Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

7.2. TLS セキュリティープロファイルの設定

Transport Layer Security (TLS) プロトコルを使用して、既知の安全でないプロトコル、暗号、またはアルゴリズムが MicroShift で実行するアプリケーションにアクセスするのを阻止します。

7.2.1. MicroShift で TLS を使用する
リンクのコピー

Transport Layer Security (TLS) プロファイルは、サーバーに接続するときにクライアントが使用できる暗号をサーバーが制御する方法を提供します。TLS を使用することで、MicroShift アプリケーションが、既知の安全でないプロトコル、暗号、またはアルゴリズムを許可しない暗号ライブラリーを使用するようにできます。MicroShift では、TLS 1.2 または TLS 1.3 セキュリティープロファイルのいずれかを使用できます。

MicroShift API サーバー暗号スイートは、次の内部コントロールプレーンコンポーネントに自動的に適用されます。

  • API サーバー
  • Kubelet
  • Kube controller manager
  • Kube scheduler
  • etcd
  • ルートコントローラーマネージャー

API サーバーは、設定された最小 TLS バージョンと関連付けられた暗号スイートを使用します。暗号スイートパラメーターを空のままにすると、設定された最小バージョンのデフォルトが自動的に使用されます。

TLS 1.2 のデフォルトの暗号スイート

次のリストは、TLS 1.2 のデフォルトの暗号スイートを指定します。

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS 1.3 のデフォルトの暗号スイート

次のリストは、TLS 1.3 のデフォルトの暗号スイートを指定します。

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

7.2.2. MicroShift の TLS の設定
リンクのコピー

システム強化のために、MicroShift では TLS 1.2 または TLS 1.3 セキュリティープロファイルのいずれかを使用するように選択できます。

前提条件

  • root ユーザーとしてクラスターにアクセスできる。
  • MicroShift がまだ初めて起動されていないか、停止している。
  • OpenShift CLI (oc) がインストールされている。
  • 認証局がカスタム証明書 (CA) を発行している。

手順

  1. 指定されている config.yaml.default ファイルのコピーを /etc/microshift/ ディレクトリーに作成し、名前を config.yaml に変更します。

  2. 新しい MicroShift の config.yaml/etc/microshift/ ディレクトリーに保持します。config.yaml ファイルは、MicroShift サービスが起動するたびに読み取られます。

    注記

    これを作成すると、config.yaml ファイルは組み込み設定よりも優先されます。

  3. オプション: 既存の MicroShift YAML を使用している場合は、設定スニペットを使用します。詳細は、関連情報セクションの「設定スニペットの使用」を参照してください。

  4. MicroShift YAML の tls セクションのデフォルト値を、有効な値に置き換えます。

    TLS 1.2 設定の例

    apiServer:
# ...
  tls:
    cipherSuites:
    1 
    
    - <cipher_suite_1>
    2 
    
    - ...
    minVersion: VersionTLS12
    3 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    設定された minVersion のスイートがデフォルトになります。minVersion が設定されていない場合、デフォルト値は TLS 1.2 になります。
    2
    サポートされている暗号スイートのリストから、使用する暗号スイートを指定します。このリストを設定しない場合は、サポートされているすべての暗号スイートが使用されます。API サーバーに接続するすべてのクライアントは、設定された暗号スイートをサポートする必要があります。そうしないと、TLS ハンドシェイクフェーズ中に接続が失敗します。CA 証明書バンドルを、TLS クライアントまたはサーバーが信頼する CA 証明書のリストに必ず追加してください。
    3
    VersionTLS12 または VersionTLS13 を指定します。
    重要

    最小 TLS バージョンとして TLS 1.3 を選択した場合、デフォルトの MicroShift 暗号スイートのみを使用できます。追加の暗号スイートは設定できません。TLS 1.3 で使用する他の暗号スイートが設定されている場合、それらのスイートは無視され、MicroShift のデフォルトによって上書きされます。

  5. 必要なその他の追加設定を完了したら、次のコマンドを実行して MicroShift を再起動します。 

    $ sudo systemctl restart microshift
    Copy to Clipboard Toggle word wrap

7.2.2.1. デフォルトの暗号スイート
リンクのコピー

MicroShift には、TLS 1.2 と TLS 1.3 の両方のデフォルトの暗号スイートが含まれています。TLS 1.3 の暗号スイートはカスタマイズできません。

TLS 1.2 のデフォルトの暗号スイート

次のリストは、TLS 1.2 のデフォルトの暗号スイートを指定します。

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS 1.3 のデフォルトの暗号スイート

次のリストは、TLS 1.3 のデフォルトの暗号スイートを指定します。

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat