9.2. TLS セキュリティープロファイルの詳細表示

Ingress コントローラーおよびコントロールプレーンコンポーネントごとに事前定義された TLS セキュリティープロファイルの最小 TLS バージョンおよび暗号を表示できます。

重要

プロファイルの最小 TLS バージョンと暗号の一覧は、コンポーネントによって異なる場合があります。

手順

  • 特定の TLS セキュリティープロファイルの詳細を表示します。

    $ oc explain <component>.spec.tlsSecurityProfile.<profile> 1
    1
    <component> には、ingresscontroller または apiserver を指定します。<profile> には、oldintermediate または custom を指定します。

    たとえば、コントロールプレーンの intermediate プロファイルに含まれる暗号を確認するには、以下を実行します。

    $ oc explain apiserver.spec.tlsSecurityProfile.intermediate

    出力例

    KIND:     APIServer
    VERSION:  config.openshift.io/v1
    
    DESCRIPTION:
        intermediate is a TLS security profile based on:
        https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29
        and looks like this (yaml):
        ciphers: - TLS_AES_128_GCM_SHA256 - TLS_AES_256_GCM_SHA384 -
        TLS_CHACHA20_POLY1305_SHA256 - ECDHE-ECDSA-AES128-GCM-SHA256 -
        ECDHE-RSA-AES128-GCM-SHA256 - ECDHE-ECDSA-AES256-GCM-SHA384 -
        ECDHE-RSA-AES256-GCM-SHA384 - ECDHE-ECDSA-CHACHA20-POLY1305 -
        ECDHE-RSA-CHACHA20-POLY1305 - DHE-RSA-AES128-GCM-SHA256 -
        DHE-RSA-AES256-GCM-SHA384 minTLSVersion: TLSv1.2

  • コンポーネントの tlsSecurityProfile フィールドの詳細をすべて表示します。

    $ oc explain <component>.spec.tlsSecurityProfile 1
    1
    <component> には、ingresscontroller または apiserver を指定します。

    たとえば、Ingress コントローラーの tlsSecurityProfile フィールドの詳細をすべて確認するには、以下を実行します。

    $ oc explain ingresscontroller.spec.tlsSecurityProfile

    出力例

    KIND:     IngressController
    VERSION:  operator.openshift.io/v1
    
    RESOURCE: tlsSecurityProfile <Object>
    
    DESCRIPTION:
         ...
    
    FIELDS:
       custom	<>
         custom is a user-defined TLS security profile. Be extremely careful using a
         custom profile as invalid configurations can be catastrophic. An example
         custom profile looks like this:
         ciphers: - ECDHE-ECDSA-CHACHA20-POLY1305 - ECDHE-RSA-CHACHA20-POLY1305 -
         ECDHE-RSA-AES128-GCM-SHA256 - ECDHE-ECDSA-AES128-GCM-SHA256 minTLSVersion:
         TLSv1.1
    
       intermediate	<>
         intermediate is a TLS security profile based on:
         https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29
         and looks like this (yaml):
         ... 1
    
       modern	<>
         modern is a TLS security profile based on:
         https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility and
         looks like this (yaml):
         ... 2
         NOTE: Currently unsupported.
    
       old	<>
         old is a TLS security profile based on:
         https://wiki.mozilla.org/Security/Server_Side_TLS#Old_backward_compatibility
         and looks like this (yaml):
         ... 3
    
       type	<string>
         ...

    1
    ここでは、intermediate プロファイルの暗号および最小バージョンを一覧表示します。
    2
    modern プロファイルの暗号と最小バージョンを一覧表示します。
    3
    ここでは、old プロファイルの暗号および最小バージョンを一覧表示します。