第7章 TLS 1.0 および TLS 1.1 暗号化の無効化
インフラストラクチャーのセキュリティー要件に応じて、Satellite の暗号化設定を変更したり、脆弱性を素早く修正したりする場合があります。
Satellite の Apache サービスおよび Qpid サービスは、TLS 1.0 および 1.1 暗号化がデフォルトで有効になっています。Satellite および Capsule でこの手順を使用し、PCI-DSS 規制などが必要とする TLS 1.2 のみを許可するように Satellite および Capsule を設定します。
手順
/etc/foreman-installer/custom-hiera.yamlファイルを開いて、編集します。# vi /etc/foreman-installer/custom-hiera.yaml
以下のエントリーを追加します。
# Apache apache::mod::ssl::ssl_protocol: [ 'ALL' , '-SSLv3' , '-TLSv1' , '-TLSv1.1' , '+TLSv1.2' ] # QPID Dispatch foreman_proxy_content::qpid_router_ssl_ciphers: 'ALL:!aNULL:+HIGH:-SSLv3:!IDEA-CBC-SHA'
satellite-installerコマンドを入力して上記の設定を適用し、Qpid が TLS 1.2 のみを使用するように設定します。# satellite-installer \ --foreman-proxy-content-qpid-router-ssl-protocols=TLSv1.2
