第2章 サポートされる TLS プロトコルバージョンの設定

Red Hat Enterprise Linux 9 では、システム全体の暗号化ポリシープロファイルはすべて最低要件として TLS 1.2 が定義されています。そのため、この TLS バージョンは Directory Server の最小値でもあります。ただし、TLS の新しいバージョンをサポートするクライアントのみがある場合は、少なくともより高いプロトコルバージョンを設定してセキュリティーを強化できます。

2.1. コマンドラインを使用した最小および最大の TLS プロトコルバージョンの設定

コマンドラインを使用して、最小および最大の TLS プロトコルの両方を設定できます。

警告

最大 TLS プロトコルを設定しないでください。設定した場合には、クライアントはデフォルトの標準よりも弱い TLS プロトコルを使用する必要がある場合があります。最大 TLS バージョンを設定しないと、Directory Server は、サポート範囲内で最も強力なバージョンを常に使用します。

前提条件

  • Directory Server で TLS 暗号化を有効にしている。

手順

  1. 必要に応じて、Directory Server で現在有効な TLS プロトコルを表示します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com security get | egrep -i "sslVersionMin|sslVersionMax"
    sslversionmin: TLS1.2
    sslversionmax: TLS1.3
  2. 最小 TLS プロトコルを設定します。たとえば、TLS 1.3 に設定するには、以下を入力します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com security set --tls-protocol-min="TLS1.3"

    パラメーターを TLS 1.2 よりも小さい値に設定することはできません。これは、RHEL システム全体の暗号化ポリシープロファイルの最小値です。

  3. 非推奨: サポートされている最大の TLS プロトコルを設定します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com security set --tls-protocol-max="TLS1.3"

    --tls-protocol-max--tls-protocol-min よりも小さい値に設定すると、Directory Server は最大プロトコルを最小値と同じ値に設定します。

    サポートされている最も強力な暗号化プロトコルを常にサポートされる最大 TLS バージョンとして使用するには、--tls-protocol-max を設定しないでください。

  4. インスタンスを再起動します。

    # dsctl instance_name restart

検証

  1. サポートされる TLS プロトコルを表示します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com security get | egrep -i "sslVersionMin|sslVersionMax"
    sslversionmin: TLS1.3
    sslversionmax: TLS1.3
  2. openssl ユーティリティーを使用して、特定の TLS プロトコルを使用してセキュアなクライアント接続を確立します。

    # echo | openssl s_client -connect server.example.com:636 -tls1_3
    ...
    New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256
    ...