9.2. TLS セキュリティープロファイルの詳細表示
Ingress コントローラーおよびコントロールプレーンコンポーネントごとに事前定義された TLS セキュリティープロファイルの最小 TLS バージョンおよび暗号を表示できます。
重要
プロファイルの最小 TLS バージョンと暗号の一覧は、コンポーネントによって異なる場合があります。
手順
特定の TLS セキュリティープロファイルの詳細を表示します。
$ oc explain <component>.spec.tlsSecurityProfile.<profile> 1
- 1
<component>
には、ingresscontroller
またはapiserver
を指定します。<profile>
には、old
、intermediate
またはcustom
を指定します。
たとえば、コントロールプレーンの
intermediate
プロファイルに含まれる暗号を確認するには、以下を実行します。$ oc explain apiserver.spec.tlsSecurityProfile.intermediate
出力例
KIND: APIServer VERSION: config.openshift.io/v1 DESCRIPTION: intermediate is a TLS security profile based on: https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29 and looks like this (yaml): ciphers: - TLS_AES_128_GCM_SHA256 - TLS_AES_256_GCM_SHA384 - TLS_CHACHA20_POLY1305_SHA256 - ECDHE-ECDSA-AES128-GCM-SHA256 - ECDHE-RSA-AES128-GCM-SHA256 - ECDHE-ECDSA-AES256-GCM-SHA384 - ECDHE-RSA-AES256-GCM-SHA384 - ECDHE-ECDSA-CHACHA20-POLY1305 - ECDHE-RSA-CHACHA20-POLY1305 - DHE-RSA-AES128-GCM-SHA256 - DHE-RSA-AES256-GCM-SHA384 minTLSVersion: TLSv1.2
コンポーネントの
tlsSecurityProfile
フィールドの詳細をすべて表示します。$ oc explain <component>.spec.tlsSecurityProfile 1
- 1
<component>
には、ingresscontroller
またはapiserver
を指定します。
たとえば、Ingress コントローラーの
tlsSecurityProfile
フィールドの詳細をすべて確認するには、以下を実行します。$ oc explain ingresscontroller.spec.tlsSecurityProfile
出力例
KIND: IngressController VERSION: operator.openshift.io/v1 RESOURCE: tlsSecurityProfile <Object> DESCRIPTION: ... FIELDS: custom <> custom is a user-defined TLS security profile. Be extremely careful using a custom profile as invalid configurations can be catastrophic. An example custom profile looks like this: ciphers: - ECDHE-ECDSA-CHACHA20-POLY1305 - ECDHE-RSA-CHACHA20-POLY1305 - ECDHE-RSA-AES128-GCM-SHA256 - ECDHE-ECDSA-AES128-GCM-SHA256 minTLSVersion: TLSv1.1 intermediate <> intermediate is a TLS security profile based on: https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29 and looks like this (yaml): ... 1 modern <> modern is a TLS security profile based on: https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility and looks like this (yaml): ... 2 NOTE: Currently unsupported. old <> old is a TLS security profile based on: https://wiki.mozilla.org/Security/Server_Side_TLS#Old_backward_compatibility and looks like this (yaml): ... 3 type <string> ...