Red Hat Training

A Red Hat training course is available for RHEL 8

75.9. Apache HTTP サーバーで対応している暗号の設定

デフォルトでは、Apache HTTP サーバーは、安全なデフォルト値を定義するシステム全体の暗号化ポリシーを使用します。これは、最近のブラウザーとも互換性があります。システム全体の暗号化で使用可能な暗号化のリストは、/etc/crypto-policies/back-ends/openssl.config ファイルを参照してください。

Apache HTTP Server my_company.idm.example.com がサポートする暗号を手動で設定できます。お使いの環境で特定の暗号が必要な場合は、以下の手順に従います。

前提条件

TLS 暗号化は、Apache HTTP Server への TLS 暗号化の追加で説明されているように、my_company.idm.example.com サーバーで有効になっています。

手順

/etc/httpd/conf/httpd.conf ファイルを編集し、TLS 暗号を設定する <VirtualHost> ディレクティブに SSLCipherSuite パラメーターを追加します。
```
SSLCipherSuite "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!SHA1:!SHA256"
```
この例では、EECDH+AESGCM、EDH+AESGCM、AES256+EECDH、および AES256+EDH 暗号のみを有効にし、SHA1 および SHA256 メッセージ認証コード (MAC) を使用するすべての暗号を無効にします。
httpd サービスを再起動します。
```
# systemctl restart httpd
```

検証手順

Apache HTTP Server が対応する暗号化のリストを表示するには、以下を行います。

nmap パッケージをインストールします。
```
# yum install nmap
```

nmap ユーティリティーを使用して、対応している暗号を表示します。

# nmap --script ssl-enum-ciphers -p 443 example.com
...
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
...

関連情報

update-crypto-policies(8) の man ページ
Using system-wide cryptographic policies.
Apache HTTP Server マニュアルのインストール - SSLCipherSuite

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

75.9. Apache HTTP サーバーで対応している暗号の設定

Language and Page Formatting Options

Red Hat Training

75.9. Apache HTTP サーバーで対応している暗号の設定