リスナーSSL

目次

SSL秘密鍵と証明書

秘密鍵ファイル | 証明書ファイル | チェーン証明書 | CA証明書パス | CA証明書ファイル

SSLプロトコル

プロトコルバージョン | 暗号 | ECDH鍵交換を有効にする | DHキー交換を有効にする | DHパラメータ

セキュリティ & 機能

SSL再交渉保護 | セッションキャッシュを有効にする | セッションチケットを有効にする | SPDY/HTTP2を有効にする | Allow QUIC

OCSPステープリング

OCSPステープルを有効にする | OCSPの応答最大年齢(秒) | OCSPレスポンダ | OCSP CA証明書

クライアントの検証

クライアントの検証 | 検証の深さ | クライアントの失効パス | クライアント失効ファイル

SSL秘密鍵と証明書

説明

すべてのSSLリスナーには、ペアのSSL秘密鍵とSSL証明書が必要です。 複数のSSLリスナーは、同じ鍵と証明書を共有できます。
OpenSSLなどのSSLソフトウェアパッケージを使用して、SSL秘密鍵を自分で生成することができます。 SSL証明書は、VeriSignやThawteのような認可された証明書の発行者から購入することもできます。 自分で証明書に署名することもできます。 自己署名証明書はWebブラウザから信頼されないため、重要なデータを含む公開Webサイトでは使用しないでください。 ただし、自己署名証明書は内部使用に十分適しており、 例えば LiteSpeed WebサーバーのWebAdminコンソールへのトラフィックを暗号化します。

秘密鍵ファイル

説明

SSL秘密鍵ファイルのファイル名。キーファイルは暗号化しないでください。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

ヒント

[セキュリティ]秘密鍵ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にするセキュリティ保護されたディレクトリに配置する必要があります。

証明書ファイル

説明

SSL証明書ファイルのファイル名。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

ヒント

[セキュリティ]証明書ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にする安全なディレクトリに配置する必要があります。

チェーン証明書

説明

証明書がチェーン証明書であるかどうかを指定します。 チェーン証明を格納するファイルは、PEM形式でなければならず、証明書は最下位レベル(実際のクライアントまたはサーバー証明書)から最上位(ルート)CAまでの連鎖の順序でなければなりません。

構文

ラジオボックスから選択

CA証明書パス

説明

証明機関(CA)の証明書が保存されるディレクトリを指定します。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。

構文

path

CA証明書ファイル

説明

チェーン証明書の証明機関(CA)のすべての証明書を含むファイルを指定します。 このファイルは、PEMでエンコードされた証明書ファイルを単に優先順に連結したものです。 これは、「CA証明書パス」の代替として、またはこれに加えて使用することができる。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

SSLプロトコル

説明

リスナーが受け入れたSSLプロトコルをカスタマイズします。

プロトコルバージョン

説明

使用するSSLプロトコルのバージョンを指定します。 SSL v3.0TLS v1.0から選択できます。 OpenSSL 1.0.1以降、TLS v1.1およびTLS v1.2もサポートされています。

ヒント

このフィールドを空白のままにすると、デフォルトでTLS v1.0、TLS v1.1、およびTLS v1.2が有効になります。

暗号

説明

SSLハンドシェイクのネゴシエーション時に使用する暗号スイートを指定します。 LSWSは、SSL v3.0、TLS v1.0、およびTLS v1.2で実装された暗号スイートをサポートしています。

構文

コロンで区切られた暗号仕様の文字列。

ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

ヒント

[セキュリティ] SSL暗号のベストプラクティスに従ったデフォルトの暗号を使用する場合は、このフィールドを空白のままにすることをお勧めします。

ECDH鍵交換を有効にする

説明

さらにSSL暗号化のために楕円曲線 Diffie-Hellman鍵交換を使用できます。

構文

ラジオボックスから選択

ヒント

[セキュリティ] ECDH鍵交換は、RSA鍵だけを使用するより安全です。 ECDHとDHキーの交換は同等に安全です。

[パフォーマンス] ECDH鍵交換を有効にするとCPU負荷が増加し、RSA鍵だけを使用する場合よりも遅くなります。

DHキー交換を有効にする

説明

さらにSSL暗号化のためにDiffie-Hellman鍵交換を使用できます。

構文

ラジオボックスから選択

ヒント

[セキュリティ] DHキーの交換は、RSAキーを使用するよりも安全です。 ECDHとDHキーの交換は同等に安全です。

[パフォーマンス] DHキー交換を有効にするとCPU負荷が増加し、ECDHキー交換とRSAよりも遅くなります。 ECDH鍵交換が利用可能である場合に優先される。

DHパラメータ

説明

DHキー交換に必要なDiffie-Hellmanパラメータファイルの場所を指定します。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

SSL再交渉保護

説明

SSL再交渉保護を有効にするかどうかを指定します。 SSLハンドシェイクベースの攻撃に対して防御します。 デフォルト値は "Yes"です。

構文

ラジオボックスから選択

ヒント

This setting can be enabled at the listener and virtual host levels.

セッションキャッシュを有効にする

説明

セッションIDキャッシングを有効にします。 「未設定」の場合、デフォルトは「いいえ」です。 (Opensslデフォルト)

構文

ラジオボックスから選択

セッションチケットを有効にする

説明

セッションチケットを有効にします。 「未設定」の場合、サーバーはopenSSLのデフォルトチケットを使用します。

構文

ラジオボックスから選択

SPDY/HTTP2を有効にする

説明

HTTP/2とSPDYは、ページロード時間を短縮する目的で、HTTPネットワークプロトコルの新バージョンです。 より多くの情報はhttp://en.wikipedia.org/wiki/HTTP/2で見つけることができます。

構文

有効にするプロトコルを確認します。 すべてのボックスをチェックしないと、SPDYとHTTP/2のサポート(デフォルト)が有効になります。 SPDYとHTTP/2を無効にする場合は、「なし」のみをチェックし、その他のチェックボックスはすべてオフにします。

ヒント

This setting can be set at the listener and virtual host levels.

Allow QUIC

説明

Allows the use of the QUIC network protocol for virtual hosts mapped to this listener. For this setting to take effect, Enable QUIC must also be set to Yes at the server level. Default value is Yes.

ヒント

When this setting is set to Yes, QUIC can still be disabled at the virtual host level through the Enable QUIC setting.

OCSPステープリング

説明

オンライン証明書ステータスプロトコル(OCSP)は、デジタル証明書が有効かどうかを確認するより効率的な方法です。 OCSP応答者である他のサーバーと通信して、証明書失効リスト(CRL)をチェックする代わりに証明書が有効であることを確認します。
OCSPステープリングは、このプロトコルのさらなる改良であり、証明書が要求されるたびにではなく、定期的な間隔でサーバーがOCSPレスポンダを確認できるようにします。 詳細については、OCSP Wikipediaのページをご覧ください。

OCSPステープルを有効にする

説明

OCSPステープルを有効にするかどうかを決定します。これは、公開鍵証明書を検証するより効率的な方法です。

構文

ラジオボックスから選択

OCSPの応答最大年齢(秒)

説明

このオプションは、OCSP応答の許容可能な最大経過時間を設定します。 OCSP応答がこの最大年齢より古い場合、サーバーはOCSP応答者に新しい応答を要求します。 デフォルト値は86400です。 この値を-1に設定すると、最大年齢を無効にすることができます。

構文

秒数

OCSPレスポンダ

説明

使用するOCSPレスポンダのURLを指定します。 設定されていない場合、サーバーは認証局の発行者証明書に記載されているOCSPレスポンダに接続を試みます。 一部の発行者証明書には、OCSPレスポンダURLが指定されていない場合があります。

構文

http://で始まるURL

http://rapidssl-ocsp.geotrust.com

OCSP CA証明書

説明

OCSP認証局(CA)証明書が格納されるファイルの場所を指定します。 これらの証明書は、OCSPレスポンダからのレスポンスを確認するために使用されます(また、そのレスポンスが偽装されていないか、または妥協されていないことを確認してください)。 このファイルには、証明書チェーン全体が含まれている必要があります。 このファイルにルート証明書が含まれていない場合、LSWSはファイルに追加することなくシステムディレクトリのルート証明書を見つけることができますが、この検証に失敗した場合はルート証明書をこのファイルに追加してください。

この設定はオプションです。 この設定が設定されていない場合、サーバーは自動的にCA証明書ファイルをチェックします。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

クライアントの検証

説明

クライアント証明書認証のタイプを指定します。 使用できるタイプは次のとおりです:

  • None: クライアント証明書は必要ありません。
  • Optional: クライアント証明書はオプションです。
  • Require: クライアントには有効な証明書が必要です。
  • Optional_no_ca: オプションと同じです。
デフォルトは "None"です。

構文

ドロップダウンリストから選択

ヒント

"None"または "Require"をお勧めします。

検証の深さ

説明

クライアントに有効な証明書がないと判断する前に、証明書の検証の深さを指定します。 デフォルトは "1"です。

構文

ドロップダウンリストから選択

クライアントの失効パス

説明

取り消されたクライアント証明書のPEMエンコードされたCA CRLファイルを含むディレクトリを指定します。 このディレクトリのファイルはPEMでエンコードする必要があります。 これらのファイルは、ハッシュファイル名、hash-value.rNによってアクセスされます。 ハッシュファイル名の作成については、openSSLまたはApache mod_sslのドキュメントを参照してください。

構文

パス

クライアント失効ファイル

説明

取り消されたクライアント証明書を列挙するPEMエンコードCA CRLファイルを含むファイルを指定します。 これは、代わりに、またはクライアントの失効パスに加えて使用することができます。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス