4.3. コマンドラインを使用した Directory Server がサポートする暗号化の設定
Directory Server で対応している暗号のリストを更新するには、nsSSL3Ciphers
パラメーターを更新します。
前提条件
- Directory Server で TLS 暗号化を有効にしている。
手順
有効な暗号のリストを表示します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security ciphers list default
default
キーワードは、ネットワークセキュリティーサービス (NSS) で有効な暗号のみが有効になっていることを示します。弱い暗号を有効にする必要がある場合は、次のコマンドを実行します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security set --allow-insecure-ciphers on
nsSSL3Ciphers
パラメーターを更新します。たとえば、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
およびTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
暗号のみを有効にするには、以下を入力します。# dsconf -D "cn=Directory Manager" ldap://server.example.com security ciphers set -- "-all,+TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,+TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
--
を使用して、シェルが-all
の-
文字をコマンドのオプションとして解釈しないようにします。-all
をエスケープするために\
文字を使用しないでください。エラーが発生し、別の暗号が選択される可能性があるためです。インスタンスを再起動します。
# dsctl instance_name restart
検証
有効な暗号のリストを表示します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security ciphers list default +TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 +TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
関連情報