Menu Close
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.13.3. 特定アプリケーションの設定
さまざまなアプリケーションが、
TLS
用の独自の設定メカニズムを提供します。このセクションでは、最も一般的に使用されるサーバーアプリケーションで採用されている TLS
関連の設定ファイルについて説明し、典型的な設定例を提供します。
いずれの設定を選択しても、サーバーアプリケーションが強制的に サーバー側が指定した順序 で暗号を利用することを確認し、使用される暗号化スイートの選択がサーバでの設定順に行われるように設定してください。
4.13.3.1. Apache HTTP Server の設定
Apache HTTP Server は、
TLS
のニーズに OpenSSL ライブラリーおよび NSS ライブラリーの両方を使用できます。TLS
ライブラリーの選択に応じて、mod_ssl または mod_nss モジュール (同名のパッケージで提供) のいずれかをインストールする必要があります。たとえば、OpenSSLmod_ssl モジュールを提供するパッケージをインストールするには、root で以下のコマンドを発行します。
~]# yum install mod_ssl
mod_ssl パッケージは、
/etc/httpd/conf.d/ssl.conf
設定ファイルをインストールします。これは、Apache HTTP Server の TLS
関連の設定を変更するのに使用できます。同様に、mod_nss パッケージは、/etc/httpd/conf.d/nss.conf
設定ファイルをインストールします。
httpd-manual パッケージをインストールして、
TLS
設定を含む Apache HTTP Server の完全ドキュメントを取得します。/etc/httpd/conf.d/ssl.conf
設定ファイルで利用可能なディレクティブの詳細は、/usr/share/httpd/manual/mod/mod_ssl.html
を参照してください。各種設定の例は /usr/share/httpd/manual/ssl/ssl_howto.html
で確認できます。
/etc/httpd/conf.d/ssl.conf
設定ファイルの設定を修正する場合は、少なくとも下記の 3 つのディレクティブを確認してください。
-
SSLProtocol
- このディレクティブを使用して、許可する
TLS
(またはSSL
) のバージョンを指定します。 -
SSLCipherSuite
- 優先する暗号化スイートを指定する、もしくは許可しないスイートを無効にするディレクティブです。
-
SSLHonorCipherOrder
- コメントを解除して、このディレクティブを
on
に設定すると、接続先のクライアントは指定した暗号化の順序に従います。
以下に例を示します。
SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:!aNULL:!MD5 SSLHonorCipherOrder on
上記の設定は最低限のものであり、「有効にするアルゴリズムの選択」 に概説されている推奨事項に従うことで、大幅に強化できることに注意してください。
mod_nss モジュールを設定して使用するには、
/etc/httpd/conf.d/nss.conf
設定ファイルを変更します。mod_nss モジュールは mod_ssl から派生しているため、設定ファイルの構造や使用可能なディレクティブなど、多くの機能を共有しています。mod_nss ディレクティブの接頭辞は、SSL
ではなく NSS
である点に注意してください。mod_nssには適用されないmod_sslの設定ディレクティブの一覧など、mod_nssに関する情報の概要はhttps://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.htmlを参照してください。