Translated message

A translation of this page exists in English.

RHEL6 おける Apache および mod_ssl の保護

更新 -

openssl を使用する Apache (httpd-2.2.15) および mod_ssl (mod_ssl-2.2.15) を保護します。

このナレッジは Securing Applications Collection を抜粋したものです。

バージョンの警告

さまざまなセキュリティーの問題が原因で、証明書ファイルで DH パラメーターを使用できるようにするには、特に LOGJAM httpd および mod_ssl が常にバージョン 2.2.5-39.el6 以降になるようにします。

設定ファイル

   /etc/httpd/conf.d/ssl.conf

短縮形

SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite kEECDH:+kEECDH+SHA:kEDH:+kEDH+SHA:+kEDH+CAMELLIA:kECDH:+kECDH+SHA:kRSA:+kRSA+SHA:+kRSA+CAMELLIA:!aNULL:!eNULL:!SSLv2:!RC4:!DES:!EXP:!SEED:!IDEA:!3DES
SSLCertificateKeyFile /etc/pki/tls/private/httpd.key
SSLCertificateFile /etc/pki/tls/certs/httpd.dh.crt
SSLCertificateChainFile /etc/pki/tls/certs/httpd-chain.crt

プロトコル

    SSLProtocol all -SSLv2 -SSLv3 -TLSv1

プロトコル - 代替値

SSLProtocol All -SSLv2 -SSLv3

TLSv1.0 を有効にします。以前の Browser Compatibility を参照してください。

暗号化

    SSLCipherSuite kEECDH:+kEECDH+SHA:kEDH:+kEDH+SHA:+kEDH+CAMELLIA:kECDH:+kECDH+SHA:kRSA:+kRSA+SHA:+kRSA+CAMELLIA:!aNULL:!eNULL:!SSLv2:!RC4:!DES:!EXP:!SEED:!IDEA:!3DES

強力な暗号化をする妥当な選択

暗号化 - 代替値

SSLCipherSuite kEECDH:+kEECDH+SHA:kEDH:+kEDH+SHA:+kEDH+CAMELLIA:kECDH:+kECDH+SHA:kRSA:+kRSA+SHA:+kRSA+CAMELLIA:!aNULL:!eNULL:!SSLv2:!RC4:RC4+RSA:!DES:!EXP:!SEED:!IDEA:!3DES

以前の IE 互換に RC4-RSA が含まれます。

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

非常に古いブラウザーを許可します。

認証処理

Apache はキーと認証に異なる PEM フォーマットファイル、CA チェインには別のフォーマットを期待します。

キーファイル

SSLCertificateKeyFile /etc/pki/tls/private/httpd.key

主な設定ファイルに定義しているように、キーは User だけが読めるようになっています。

認証ファイル

SSLCertificateFile /etc/pki/tls/certs/httpd.dh.crt

SSLCertificateFile に Diffie-Helman パラメーターを追加して PFS を有効にすることができるため、ファイルの追加のペアを保持する必要があります。実際の証明書は以下に保存する必要があります。

/etc/pki/tls/certs/httpd.crt

次に、以下のコマンドを実行して、結合したファイルを作成する必要があります。この一連のコマンドを定期的 (週次) に実行して DH パラメーターをアップデートし、サービスを再ロードします。

openssl dhparam -out /etc/pki/tls/private/httpd.dh.param.tmp 2048
mv /etc/pki/tls/private/httpd.dh.param.tmp  /etc/pki/tls/private/httpd.dh.param
cat /etc/pki/tls/certs/httpd.crt /etc/pki/tls/private/httpd.dh.param >/etc/pki/tls/certs/httpd.dh.crt
service httpd graceful

認証局チェイン

SSLCertificateChainFile /etc/pki/tls/certs/httpd-chain.crt

SSLCertificateFile の中間および元の認証

Comments