ADC
ご意見をお寄せいただきありがとうございました

この記事は機械翻訳されています.免責事項

安全なフロントエンド・プロファイル

デフォルトのフロントエンドとデフォルトのバックエンド・プロファイルの他に、リリース12.1から新しいデフォルトのセキュア・フロントエンド・プロファイルを使用できます。Qualys SSL Labs の A+ レーティング(2018 年 5 月現在)に必要な設定は、このプロファイルにプリロードされています。以前は、SSL フロントエンドプロファイルまたは SSL 仮想サーバーの A+ 評価に必要な各パラメータを明示的に設定する必要がありました。これで、ns_default_ssl_profile_secure_frontend プロファイルを SSL 仮想サーバーにバインドでき、必要なパラメーターが SSL 仮想サーバーに自動的に設定されます。

注:

セキュアフロントエンドプロファイルは編集できません。

既定のプロファイルを有効にすると、既定のフロントエンドプロファイルがすべての SSL 仮想サーバーに自動的にバインドされます。A+ 評価を取得するには、ns_default_ssl_profile_secure_フロントエンドプロファイルを明示的にバインドし、SHA2/SHA256 サーバー証明書を SSL 仮想サーバーにバインドする必要があります。

セキュアなフロントエンド・プロファイル・パラメータ

デフォルト設定のパラメーターは次のとおりです。

SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Deny SSL Renegotiation: NONSECURE HSTS: ENABLED HSTS IncludeSubDomains: YES HSTS Max-Age: 15552000 Cipher Name: SECURE Priority :1

安全な暗号エイリアス

新しいセキュア暗号エイリアスが追加され、セキュアフロントエンドプロファイルにバインドされます。このエイリアスの一部である暗号を一覧表示するには、コマンドプロンプトで「show cipher SECURE」と入力します。

show cipher SECURE 1) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 1 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030 2) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 2 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f 3) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 Priority : 3 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c 4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority : 4 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b Done

構成

次の手順を実行します。

  1. SSL タイプの負荷分散仮想サーバーを追加します。
  2. SHA2/SHA256 証明書をバインドします。
  3. デフォルトプロファイルを有効にします。
  4. セキュリティで保護されたフロントエンドプロファイルを SSL 仮想サーバーにバインドします。

CLI を使用して SSL 仮想サーバーの A+ 評価を取得する

コマンドプロンプトで入力します。

add lb vserver <name> <serviceType> <IPAddress> <port> bind ssl vserver <vServerName> -certkeyName <string> set ssl parameter -defaultProfile ENABLED set ssl vserver <vServerName> -sslProfile ns_default_ssl_profile_secure_frontend show ssl vserver [<vServerName>]

例:

add lb vserver ssl-vsvr SSL 192.0.2.240 443 bind ssl vserver ssl-vsvr -certkeyName letrsa set ssl parameter -defaultProfile ENABLED Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]y set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend
sh ssl vserver ssl-vsvr Advanced SSL configuration for VServer ssl-vsvr: Profile Name :ns_default_ssl_profile_secure_frontend 1) CertKey Name: letrsa Server Certificate Done
sh ssl profile ns_default_ssl_profile_secure_frontend 1) Name: ns_default_ssl_profile_secure_frontend (Front-End) SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Client Auth: DISABLED Use only bound CA certificates: DISABLED Strict CA checks: NO Session Reuse: ENABLED Timeout: 120 seconds DH: DISABLED DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Deny SSL Renegotiation NONSECURE Non FIPS Ciphers: DISABLED Cipher Redirect: DISABLED SSL Redirect: DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 Push Encryption Trigger: Always PUSH encryption trigger timeout: 1 ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header check for SNI enabled SSL sessions: NO Push flag: 0x0 (Auto) SSL quantum size: 8 kB Encryption trigger timeout 100 mS Encryption trigger packet count: 45 Subject/Issuer Name Insertion Format: Unicode SSL Interception: DISABLED SSL Interception OCSP Check: ENABLED SSL Interception End to End Renegotiation: ENABLED SSL Interception Maximum Reuse Sessions per Server: 10 Session Ticket: DISABLED HSTS: ENABLED HSTS IncludeSubDomains: YES HSTS Max-Age: 15552000 ECC Curve: P_256, P_384, P_224, P_521 1) Cipher Name: SECURE Priority :1 Description: Predefined Cipher Alias 1) Vserver Name: v2 Done

GUI を使用して SSL 仮想サーバーの A+ 評価を取得する

  1. Traffic Management > Load Balancing > Virtual Serversに移動してSSL仮想サーバーを選択します。
  2. Advanced SettingsでSSL Profileをクリックします。
  3. デフォルト_ssl_プロファイル_セキュリティ_フロントエンドを選択します。
  4. [OK] をクリックします。
  5. [完了] をクリックします。
このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。
安全なフロントエンド・プロファイル