3.7.3. 特定のアプリケーションの設定
アプリケーションによって
TLS の独自の設定メカニズムが提供されます。本セクションでは、最も一般的に使用されるサーバーアプリケーションが使用する TLS関連の設定ファイルを説明し、一般的な設定の例を説明します。
いずれの設定を選択しても、サーバーアプリケーションが強制的に サーバー側が指定した順序 で暗号を利用することを確認し、使用される暗号化スイートの選択がサーバでの設定順に行われるように設定してください。
3.7.3.1. Apache HTTP サーバーの設定
Apache HTTP Server は、
TLS のニーズに OpenSSL ライブラリーと NSS ライブラリーの両方を使用できます。TLS ライブラリーの選択に応じて、mod_ssl モジュールまたは mod_ nss モジュール(詳細なパッケージで提供される)をインストールする必要があります。たとえば、OpenSSL mod_ssl モジュールを提供するパッケージをインストールするには、root で以下のコマンドを実行します。
~]# yum install mod_ssl
mod_ssl パッケージは、
/etc/httpd/conf.d/ssl.conf 設定ファイルをインストールします。このファイルは、Apache HTTP Server の TLS関連の設定を変更するために使用できます。同様に、mod_nss パッケージは /etc/httpd/conf.d/nss.conf 設定ファイルをインストールします。
httpd-manual パッケージをインストールして、
TLS 設定を含む Apache HTTP Server の完全なドキュメントを取得します。/etc/httpd/conf.d/ssl.conf 設定ファイルで利用可能なディレクティブは、で詳細に説明されてい /usr/share/httpd/manual/mod/mod_ssl.html ます。各種設定の例は、にあり /usr/share/httpd/manual/ssl/ssl_howto.html ます。
設定
/etc/httpd/conf.d/ssl.conf ファイルの設定を修正する場合は、少なくとも以下の 3 つのディレクティブを確認してください。
-
SSLProtocol - このディレクティブを使用して、許可する
TLS(またはSSL)のバージョンを指定します。 -
SSLCipherSuite - 優先する暗号化スイートを指定する、もしくは許可しないスイートを無効にするディレクティブです。
-
SSLHonorCipherOrder - コメントを解除して、このディレクティブを
onに設定して、接続先のクライアントが指定した暗号の順序に従います。
以下に例を示します。
SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:!aNULL:!MD5 SSLHonorCipherOrder on
上記の設定は最小で、で説明されている推奨事項に従って大幅に強化でき 「有効にするアルゴリズムの選択」 ます。
mod_nss モジュールを設定して使用するには、
/etc/httpd/conf.d/nss.conf 設定ファイルを変更します。mod_nss モジュールは mod_ssl から派生するものであるため、設定ファイルの構造や利用可能なディレクティブなど、多くの機能を共有するためです。mod_nss ディレクティブには、では NSS なくの接頭辞が指定されてい SSLます。mod_nss に 適用できない mod_ ssl 設定ディレクティブのリストなど、mod_ nss に関する情報は https://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.html を参照してください。
