79.8. Apache HTTP 서버에서 지원되는 TLS 프로토콜 버전 설정
기본적으로 RHEL의 Apache HTTP Server는 최신 브라우저와 호환되는 안전한 기본값을 정의하는 시스템 전체 암호화 정책을 사용합니다. 예를 들어 DEFAULT
정책은 TLSv1.2 및
프로토콜 버전만 apache에서 사용하도록 정의합니다.
TLSv
1.3
my_company.idm.example.com Apache HTTP Server에서 지원하는 TLS 프로토콜 버전을 수동으로 구성할 수 있습니다. 환경에서 특정 TLS 프로토콜 버전만 활성화해야 하는 경우 절차를 따릅니다. 예를 들면 다음과 같습니다.
-
환경에서 클라이언트가 취약한
TLS1(TLSv1.0) 또는 TLS
1.1
프로토콜을 사용할 수 있어야 하는 경우. -
Apache가
TLSv1.2 또는
프로토콜만 지원하도록 구성하려는 경우.TLSv
1.3
사전 요구 사항
절차
/etc/httpd/conf/httpd.conf
파일을 편집하고 TLS 프로토콜 버전을 설정하려는<VirtualHost>
지시문에 다음 설정을 추가합니다. 예를 들어TLSv1.3
프로토콜만 활성화하려면 다음을 수행합니다.SSLProtocol -All TLSv1.3
httpd
서비스를 다시 시작하십시오.# systemctl restart httpd
검증 단계
다음 명령을 사용하여 서버가
TLSv1.3
을 지원하는지 확인합니다.# openssl s_client -connect example.com:443 -tls1_3
다음 명령을 사용하여 서버가
TLSv1.2
를 지원하지 않는지 확인합니다.# openssl s_client -connect example.com:443 -tls1_2
서버가 프로토콜을 지원하지 않으면 명령에서 오류를 반환합니다.
140111600609088:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1543:SSL alert number 70
- 선택 사항: 다른 TLS 프로토콜 버전에 대해 명령을 반복합니다.
추가 리소스
-
update-crypto-policies(8)
도움말 페이지 - 시스템 전체 암호화 정책 사용.
-
SSLProtocol
매개변수에 대한 자세한 내용은 Apache 설명서의mod_ssl
설명서를 참조하십시오. Apache HTTP 서버 설명서 설치.