Enterprise Server Common Web Administration サービスを実行するサーバーのプロトコル、エンドポイント、および TLS 設定を構成できます。
- [Protocol]
- エンドポイントへの接続に使用されるプロトコル。
- [Hostname or IP Address]
- 着信クライアント要求を受け取るためにリスナーで使用するホスト名または IP アドレス。IP アドレスは IPv4 または IPv6 のいずれかになります。
注: このフィールドを変更した場合は、
ESCWA サービスを再起動する必要があります。
0.0.0.0 を指定すると、使用可能なすべての IPv4 アドレスにバインドされます。:: を指定すると、使用可能なすべての IPv6 アドレスにバインドされます。* を指定すると、使用可能なすべての IPv4 アドレスおよび IPv6 アドレスにバインドされます。
- [Port]
- 有効なポートまたはアスタリスク (*) を指定する必要があります。アスタリスクは、リスナーの開始時にアドレスが動的に割り当てられることを示します。
- [Enable TLS]
- ESCWA サーバーにトランスポート層セキュリティ (TLS) があるかどうかを示します。これにより、クライアントと ESCWA の間の通信が保護されます。
- [Certificate File]
- 証明書のディスク上の場所。複数の証明書を使用する場合は、パスをセミコロン「;」で区切ります。
- [Keyfile]
- キー ファイルのディスク上の場所。複数のキー ファイルを使用する場合は、パスをセミコロン「;」で区切ります。
- [Keyfile Password]
- キー ファイルのパスワードを指定します。複数のキー ファイルを使用する場合は、パスワードを 4 つのコロン「::::」で区切ります。
[Advanced]
- [Certificate Password]
- 証明書がパスワードでロックされている場合にパスワードを指定します。複数の証明書を使用する場合は、証明書を 2 つのコロン「::」で区切ります。
- [Client Authentication]
-
- [Accept all clients]
- すべてのクライアントに SSL 証明書のチェックなしでサーバーとの通信を許可します。
- [Request client certificate, and verify if present]
- クライアントに証明書を要求し、返された証明書を確認します。クライアントから証明書が返されない場合、クライアントとサーバーの間の通信は継続されます。証明書が返されて確認に失敗した場合は、通信が停止します。
注: これを選択した場合は、CA ルート証明書ファイルを指定する必要があります。
- [Require client certificate, and verify]
- クライアント証明書およびその確認を必須にします。これにより、信頼されたクライアントだけが許可されるようになります。証明書が返されないか確認できない場合は、クライアントとサーバーの間の通信が停止します。
注: これを選択した場合は、CA ルート証明書ファイルを指定する必要があります。
- [Client CA Root Certificates File]
- クライアントに証明書を要求する場合、このファイルに信頼されたルート証明書が含まれている必要があります。
注: Enterprise Developer でサポートされている証明書ファイルの形式は、DER、CER、PKCS #7、PKCS #8、PKCS #12、および PEM です。サポートされているキー ファイルの形式は、PKCS #8、PKCS #12、および
PEM です。
- [Honor Server Cipher List]
- デフォルトでは、[TLS honor server cipher list] がオンになっています。これにより、優先度順に指定したプロトコルおよび暗号スイートがクライアントで使用されます。
注: [TLS protocols] および [Cipher suites] のリストが指定されていない場合は、デフォルトの設定が使用されます。詳細については、「TLS プロトコル リストの構成」および「暗号スイート リストの構成」を参照してください。
- [Protocols]
- 使用する TLS プロトコルの優先度順のリスト。指定した各プロトコルの前に次のいずれかの演算子を付けます。
- !
- 除外。プロトコルを永続的に除外し、以降に追加が試行されても無視します。
- +
- 追加。既存のコレクションにプロトコルを追加します。
- -
- 削除。既存のコレクションからプロトコルを削除します。
たとえば、TLS1.1 および TLS1.2 だけを使用するには、-ALL+TLS1.1+TLS1.2 と入力します。
注: 現在は [Protocols] フィールドで TLS1.3 がサポートされます。
- [Cipher Suites]
- 使用する暗号スイートの優先度を指定します。暗号スイートの優先度は、スペースで区切られた文字列のキーワードおよびキーワード修飾子の組み合わせを使用して形成されます。
- !
- 除外。暗号スイートを永続的に除外し、以降に追加が試行されても無視します。
- +
- 追加。コレクションの末尾に暗号スイートを追加します。
- -
- 削除。既存のコレクションから暗号スイートを削除します。
デフォルトでは、次の暗号スイート リストが使用されます。kEECDH+ECDSA kEECDH kEDH HIGH MEDIUM +3DES +SHA !RC4 !aNULL !eNULL !LOW !MD5 !EXP
使用している OpenSSL のバージョンでサポートされる暗号スイートを確認するには、コマンド プロンプトで次のように入力します。openssl ciphers -v 'ALL:COMPLEMENTOFALL'
- [TLS1.3 Cipher Suites]
- TLS1.3 で使用する暗号スイートをコロン「:」で区切ったリスト。次に例を示します。
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
- [Diffie-Hellman Minimum Group Size]
- Diffie-Hellman グループのモジュラス長のサイズをビット単位で指定します。
- [Default]
- [512 bit]
- [1024 bit]
- [2048 bit]
- [4096 bit]
注: Micro Focus では、最小モジュラス サイズとして 2048 ビットを推奨しています。
- [Key Exchange Cipher Groups]
- 使用するキー交換暗号グループをセミコロン「;」で区切ったリスト。次に例を示します。
secp521r1;secp384r1;prime256v1;secp256k1;secp224r1;secp224k1;prime192v1
- [TLS1.3 Middlebox Compatibility]
- 互換性のないミドルボックス (ルーターやファイアウォールなど) を含むネットワークで TLS1.3 の回避策を有効にします。これを無効にすると、互換性のあるネットワークではパフォーマンスが向上しますが、互換性のないネットワークでは接続が切断される可能性があります。
- [.NET Admin Host]
- ESCWA が通信する ES for .NET のエンドポイント。ES for .NET Admin Server を指している必要があります。このエンドポイントで、マネージ リージョンを管理、監視、および制御します。
- [External Communications Response Timeout]
- タイムアウトするまでに、ESCWA が外部通信の応答を待機する時間 (秒単位) を指定します。このタイムアウトは、通信プロセス、Web サービス、J2EE リスナー、ES for .NET、および MFA との通信に使用されます。実際のタイムアウトは、指定よりも数秒長くなる場合があります。