第2章 サポートされる TLS プロトコルバージョンの設定
Red Hat Enterprise Linux 9 では、システム全体の暗号化ポリシープロファイルはすべて最低要件として TLS 1.2 が定義されています。そのため、この TLS バージョンは Directory Server の最小値でもあります。ただし、TLS の新しいバージョンをサポートするクライアントのみがある場合は、少なくともより高いプロトコルバージョンを設定してセキュリティーを強化できます。
2.1. コマンドラインを使用した最小および最大の TLS プロトコルバージョンの設定
コマンドラインを使用して、最小および最大の TLS プロトコルの両方を設定できます。
最大 TLS プロトコルを設定しないでください。設定した場合には、クライアントはデフォルトの標準よりも弱い TLS プロトコルを使用する必要がある場合があります。最大 TLS バージョンを設定しないと、Directory Server は、サポート範囲内で最も強力なバージョンを常に使用します。
前提条件
- Directory Server で TLS 暗号化を有効にしている。
手順
必要に応じて、Directory Server で現在有効な TLS プロトコルを表示します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security get | egrep -i "sslVersionMin|sslVersionMax" sslversionmin: TLS1.2 sslversionmax: TLS1.3
最小 TLS プロトコルを設定します。たとえば、TLS 1.3 に設定するには、以下を入力します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security set --tls-protocol-min="TLS1.3"
パラメーターを TLS 1.2 よりも小さい値に設定することはできません。これは、RHEL システム全体の暗号化ポリシープロファイルの最小値です。
非推奨: サポートされている最大の TLS プロトコルを設定します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security set --tls-protocol-max="TLS1.3"
--tls-protocol-max
を--tls-protocol-min
よりも小さい値に設定すると、Directory Server は最大プロトコルを最小値と同じ値に設定します。サポートされている最も強力な暗号化プロトコルを常にサポートされる最大 TLS バージョンとして使用するには、
--tls-protocol-max
を設定しないでください。インスタンスを再起動します。
# dsctl instance_name restart
検証
サポートされる TLS プロトコルを表示します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security get | egrep -i "sslVersionMin|sslVersionMax" sslversionmin: TLS1.3 sslversionmax: TLS1.3
openssl
ユーティリティーを使用して、特定の TLS プロトコルを使用してセキュアなクライアント接続を確立します。# echo | openssl s_client -connect server.example.com:636 -tls1_3 ... New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256 ...