リスナー管理者SSL
目次
プロトコルバージョン | 暗号 | ECDH鍵交換を有効にする | DHキー交換を有効にする | DHパラメータ
SSL再交渉保護 | セッションキャッシュを有効にする | セッションチケットを有効にする | SPDY/HTTP2を有効にする | Allow QUIC
SSL秘密鍵と証明書⇑
説明
すべてのSSLリスナーには、ペアのSSL秘密鍵とSSL証明書が必要です。 複数のSSLリスナーは、同じ鍵と証明書を共有できます。
OpenSSLなどのSSLソフトウェアパッケージを使用して、SSL秘密鍵を自分で生成することができます。 SSL証明書は、VeriSignやThawteのような認可された証明書の発行者から購入することもできます。 自分で証明書に署名することもできます。 自己署名証明書はWebブラウザから信頼されないため、重要なデータを含む公開Webサイトでは使用しないでください。 ただし、自己署名証明書は内部使用に十分適しており、 例えば LiteSpeed WebサーバーのWebAdminコンソールへのトラフィックを暗号化します。
秘密鍵ファイル⇑
説明
SSL秘密鍵ファイルのファイル名。キーファイルは暗号化しないでください。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
ヒント
[セキュリティ]秘密鍵ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にするセキュリティ保護されたディレクトリに配置する必要があります。
証明書ファイル⇑
説明
SSL証明書ファイルのファイル名。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
ヒント
[セキュリティ]証明書ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にする安全なディレクトリに配置する必要があります。
チェーン証明書⇑
説明
証明書がチェーン証明書であるかどうかを指定します。 チェーン証明を格納するファイルは、PEM形式でなければならず、証明書は最下位レベル(実際のクライアントまたはサーバー証明書)から最上位(ルート)CAまでの連鎖の順序でなければなりません。
構文
ラジオボックスから選択
CA証明書パス⇑
説明
証明機関(CA)の証明書が保存されるディレクトリを指定します。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。
構文
path
CA証明書ファイル⇑
説明
チェーン証明書の証明機関(CA)のすべての証明書を含むファイルを指定します。 このファイルは、PEMでエンコードされた証明書ファイルを単に優先順に連結したものです。 これは、「CA証明書パス」の代替として、またはこれに加えて使用することができる。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
SSLプロトコル⇑
説明
リスナーが受け入れたSSLプロトコルをカスタマイズします。
プロトコルバージョン⇑
説明
使用するSSLプロトコルのバージョンを指定します。 SSL v3.0とTLS v1.0から選択できます。 OpenSSL 1.0.1以降、TLS v1.1およびTLS v1.2もサポートされています。
ヒント
このフィールドを空白のままにすると、デフォルトでTLS v1.0、TLS v1.1、およびTLS v1.2が有効になります。
暗号⇑
説明
SSLハンドシェイクのネゴシエーション時に使用する暗号スイートを指定します。 LSWSは、SSL v3.0、TLS v1.0、およびTLS v1.2で実装された暗号スイートをサポートしています。
構文
コロンで区切られた暗号仕様の文字列。
例
ヒント
[セキュリティ] SSL暗号のベストプラクティスに従ったデフォルトの暗号を使用する場合は、このフィールドを空白のままにすることをお勧めします。
ECDH鍵交換を有効にする⇑
説明
さらにSSL暗号化のために楕円曲線 Diffie-Hellman鍵交換を使用できます。
構文
ラジオボックスから選択
ヒント
[セキュリティ] ECDH鍵交換は、RSA鍵だけを使用するより安全です。 ECDHとDHキーの交換は同等に安全です。
[パフォーマンス] ECDH鍵交換を有効にするとCPU負荷が増加し、RSA鍵だけを使用する場合よりも遅くなります。
DHキー交換を有効にする⇑
説明
さらにSSL暗号化のためにDiffie-Hellman鍵交換を使用できます。
構文
ラジオボックスから選択
ヒント
[セキュリティ] DHキーの交換は、RSAキーを使用するよりも安全です。 ECDHとDHキーの交換は同等に安全です。
[パフォーマンス] DHキー交換を有効にするとCPU負荷が増加し、ECDHキー交換とRSAよりも遅くなります。 ECDH鍵交換が利用可能である場合に優先される。
DHパラメータ⇑
説明
DHキー交換に必要なDiffie-Hellmanパラメータファイルの場所を指定します。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
SSL再交渉保護⇑
説明
SSL再交渉保護を有効にするかどうかを指定します。 SSLハンドシェイクベースの攻撃に対して防御します。 デフォルト値は "Yes"です。
構文
ラジオボックスから選択
ヒント
This setting can be enabled at the listener and virtual host levels.
セッションキャッシュを有効にする⇑
説明
セッションIDキャッシングを有効にします。 「未設定」の場合、デフォルトは「いいえ」です。 (Opensslデフォルト)
構文
ラジオボックスから選択
セッションチケットを有効にする⇑
説明
セッションチケットを有効にします。 「未設定」の場合、サーバーはopenSSLのデフォルトチケットを使用します。
構文
ラジオボックスから選択
SPDY/HTTP2を有効にする⇑
説明
HTTP/2とSPDYは、ページロード時間を短縮する目的で、HTTPネットワークプロトコルの新バージョンです。 より多くの情報はhttp://en.wikipedia.org/wiki/HTTP/2で見つけることができます。
構文
有効にするプロトコルを確認します。 すべてのボックスをチェックしないと、SPDYとHTTP/2のサポート(デフォルト)が有効になります。 SPDYとHTTP/2を無効にする場合は、「なし」のみをチェックし、その他のチェックボックスはすべてオフにします。
ヒント
This setting can be set at the listener and virtual host levels.
Allow QUIC⇑
説明
Allows the use of the QUIC network protocol for virtual hosts mapped to this listener. For this setting to take effect, Enable QUIC must also be set to Yes at the server level. Default value is Yes.
ヒント
When this setting is set to Yes, QUIC can still be disabled at the virtual host level through the Enable QUIC setting.
クライアントの検証⇑
説明
クライアント証明書認証のタイプを指定します。 使用できるタイプは次のとおりです:
- None: クライアント証明書は必要ありません。
- Optional: クライアント証明書はオプションです。
- Require: クライアントには有効な証明書が必要です。
- Optional_no_ca: オプションと同じです。
構文
ドロップダウンリストから選択
ヒント
"None"または "Require"をお勧めします。
検証の深さ⇑
説明
クライアントに有効な証明書がないと判断する前に、証明書の検証の深さを指定します。 デフォルトは "1"です。
構文
ドロップダウンリストから選択
クライアントの失効パス⇑
説明
取り消されたクライアント証明書のPEMエンコードされたCA CRLファイルを含むディレクトリを指定します。 このディレクトリのファイルはPEMでエンコードする必要があります。 これらのファイルは、ハッシュファイル名、hash-value.rNによってアクセスされます。 ハッシュファイル名の作成については、openSSLまたはApache mod_sslのドキュメントを参照してください。
構文
パス
クライアント失効ファイル⇑
説明
取り消されたクライアント証明書を列挙するPEMエンコードCA CRLファイルを含むファイルを指定します。 これは、代わりに、またはクライアントの失効パスに加えて使用することができます。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス