отправки

# клиенту в качестве документов .

# Правила в отношении "/"/ описанные выше для Alias,

# справедливы и для директив ScriptAlias .

#

ScriptAlias /cgi-bin/ "/var/www/cgi-bin/ "

#

# "/var/www/cgi-bin" следует заменить на CGi-каталог

# ScriptAliased, если он существует и сконфигурирован.

#

<Directory "/var/www/cgi-bin">

AllowOverride None

Options ExecCGi

Order allow, deny

Allow from all

</Directory>

# Redirect позволяет указать клиентам те документы, которые раньше

# были в вашем пространстве имен, а теперь отсутствуют. Это позволяет

# вам сообщить клиентам, где можно найти перемещенный документ.

# Формат: Redirect old-URi new-URL

#

#

# Директивы, управляющие отображением листингов,

# сгенерированных сервером.

#

#

# fancy indexing указывает на тип индексирования .каталогов -

# узорчатый или стандартный.

#

indexOptions fancylndexing

#

# Addlcon указывает серверу какие значки показывать для

# различных файлов или расширений файлов. Они отображаются

# только для проиндексированных fancylndexing каталогов.

#

AddlconbyEncoding (CmP, /icons /compressed. gif) x-compress x-gzip

AddlconbyType (TXT, /icons /text. gif) text/*

AddlconbyType (imG, /icons /irnage2 .gif ) image/*

AddlconbyType ( SND , / icons / sound2 .gif) audio / *

AddlconbyType (ViD, /icons /movie.gif) video/*

Addlcon /icons /binary. gif .bin .exe

Addlcon / icons /binhex. 'gif .hqx

Addlcon /icons /tar. gif .tar

Addlcon /icons /world2 .gif .wrl .wrl.gz .vrml .vrm .iv

Addlcon /icons /compressed. gif .z .z .tgz .gz .zip

Addlcon /icons /a. gif .ps .ai .eps

Addlcon /icons /layout. gif .html .shtml .htm .pdf

Addlcon /icons /text. gif . txt

Addlcon /icons/c.gif .с

Addlcon /icons/p.gif .pi .py

Addlcon / icons /f. gif .for

Addlcon /icons/dvi.gif .dvi

Addlcon /icons /uuencoded.gif .uu

Addlcon /icons/script. gif .conf .sh . shar .csh . ksh .tcl

Addlcon / icons /tex. gif .tex

Addlcon /icons /bomb. gif core

Addlcon /icons /back. gif ..

