このページを使用して、暗号化やオンライン エンティティの認証のオプションを設定します。
- [Accept all clients]
- クリックすると、すべてのクライアントに SSL 証明書のチェックなしでサーバーとの通信が許可されます。
- [Request client certificate, and verify if present]
- クリックすると、クライアントに証明書が要求され、返された証明書が確認されるようになります。クライアントから証明書が返されない場合、クライアントおよびサーバーの間の通信は継続されます。証明書が返されて確認に失敗した場合は、通信が停止します。
これをオンにした場合は、以下の CA ルート証明書ファイルを指定する必要があります。
- [Require client certificate and verify]
- クリックすると、クライアント証明書およびその確認が必須になります。これにより、信頼されたクライアントだけが許可されるようになります。証明書が返されないか確認できない場合は、クライアントおよびサーバーの間の通信が停止します。
これをオンにした場合は、以下の CA ルート証明書ファイルを指定する必要があります。
- [CA root certificates file]
- このフィールドは、クライアント証明書を要求または必須にする場合は必須です。
信頼するルート CA の証明書を含むファイルのパスおよびファイル名を指定します。このファイルには、クライアントの証明書に署名した CA の CA ルート証明書が含まれている必要があります。たとえば、demoCA 環境の場合は、クライアント システムの DemoCA 領域の private ディレクトリにある CARootcert.pem になります。
注: Enterprise Developer でサポートされている証明書ファイルの形式は、DER、CER、PKCS #7、PKCS #8、PKCS #12、および PEM です。サポートされているキー ファイルの形式は、PKCS #8、PKCS #12、および PEM です。
- [TLS honor server cipher list]
- デフォルトでは、[TLS honor server cipher list] がオンになっています。これにより、優先度順に指定したプロトコルおよび暗号スイートがクライアントで使用されます。
注: [
TLS protocols] および [
Cipher suites] のリストが指定されていない場合は、デフォルトの設定が使用されます。詳細については、「
TLS プロトコル リストの構成」および「
暗号スイート リストの構成」を参照してください。
- [TLS protocols]
- 使用する TLS プロトコルのリストを優先する順に指定します。
有効なプロトコルは、SSL2、SSL3、TLS1、TLS1.1、TLS1.2、TLS1.3、および TLS1.4 です。TLS1.4 は、将来のバージョンのサポート用のプレースホルダーです。デフォルトでは、TLS プロトコルのみが有効になります。指定した各プロトコルの前に次のいずれかの演算子を付けます。
- !
- 除外。プロトコルを永続的に除外し、以降に追加が試行されても無視します。
- +
- 追加。既存のコレクションにプロトコルを追加します。
- –
- 削除。既存のコレクションからプロトコルを削除します。
注: 特別なオプションである ALL を使用すると、サポートされているすべてのプロトコルを指定できます。-ALL を使用してデフォルトのオプションのリストを空にし、その後に必要な新しいオプションを指定できます。
たとえば、TLS1.1 および TLS1.2 だけを使用するには次のように入力します。
-ALL+TLS1.1+TLS1.2
- [Cipher suites]
- 使用する暗号スイートの優先順位を指定します。
暗号スイートの優先順位は、スペースで区切られた文字列のキーワードおよびキーワード修飾子の組み合わせを使用して形成されます。
- !
- 除外。暗号スイートを永続的に除外し、以降に追加が試行されても無視します。
- +
- 追加。コレクションの末尾に暗号スイートを追加します。
- –
- 削除。既存のコレクションから暗号スイートを削除します。
デフォルトでは、次の暗号スイート リストが使用されます。
kEECDH+ECDSA kEECDH kEDH HIGH MEDIUM +3DES +SHA !RC4 !aNULL !eNULL !LOW !MD5 !EXP
使用している OpenSSL のバージョンでサポートされる暗号スイートを確認するには、コマンド プロンプトで次のように入力します。
openssl ciphers -v 'ALL:COMPLEMENTOFALL'
- [DH minimum group size]
- Diffie-Hellman グループのモジュラス長のサイズをビット単位で指定します。
注: Micro Focus では、最小モジュラス サイズとして 2048 ビットを推奨しています。
- [Key Exchange Cipher Groups]
- 使用する楕円曲線暗号 (ECC) 曲線コレクションを指定します。デフォルトでは、使用されるコレクションは次のとおりです。
secp521r1;secp384r1;prime256v1;secp256k1;secp224r1;secp224k1;prime192v1
詳細については、製品ヘルプの「暗号スイート リストの構成」を参照してください。
暗号スイートの構成の詳細については、ここをクリックして OpenSSL のドキュメントを参照してください。