|
◆ BIG-IP - Cipher Suite
Cipher Suiteとは、SSL通信の際に使用する暗号化アルゴリズムの組み合わせのことです。SSL通信で、
デフォルトでBIG-IPで使用されるCipherは、以下コマンドで確認することができます。以下のコマンド
によって、BIG-IPにおける「DEFAULT」のcipher情報を確認することができます。
SSLサーバとSSLクライアントで使用される暗号アルゴリズムは以下の手続きによって決定されます。
01. クライアントがサーバにSSL通信を要求する時、サーバへ利用可能な暗号アルゴリズム一覧を送付。
02. サーバは、送付された暗号アルゴリズム一覧の中から、使用する暗号アルゴリズムを決定
03. サーバは、SSLサーバ証明書と利用する暗号アルゴリズムをクライアントに送付
04. クライアントは、サーバから受信した暗号アルゴリズムの情報に従って、暗号アルゴリズムを適用。
お客様との打ち合わせで「Cipher」という用語が出てきたら、上記シーケンスを頭に思い浮かべましょう。
◆ BIG-IP - Cipher Suiteの設定場所
それでは、このDEFAULTはどこで適用されているのか。例えばclient SSLの場合は以下が適用箇所です。
つまり、例えばBIG-IPでサポートする暗号化を「TLS1.0」だけにしたいという要件があれば、以下の
とおり指定すればOKです。「TLS1.0とTLS1.1」だけにしたい場合「TLS1_1:TLS1_2」と指定します。
※ 念のため、tmm --clientcipher TLSV1_1:TLSV1_2 コマンドで何が表示されるか確認しましょう。
◆ TLS1.0だけをサポートする設定
◆ TLS1.1とTLS1.2だけをサポートする設定
 |
|
|