Addlcon /icons/hand. right. gif READmE

Addlcon /icons /folder. gif ^^DiRECTORY^^

Addlcon /icons /blank. gif ^^bLANKiCON^^

#

# Defaultlcon указывает, какой значок .использовать для файлов,

# для которых он явно не указан.

#

Defaultlcon /icons/unknown. gif

# AddDescription позволяет разместить краткое описание после.

# имени файла в генерируемых сервером индексах.

# Формат: AddDescription "описание" ИмяФайла

#

# AddDescription "GZiP compressed document" . gz

# AddDescription "tar archive" .tar

# AddDescription "GZiP compressed tar archive" .tgz

#

#

# ReadmeName - имя READmE-файла, которое сервер будет искать

# по умолчанию, чтобы добавить к списку каталогов.

#

# HeaderName - имя файла, которое сервер будет искать,

# чтобы добавить к началу индекса каталогов.

#

# Сервер сначала будет искать файл name.html и учтет его,

# если найдет. Если этот файл не обнаружится, то будет

# выполнен поиск файла name . txt . Если сервер найдет

# этот файл, то включит его как текстовый файл.

#

ReadmeName READmE

HeaderName HEADER

#

# indexlgnore - список имен файлов, игнорируемых

# при индексировании каталога. Разрешается использование

# символов подстановки в соответствии с синтаксисом оболочки.

#

indexlgnore .??* *~ *# HEADER* READmE* RCS CVS *,v *,t

#

# AddEncoding позволяет указать некоторым браузерам

# (mosaic/X 2.1+) распаковывать информация? на лету.

# Примечание : не все браузеры это поддерживают .

# N.b. Символ (") является признаком текста и не отображается

# 2) локальное перенаправление

#ErrorDocument 404 /missing.html

# для перенаправления на локальный URL /missing.html

#ErrorDocument 404 /cgi-bin/missing_handler .pi

# N.b. Можно перенаправлять на сценарий или документ,

# используя включения со стороны сервера.

#

# 3) внешнее перенаправление

#ErrorDocument 402 http : / /some . other_server . com/subscription_inf о . html

# N.b. Многие переменные окружения, связанные

# с исходным запросом, в таком сценарии будут недоступны.

#

# Следующие команды модифицируют обычную процедуру ответа HTTP.

# Первая команда запрещает keepalive для Netscape 2.x и браузеров,

# которые представляются как Netscape 2.x. Известны проблемы,

# связанные с этим. Вторая команда - для microsoft internet

# Explorer 4.0Ь2, которая имеет неправильную реализацию НТТР/1.1

# и неправильно поддерживает keepalive, когда эта опция

# используется в ответах 301 и 302 (перенаправление) .

browsermatch "mozilla/2" nokeepalive

browsermatch "mSiE 4\.0b2; " nokeepalive downgrade- 1.0 force-response- 1. 0

#

# Следующие команды запрещают ответы HTTP/1.1 браузерам,

# которые нарушают спецификацию НТТР/1 отсутствием понимания самых

# простых ответов 1.1.

#

browsermatch "RealPlayer 4\.0" force-response-1 .0

browsermatch "Java/l\.0" force-response-1 . 0

browsermatch "ODK/iN.O" force-response-1 .0

# Если модуль perl установлен, то следующие директивы выполнятся.

<ifmodule mod_perl.c>

Alias /perl/ /var/www/perl/

<Location /perl>

SetHandler perl-script

PerlHandler Apache: : Registry

Options +ExecCGi

</Location>

</ifmodule>

#

# Разрешает http-размещение (наподобие публикации в Netscape Gold) .

# Используйте htpasswd для генерации /etc/httpd/conf/passwd.

# Необходимо раскомментировать эти две строки и в начале этого файла:

#

#Loadmodule put_module modules /mod_put. so

#Addmodule mod_put.c

#

#Alias /upload /tmp

#<Location /upload>

# EnablePut On

# AuthType basic

# AuthName Temporary

# AuthUserfile /etc/httpd/conf/passwd

# EnableDelete Off

# umask 007

# <bimit PUT>

# require valid-user

# </Limit>

#</Location>

#

# Позволяет серверу возвращать отчет, находящийся по URL

# http://servername/server-status

# Для включения этого режима следует изменить

# ".your_domain.com" на ваш домен.

#

#<Location /server-status>

# SetHandler server-status

# Order deny, allow

# Deny from all

# Allow from .your_domain.com

#</Location>

# Позволяет отчеты о конфигурации удаленного сервера

# с URL http: //servername/server-info

# (необходимо, чтобы mod info. с был загружен)

# Для включения этого .режима следует изменить

# ".your_domain.com" на ваш домен.

#

#<bocation /server- info>

# SetHandler server- info

# Order deny, allow

# Deny from all

# Allow from .your_dpmain.com

#</Location>

# Разрешает доступ к документам локального компьютера с localhost

Alias /doc/ /usr/share/doc/

<Location /doo

order deny, allow

deny from all

allow from localhost

Options indexes followSymLinks

</Location>

# Имеются сообщения, что некоторые люди пытаются незаконно использовать

# старую ошибку со времен версии 1.1. Эта ошибка была в сценарии CGi,

# поставлявшемся как часть Apache. Сняв комментарии с этих строк, можно

# перенаправить эти атаки на протоколирующий сценарий, который находится

# на phf.apache.org. Или можно самостоятельно записывать их,

# используя сценарий support/phf abuse log.cgi.

#

#<Location /cgi-bin/phf*>

# Deny from all

#

# Пример VirtualHost:

# Практически любая директива Apache может вставляться в

# контейнер VirtualHost .

#

# <VirtualHos t ip . address . of . host . some_domain . com>

# ServerAdmin webmasterShost .some_domain.com

# DocumentRoot /www/docs/host . some_domain. com

# ServerName host . some_domain . com

# ErrorLog logs/host .some_domain.com-error_log

# CustomLog logs /host. some_domain.com-access_log common

#</VirtualHost>

#<VirtualHost _default_:*>

#</VirtualHost>

<if Define HAVE_SSL>

##

## SSL Virtual Host Context

##

# По умолчанию Apache только слушает порт 80.

# Определение виртуального сервера (см. ниже) не вызывает

# автоматического прослушивания порта виртуального сервера.

Listen 443

<VirtualHost _default_:443>

# Общая установка виртуального хоста

DocumentRoot "/var/www/html"

