Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.13.3. 特定のアプリケーションの設定

TLS には、異なるアプリケーションは独自の設定メカニズムを提供します。本セクションでは、最も一般的に使用されるサーバーアプリケーションによって使用される TLS- 関連の設定ファイルと、典型的な設定の例を説明します。
選択する設定に関係なく、サーバーアプリケーションが強制的にサーバー側の暗号の順序が適用され、使用される暗号化スイートが設定順に判断されるようにしてください。

4.13.3.1. Apache HTTP サーバーの設定

Apache HTTP Server は、TLS のニーズに OpenSSL ライブラリーと NSS ライブラリーの両方を使用できます。TLS ライブラリーの選択に応じて、mod_ssl または mod_nss モジュールのいずれかをインストールする必要があります(eponymous パッケージで提供)。たとえば、OpenSSL mod_ssl モジュールを提供するパッケージをインストールするには、root で以下のコマンドを実行します。
~]# yum install mod_ssl
mod_ssl パッケージは、/etc/httpd/conf.d/ssl.conf 設定ファイルをインストールします。これは、Apache HTTP ServerTLS関連の設定を変更するのに使用できます。同様に、mod_nss パッケージは /etc/httpd/conf.d/nss.conf 設定ファイルをインストールします。
httpd-manual パッケージをインストールして、TLS 設定を含む Apache HTTP Server の完全なドキュメントを取得します。/etc/httpd/conf.d/ssl.conf 設定ファイルで利用可能なディレクティブの詳細は、/usr/share/httpd/manual/mod/mod_ssl.html を参照してください。各種設定の例は、/usr/share/httpd/manual/ssl/ssl_howto.html にあります。
/etc/httpd/conf.d/ssl.conf 設定ファイルの設定を修正する場合は、少なくとも下記の 3 つのディレクティブを確認してください。
SSLProtocol
このディレクティブを使用して、許可する TLS (または SSL)のバージョンを指定します。
SSLCipherSuite
優先する暗号化スイートを指定する、もしくは許可しないスイートを無効にするディレクティブです。
SSLHonorCipherOrder
コメントを解除して、このディレクティブを on に設定すると、接続先のクライアントは指定した暗号化の順序に従います。
以下に例を示します。
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on
上記の設定は最小限のものであり、「有効にするアルゴリズムの選択」 に記載の推奨事項に従って、大幅に強化できる点に注意してください。
mod_nss モジュールを設定して使用するには、/etc/httpd/conf.d/nss.conf 設定ファイルを変更します。mod_nss モジュールは mod_ssl から派生します。そのため、設定ファイルの構造や利用可能なディレクティブではなく、多くの機能を共有します。mod_nss ディレクティブには、SSL ではなく接頭辞 NSS があることに注意してください。mod_nss に該当しない mod_ ssl 設定ディレクティブの一覧を含む、mod_ nss の詳細は https://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.html を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。