Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.13.3. 特定アプリケーションの設定

さまざまなアプリケーションが、TLS 用の独自の設定メカニズムを提供します。このセクションでは、最も一般的に使用されるサーバーアプリケーションで採用されている TLS 関連の設定ファイルについて説明し、典型的な設定例を提供します。
いずれの設定を選択しても、サーバーアプリケーションが強制的に サーバー側が指定した順序 で暗号を利用することを確認し、使用される暗号化スイートの選択がサーバでの設定順に行われるように設定してください。

4.13.3.1. Apache HTTP Server の設定

Apache HTTP Server は、TLS のニーズに OpenSSL ライブラリーおよび NSS ライブラリーの両方を使用できます。TLS ライブラリーの選択に応じて、mod_ssl または mod_nss モジュール (同名のパッケージで提供) のいずれかをインストールする必要があります。たとえば、OpenSSLmod_ssl モジュールを提供するパッケージをインストールするには、root で以下のコマンドを発行します。
~]# yum install mod_ssl
mod_ssl パッケージは、/etc/httpd/conf.d/ssl.conf 設定ファイルをインストールします。これは、Apache HTTP ServerTLS 関連の設定を変更するのに使用できます。同様に、mod_nss パッケージは、/etc/httpd/conf.d/nss.conf 設定ファイルをインストールします。
httpd-manual パッケージをインストールして、TLS 設定を含む Apache HTTP Server の完全ドキュメントを取得します。/etc/httpd/conf.d/ssl.conf 設定ファイルで利用可能なディレクティブの詳細は、/usr/share/httpd/manual/mod/mod_ssl.html を参照してください。各種設定の例は /usr/share/httpd/manual/ssl/ssl_howto.html で確認できます。
/etc/httpd/conf.d/ssl.conf 設定ファイルの設定を修正する場合は、少なくとも下記の 3 つのディレクティブを確認してください。
SSLProtocol
このディレクティブを使用して、許可する TLS (または SSL) のバージョンを指定します。
SSLCipherSuite
優先する暗号化スイートを指定する、もしくは許可しないスイートを無効にするディレクティブです。
SSLHonorCipherOrder
コメントを解除して、このディレクティブを on に設定すると、接続先のクライアントは指定した暗号化の順序に従います。
以下に例を示します。
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on
上記の設定は最低限のものであり、「有効にするアルゴリズムの選択」 に概説されている推奨事項に従うことで、大幅に強化できることに注意してください。
mod_nss モジュールを設定して使用するには、 /etc/httpd/conf.d/nss.conf 設定ファイルを変更します。mod_nss モジュールは mod_ssl から派生しているため、設定ファイルの構造や使用可能なディレクティブなど、多くの機能を共有しています。mod_nss ディレクティブの接頭辞は、SSL ではなく NSS である点に注意してください。mod_nssには適用されないmod_sslの設定ディレクティブの一覧など、mod_nssに関する情報の概要はhttps://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.htmlを参照してください。