RHEL おける Apache および mod_ssl on 5 の保護
更新 -
openssl を使用する Apache (httpd-2.2.3) および mod_ssl (mod_ssl-2.2.3) を保護します。
このナレッジは Securing Applications Collection を抜粋したものです。
設定ファイル
/etc/httpd/conf.d/ssl.conf
短縮形
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite kDH:AES
SSLCertificateKeyFile /etc/pki/tls/private/httpd.key
SSLCertificateFile /etc/pki/tls/certs/httpd.crt
SSLCertificateChainFile /etc/pki/tls/certs/httpd-chain.crt
プロトコル
SSLProtocol all -SSLv2 -SSLv3
RHEL5 の openssl で利用できるプロトコルで一番高いのは TLSv1 です。
プロトコル - 代替値
SSLProtocol All -SSLv2非常に古くて、保護されていないクライアントを許可します。ブラウザーの互換性を参照してください。
暗号化
SSLCipherSuite kDH:AES
一番良い暗号化が利用できます。
暗号化 - 代替値
SSLCipherSuite kDH:AES:RCA-SHA非常に古いブラウザーを許可します。
認証処理
Apache はキーと認証に異なる PEM フォーマットファイル、CA チェインには別のフォーマットを期待します。
キーファイル
SSLCertificateKeyFile /etc/pki/tls/private/httpd.key
主な設定ファイルに定義しているように、キーは User だけが読めるようになっています。
認証ファイル
SSLCertificateFile /etc/pki/tls/certs/httpd.crt
サーバー認証
認証局チェイン
SSLCertificateChainFile /etc/pki/tls/certs/httpd-chain.crt
SSLCertificateFile の中間および元の認証
Comments