Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

4.3. アプリケーションの TLS 設定のハードニング

カスタマイズした暗号化設定を使用して TLS 関連の設定をハードニングする場合は、暗号化設定オプションを使用して、システム全体の暗号化ポリシーを必要最小限の範囲内でオーバーライドできます。

RHEL の システム全体の暗号化ポリシー は、暗号化ライブラリーを使用するアプリケーションがセキュリティー標準に確実に準拠するように、既知のセキュアでないプロトコル、暗号、またはアルゴリズムの使用を防止します。

どのような設定を選択するにせよ、サーバーアプリケーションによって サーバー側の暗号順序 が強制されることを常に確認してください。これにより、暗号スイートが設定した順序に基づいて決定されるようになります。詳細は、システム上の crypto-policies(7)config(5)、および ciphers(1) man ページを参照してください。

4.3.1. Apache HTTP サーバーの TLS 設定
リンクのコピー

Apache HTTP Server は、TLS に関する要件を処理するための OpenSSL ライブラリーと NSS ライブラリーの両方と互換性があります。RHEL 10 には、mod_ssl 機能用の同名のパッケージが含まれています。mod_ssl パッケージをインストールすると、/etc/httpd/conf.d/ssl.conf 設定ファイルが作成されます。このファイルを使用して、サーバーの TLS 関連の設定を変更できます。

httpd-manual パッケージで、TLS 設定を含む Apache HTTP Server の完全なドキュメントを入手できます。/etc/httpd/conf.d/ssl.conf 設定ファイルで利用可能なディレクティブの詳細は、/usr/share/httpd/manual/mod/mod_ssl.html を参照してください。さまざまな設定の例は、/usr/share/httpd/manual/ssl/ssl_howto.html ファイルに記載されています。

/etc/httpd/conf.d/ssl.conf 設定ファイル内の設定を変更する場合は、少なくとも次の 3 つのディレクティブを考慮してください。

SSLProtocol
このディレクティブを使用して、許可する TLS または SSL のバージョンを指定します。
SSLCipherSuite
優先する暗号化スイートを指定する、もしくは許可しないスイートを無効にするディレクティブです。
SSLHonorCipherOrder
コメントを解除して、このディレクティブを on に設定すると、接続先のクライアントは指定した暗号化の順序に従います。

たとえば、TLS 1.2 および 1.3 プロトコルのみを使用する場合は、設定ファイルに SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 という行を追加します。

詳細は、「Web サーバーとリバースプロキシーのデプロイ」ドキュメントの Apache HTTP Server での TLS 暗号化の設定 の章を参照してください。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る