# SSL Engine ключ:

# Разрешение/запрет SSL для этого виртуального хоста.

SSLEngine on

# SSL шифры:

# Список шифров, которые клиент может использовать.

# См. в документе mod ssl полный список шифров.

#SSLCipherSuite ALL: !ADH:RC4+RSA:+HiGH: +mEDiUm: +LOW: +SSLv2 : +EXP: +eNULL

# Сертификат сервера:

# Адресует SSLCertificatefile на РЕМ-кодированный сертификат.

# Если сертификат зашифрован, появится запрос пароля.

# Обратите внимание: kill -HUP- вызовет повторный запрос

# пароля. Тестовый сертификат можно сгенерировать с помощью

# `make certificate' в ходе построения. Если вы используете и

# RSA и DSA сертификаты, то оба можно конфигурировать одновременно

# (чтобы также разрешить использование шифров DSA и т.д.) .

SSLCertificatefile /etc/httpd/conf /ssl .crt/server ,crt

#SSLCertif icatefile /etc/httpd/conf /ssl . crt/server-dsa. crt

# Частный ключ сервера:

# Если ключ не объединен с сертификатом, используйте эту директиву,

# чтобы указать файл ключа. Если вы используете и RSA и DSA

# сертификаты, то оба можно конфигурировать одновременно

# (чтобы также разрешить использование шифров DSA и т.д.) .

SSLCertif icateKeyfile /etc/httpd/conf /ssl . key/server . key

#SSLCertificateKeyfile /etc/httpd/conf /ssl. key/server-dsa. key

# Цепочка сертификатов сервера :

# Адресует SSLCertificateChainfile на файл, содержащий

# соединение РЕМ- кодированных СА- сертификатов. Он

# формирует цепочку сертификатов для серверного сертификата .

# Альтернатива: указанный файл может быть тем же, что и файл

# SSLCertificatefile, если СА-сертификаты, для удобства,

# непосредственно связаны с серверным сертификатом.

#SSLCertificateChainfile /etc/httpd/conf /ssl . crt/ca.crt

# Авторизация сертификата (СА) :

# Задайте пути верификации сертификата СА, т.е. место где

# можно найти сертификаты СА для аутентификации клиентов или

# один большой файл, содержащий все сертификаты (файл должен

# быть РЕМ-кодированным) .

# Внимание : Внутри SSLCACertificatePath следует

# хешировать ссылки на файлы сертификатов. Пользуйтесь

# makefile для обновления хешированных ссылок после

# внесения изменений.

#SSLCACertificatePath /etc/httpd/conf /ssl. crt

#SSLCACertificatefile /etc/httpd/conf /ssl. crt/ca-bundle. crt

# Список отмененных сертификатов (CRL) :

# Задайте путь отмененных СА, чтобы можно было найти список

# отмененных СА для аутентификации клиентов или один большой файл,

# содержащий все сертификаты (файл должен быть РЕМ-кодированным) .

# Внимание : Внутри SSLCARevocationPath следует

# хешировать ссылки на файлы сертификатов. Пользуйтесь

# makefile для обновления хешированных ссылок после

# внесения изменений.

#SSLCARevocationPath /etc/httpd/conf /ssl . crl

#SSLCARevocationfile /etc/httpd/conf /ssl . crl/ca-bundle. crl

# Аутентификация клиента (тип) :

# Тип и глубина верификации сертификатов клиентов. Типы:

# none, optional, require и optional no ca. Глубина

# задается как номер, который определяет, насколько глубоко

# следует проверять цепочку издателя сертификата,

# чтобы убедиться в негодности сертификата.

#SSLVerifyClient require

