安全なフロントエンドプロファイル
デフォルトのフロントエンドとデフォルトのバックエンド・プロファイルに加えて、新しいデフォルトのセキュア・フロントエンド・プロファイルがリリース12.1から利用できるようになりました。Qualys SSL Labs の A+ 評価 (2018 年 5 月現在) に必要な設定は、このプロファイルにプリロードされています。以前は、SSL フロントエンドプロファイルまたは SSL 仮想サーバーで A+ 評価に必要な各パラメーターを明示的に設定する必要がありました。これで ns_default_ssl_profile_secure_frontend プロファイルを SSL 仮想サーバーにバインドでき、必要なパラメーターが SSL 仮想サーバーに自動的に設定されます。
注:
セキュアフロントエンドプロファイルは編集できません。
デフォルトプロファイルを有効にすると、デフォルトのフロントエンドプロファイルは自動的にすべてのSSL仮想サーバーにバインドされます。A+ 評価を取得するには、ns_default_ssl_profile_secure_frontend プロファイルを明示的にバインドする必要があります。また、SHA2/SHA256 サーバー証明書を SSL 仮想サーバーにバインドする必要があります。
安全なフロントエンドプロファイルパラメータ
パラメータとそのデフォルト設定は次のとおりです。
SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Deny SSL Renegotiation: NONSECURE
HSTS: ENABLED
HSTS IncludeSubDomains: YES
HSTS Max-Age: 15552000
Cipher Name: SECURE Priority :1
<!--NeedCopy-->
安全な暗号エイリアス
新しいセキュア暗号エイリアスが追加され、セキュアフロントエンドプロファイルにバインドされます。このエイリアスに含まれる暗号を一覧表示するには、コマンドプロンプトで show cipher SECURE と入力します。
show cipher SECURE
1) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 1
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030
2) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 2
Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f
3) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 Priority : 3
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c
4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority : 4
Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b
Done
<!--NeedCopy-->
構成
次の手順を実行します:
- SSL タイプの負荷分散仮想サーバーを追加します。
- SHA2/SHA256 証明書をバインドします。
- デフォルトプロファイルを有効にします。
- セキュアフロントエンドプロファイルを SSL 仮想サーバーにバインドします。
CLI を使用して SSL 仮想サーバーの A+ 評価を取得する
コマンドプロンプトで入力します。
add lb vserver <name> <serviceType> <IPAddress> <port>
bind ssl vserver <vServerName> -certkeyName <string>
set ssl parameter -defaultProfile ENABLED
set ssl vserver <vServerName> -sslProfile ns_default_ssl_profile_secure_frontend
show ssl vserver [<vServerName>]
<!--NeedCopy-->
例:
add lb vserver ssl-vsvr SSL 192.0.2.240 443
bind ssl vserver ssl-vsvr -certkeyName letrsa
set ssl parameter -defaultProfile ENABLED
Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]y
set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend
<!--NeedCopy-->
sh ssl vserver ssl-vsvr
Advanced SSL configuration for VServer ssl-vsvr:
Profile Name :ns_default_ssl_profile_secure_frontend
1) CertKey Name: letrsa Server Certificate
Done
<!--NeedCopy-->
sh ssl profile ns_default_ssl_profile_secure_frontend
1) Name: ns_default_ssl_profile_secure_frontend (Front-End)
SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation NONSECURE
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: DISABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED
HSTS: ENABLED
HSTS IncludeSubDomains: YES
HSTS Max-Age: 15552000
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: SECURE Priority :1
Description: Predefined Cipher Alias
1) Vserver Name: v2
Done
<!--NeedCopy-->
GUI を使用して SSL 仮想サーバーの A+ 評価を取得
- [ トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、SSL 仮想サーバーを選択します。
- [ 詳細設定]で [ SSL プロファイル] をクリックします。
- ns_default_ssl_profile_secure_frontend を選択します。
- 「 OK」をクリックします。
- [完了] をクリックします。