Red Hat Summit2.3. cn=encryption,cn=config
암호화 관련 속성은 cn=encryption,cn=config 항목 아래에 저장됩니다. cn=encryption,cn=config 항목은 nsslapdEncryptionConfig 오브젝트 클래스의 인스턴스입니다.
2.3.1. allowWeakCipher
이 속성은 약한 암호가 허용되거나 거부되는지 여부를 제어합니다. 기본값은 nsSSL3Ciphers 매개변수에 설정된 값에 따라 다릅니다.
다음과 같은 경우 암호화는 약한 것으로 간주됩니다.
exportable 합니다.
내보내기 가능한 암호는 암호 이름으로
EXPORT로 레이블이 지정됩니다. 예를 들어TLS_RSA_EXPORT_WITH_RC4_40_MD5에서 .이는 대칭이고 3DES 알고리즘보다 약합니다.
대칭 암호는 암호화 및 암호 해독 모두에 동일한 암호화 키를 사용합니다.
- 키 길이는 128비트보다 짧습니다.
이 속성을 변경하려면 서버를 다시 시작해야 합니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 |
의 에서는 |
| 구문 | DirectoryString |
| 예 | allowWeakCipher: |
2.3.2. allowWeakDHParam
Directory Server와 연결된 NSS(네트워크 보안 서비스) 라이브러리에는 최소 2048비트 Diffie-Hellman(DH) 매개변수가 필요합니다. 그러나 Java 1.6 및 1.7 클라이언트와 같은 Directory Server에 연결하는 일부 클라이언트는 1024비트 DH 매개변수만 지원합니다. allowWeakDHParam 매개변수를 사용하면 Directory Server에서 약한 1024비트 DH 매개변수를 지원할 수 있습니다.
이 속성을 변경하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 | off |
| 구문 | DirectoryString |
| 예 | allowWeakDHParam: off |
2.3.3. nsSSL3Ciphers
이 속성은 암호화된 통신 중에 사용하는 TLS 암호화 암호 디렉터리 서버 집합을 지정합니다.
이 매개 변수에 설정된 값은 allowWeakCipher 매개변수의 기본값에 영향을 미칩니다. 자세한 내용은 allowWeakCipher 를 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | NSS에서 지원되는 암호의 쉼표로 구분된 목록입니다. 또한 다음 매개변수를 사용할 수 있습니다. * default: 약한 암호를 제외하고 NSS에서 알리는 기본 암호를 활성화합니다. 자세한 내용은 SSL 연결에 지원되는 암호화 제품군 목록을 참조하십시오.
* +all: 모든 암호가 활성화됩니다. * -all: 모든 암호가 비활성화되어 있습니다. |
| 기본값 | default |
| 구문 | DirectoryString
더하기(
|
| 예 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
2.3.4. nsSSLActivation
이 속성은 지정된 보안 모듈에 TLS 암호화 제품군이 활성화되어 있는지 여부를 보여줍니다.
| 입력 DN | cn=encryptionType,cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsSSL 활성화: on |
2.3.5. nsSSLClientAuth
이 속성은 Directory Server가 클라이언트 인증을 적용하는 방법을 보여줍니다. 다음 값을 허용합니다.
-
off- Directory Server에서 클라이언트 인증을 허용하지 않음 -
허용(기본값) - 디렉터리 서버는 클라이언트 인증을 허용하지만 필수는 아닙니다. -
필수- 모든 클라이언트가 클라이언트 인증을 사용해야 합니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | off | allowed | required |
| 기본값 | 허용됨 |
| 구문 | DirectoryString |
| 예 | nsSSLClientAuth: allowed |
2.3.6. nsSSLEnabledCiphers
Directory Server는 다중 값 nsSSLEnabledCiphers 속성을 자동으로 생성합니다. 속성은 읽기 전용이며 현재 사용하는 암호 디렉터리 서버를 표시합니다. 이 목록은 nsSSL3Ciphers 속성에서 설정한 것과 동일하지 않을 수 있습니다. 예를 들어 nsSSL3Ciphers 속성에 약한 암호를 설정했지만 allowWeakCipher s가 비활성화된 경우 nsSSLEnabledCiphers 속성에 약한 암호가 나열되지도 Directory Server도 사용하지 않습니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=config |
| 유효한 값 | 이 속성의 값은 자동으로 생성되며 읽기 전용입니다. |
| 기본값 | |
| 구문 | DirectoryString |
| 예 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
2.3.7. nsSSLPersonalitySSL
이 속성에는 SSL에 사용할 인증서 이름이 포함되어 있습니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | 인증서 닉네임 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제: | nsSSLPersonalitySSL: Server-Cert |
2.3.8. nsSSLSessionTimeout
이 속성은 TLS 연결의 수명 기간을 설정합니다. 최소 시간 제한 값은 5 초입니다. 더 작은 값이 설정되면 자동으로 5 초로 대체됩니다. 아래 유효한 범위의 최대값보다 큰 값은 범위의 최대값으로 교체됩니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 범위 | 5초에서 24시간 |
| 기본값 | 0은 위의 유효한 범위에서 최대값을 사용한다는 것을 의미합니다. |
| 구문 | 정수 |
| 예 | nsSSLSessionTimeout: 5 |
2.3.9. nsSSLSupportedCiphers
이 속성에는 서버에 지원되는 암호가 포함되어 있습니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | 특정 제품군, 암호 및 강도 문자열 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제: | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
2.3.10. nsSSLToken
이 속성에는 서버에서 사용하는 토큰(보안 모듈)의 이름이 포함되어 있습니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | 모듈 이름 |
| 기본값 | |
| 구문 | DirectoryString |
| 예제: | nsSSLToken: internal(소프트웨어) |
2.3.11. nsTLS1
TLS 버전 1을 활성화합니다. TLS와 함께 사용되는 암호는 nsSSL3Ciphers 특성에 정의됩니다.
sslVersionMin 및 sslVersionMax 매개변수가 nsTLS1 과 함께 설정된 경우 Directory Server는 이러한 매개변수에서 가장 안전한 설정을 선택합니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsTLS1: on |
2.3.12. nsTLSAllowClientRenegotiation
Directory Server는 SSL_ ENABLE_RENGOTIATION 옵션과 함께 네트워크 보안 서비스(NSS) 기능을 사용하여 NSS의 TLS 재협상 동작을 제어합니다.
SSL_ OptionSet()
nsTLSAllowClientRenegotiation 속성은 Directory Server가 SSL_ENABLE_ RENGOTIATION 옵션에 전달하는 값을 제어합니다.
-
nsTLSAllowClientRenegotiation:을 설정하는 경우 Directory Server는SSL_RENEGOTIATE_REQUIRES_XTN을SSL_ENABLE_RENGOTIATION 옵션으로 전달합니다. 이 경우 NSS는 RFC 5746 을 사용하여 보안 재협상 시도를 허용합니다. -
nsTLSAllowClientRenegotiation: off를 설정하면 Directory Server는SSL_RENGOTIATE_NEVER를SSL_ENABLE_RENGOTIATION 옵션으로 전달합니다. 이 경우 NSS는 모든 재협상 시도를 거부하며 보안 시도도 거부합니다.
NSS TLS 재협상 동작에 대한 자세한 내용은 TLS 재협상 MITM 공격 (CVE-2009-3555)의 영향을 받는 Is Red Hat의 NSS(Network Security Services) 의 RFC 5746 구현 섹션을 참조하십시오.
이 속성을 변경하려면 서비스를 다시 시작해야 합니다.
| 매개변수 | 설명 |
|---|---|
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 | On | off |
| 기본값 | On |
| 구문 | DirectoryString |
| 예 | nsTLSAllowClientRenegotiation: on |
2.3.13. sslVersionMax
사용할 TLS 프로토콜의 최대 버전을 설정합니다. 기본적으로 이 값은 시스템에 설치된 NSS 라이브러리에서 사용 가능한 최신 프로토콜 버전으로 설정됩니다.
이 속성의 변경 사항을 적용하려면 서버를 다시 시작해야 합니다.
sslVersionMin 및 sslVersionMax 매개변수가 nsTLS1 과 함께 설정된 경우 Directory Server는 이러한 매개변수에서 가장 안전한 설정을 선택합니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 |
|
| 기본값 | 시스템에 설치된 NSS 라이브러리에서 최신 프로토콜 버전 |
| 구문 | DirectoryString |
| 예제: | sslVersionMax: TLS1.2 |
2.3.14. sslVersionMin
sslVersionMin 매개변수는 TLS 프로토콜 디렉터리 서버의 최소 버전을 설정합니다. 그러나 기본적으로 Directory Server는 시스템 전체 암호화 정책에 따라 이 매개변수를 자동으로 설정합니다. /etc/crypto-policies/config 파일에서 crypto 정책 프로필을 다음과 같이 설정하는 경우:
-
DEFAULT,FUTURE또는FIPS, Directory Server는sslVersionMin을TLS1.2로 설정합니다. -
LEGACY, Directory Server는sslVersionMin을TLS1.0으로 설정합니다.
또는 sslVersionMin 을 crypto 정책에 정의된 값보다 높은 값으로 수동으로 설정할 수 있습니다.
이 속성을 변경하려면 서비스를 다시 시작해야 합니다.
| 입력 DN | cn=encryption,cn=config |
| 유효한 값 |
|
| 기본값 | 설정한 시스템 전체 암호화 정책 프로필에 따라 다릅니다. |
| 구문 | DirectoryString |
| 예제: | sslVersionMin: TLS1.2 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}