Red Hat Training

A Red Hat training course is available for RHEL 8

12.7. ポリシー修飾子を使用したシステム全体の暗号化ポリシーのカスタマイズ

以下の手順に従って、システム全体の暗号化ポリシーレベルまたは完全なカスタムポリシーの特定アルゴリズムまたはプロトコルを調整します。

注記

システム全体の暗号化ポリシーのカスタマイズは、RHEL 8.2 から利用できます。

手順

  1. /etc/crypto-policies/policies/modules/ ディレクトリーをチェックアウトします。

    # cd /etc/crypto-policies/policies/modules/
  2. 以下のように、調整用のポリシーモジュールを作成します。

    # touch MYCRYPTO1.pmod
    # touch NO-AES128.pmod
    重要

    ポリシーモジュールのファイル名には大文字を使用します。

  3. 任意のテキストエディターでポリシーモジュールを開き、システム全体の暗号化ポリシーを変更するオプションを挿入します。次に例を示します。

    # vi MYCRYPTO1.pmod
    sha1_in_certs = 0
    min_rsa_size = 3072
    # vi NO-AES128.pmod
    cipher = -AES-128-GCM -AES-128-CCM -AES-128-CTR -AES-128-CBC
  4. 変更をモジュールファイルに保存します。
  5. ポリシーの調整を、システム全体の暗号化ポリシーレベル DEFAULT に適用します。

    # update-crypto-policies --set DEFAULT:MYCRYPTO1:NO-AES128
  6. 暗号化設定を実行中のサービスやアプリケーションで有効にするには、システムを再起動します。

    # reboot

関連情報

  • 詳細は、update-crypto-policies (8) の man ページの Custom Policies セクションと、crypto-policies(7)Crypto Policy Definition Format セクションを参照してください。
  • How to customize crypto policies in RHEL 8.2 」の記事では、システム全体の暗号化ポリシーのカスタマイズ例を示します。