#SSLVerifyDepth 10

# Контроль доступа:

# Посредством SSLRequire можно управлять доступом к каталогам,

# задавая произвольные булевы выражения, содержащие обращения

# к серверным переменным. Синтаксис выражений представляет собой

# нечто среднее между С и Perl. Подробности см. в файле mod ssl.

#<Location />

#SSLReqUire ( %{SSL_CiPHER) ! ~ m/ ⁿ (ЕХР |NULL) -/ \

# and %{SSL_CLiENT_S_DN_O} eq "Snake Oil, Ltd." \

# and %{SSL_CLiENT_S_DN_OU} in {"Staff", "CA", "Dev"} \

# and %{TimE_WDAY) >= 1 and %{TimE_WDAY} <= 5 \

# and %{TimE_HOUR} >= 8 and %{TimE_HOUR} <= 20 ) \

tt or %{REmOTE_ADDR) =~ m/ ⁿ !92\ .76\ . 162\ . [0-9] +$/

#</Location>

# Опции SSL Engine:

# Установка различных опций SSL engine.

# о fakebasicAuth:

# Трансляция клиента Х.509 в basic Authorisation.

# Это значит, что для контроля доступа могут

# использоваться стандартные методы Auth/DbmAuth.

# Имя пользователя представляет собой однострочную версию

# клиентского сертификата Х.509.

# Обратите внимание, что от пользователя не требуется

# пароль. Каждый ввод в пользовательском файле требует

# пароля: ~xxj31ZmTZzkVA' .

# о ExportCertData :

# Экспортируются две дополнительных переменных:

# SSL CLiENT CERT и SSL_SERVER_CERT . Они

# содержат РЕМ-кодированные сертификаты сервера

# (они существуют всегда) и клиента (существуют

§ только, если используется аутентификация клиента) .

# Это можно использовать для импорта сертификатов

# в CGi- сценарии.

# о StdEnvVarc:

# Экспортируются ^V SSL *' переменные окружения,

# относящиеся к стандартным SSL/TLS.

# По умолчанию это экспортирование заблокировано из

# соображений производительности, поскольку операция

# извлечения относится к достаточно дорогим, и бесполезна

# для обслуживания статического контента. Поэтому

# разрешение выдается обычно только для CGi- и

# SSi-запросов.

# о CompatEnvVars :

# Экспортируются устаревшие переменные окружения

# для совместимости со старыми версиями Apache-SSL 1.x,

# mod ssl 2.0.x, Sioux 1.0 и Stronghold 2.x. Используйте

# для совместимости с существующими CGi-сценариями.

# о StrictRequire:

# Запрещается доступ, когда применяется "SSLRequireSSL"

f или "SSLRequire", даже в ситуации "Satisfy any",

# т.е. когда применяется эта опция, доступ запрещен

# и никакой другой модуль изменить этого не может..

# OptRenegotiate:

# Разрешает оптимизированную обработку SSL-соединения

# когда SSL-директивы используются в контексте

# отдельного каталога.

tSSLOptions +fakebasicAuth +ExportCertData +CompatEnvVars +StrictRequire

<files ~ "\. (cgi|shtml)$">

SSLOptions +StdEnvVars

</files>

<Directory "/var/www/cgi-bin">

SSLOptions +StdEnvVars

</Directory>

# Примечание: Большинство проблем взлома клиентов

# связаны с возможностями подтверждения активности

# HTTP (keepalive) , поэтому следует запретить keepalive