リスナー管理は管理サーバー専用です。 管理サーバーには、セキュア(SSL)リスナーを推奨します。
プロトコルバージョン | 暗号 | ECDH鍵交換を有効にする | DHキー交換を有効にする | DHパラメータ |
SSL再交渉保護 | セッションキャッシュを有効にする | セッションチケットを有効にする | SPDY/HTTP2を有効にする |
クライアントの検証 | 検証の深さ | クライアントの失効パス | クライアント失効ファイル |
説明 すべてのSSLリスナーには、ペアのSSL秘密鍵とSSL証明書が必要です。 複数のSSLリスナーは、同じ鍵と証明書を共有できます。 |
説明 SSL秘密鍵ファイルのファイル名。キーファイルは暗号化しないでください。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |
ヒント [セキュリティ]秘密鍵ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にするセキュリティ保護されたディレクトリに配置する必要があります。 |
説明 SSL証明書ファイルのファイル名。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |
ヒント [セキュリティ]証明書ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にする安全なディレクトリに配置する必要があります。 |
説明 証明書がチェーン証明書であるかどうかを指定します。 チェーン証明を格納するファイルは、PEM形式でなければならず、証明書は最下位レベル(実際のクライアントまたはサーバー証明書)から最上位(ルート)CAまでの連鎖の順序でなければなりません。 |
構文 ラジオボックスから選択 |
説明 証明機関(CA)の証明書が保存されるディレクトリを指定します。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。 |
構文 path |
説明 チェーン証明書の証明機関(CA)のすべての証明書を含むファイルを指定します。 このファイルは、PEMでエンコードされた証明書ファイルを単に優先順に連結したものです。 これは、「CA証明書パス」の代替として、またはこれに加えて使用することができる。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |
説明 使用するSSLプロトコルのバージョンを指定します。 SSL v3.0とTLS v1.0から選択できます。 OpenSSL 1.0.1以降、TLS v1.1およびTLS v1.2もサポートされています。 |
ヒント このフィールドを空白のままにすると、デフォルトでTLS v1.0、TLS v1.1、およびTLS v1.2が有効になります。 |
説明 SSLハンドシェイクのネゴシエーション時に使用する暗号スイートを指定します。 LSWSは、SSL v3.0、TLS v1.0、およびTLS v1.2で実装された暗号スイートをサポートしています。 |
構文 コロンで区切られた暗号仕様の文字列。 |
例 ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH |
ヒント [セキュリティ] SSL暗号のベストプラクティスに従ったデフォルトの暗号を使用する場合は、このフィールドを空白のままにすることをお勧めします。 |
説明 さらにSSL暗号化のために楕円曲線 Diffie-Hellman鍵交換を使用できます。 |
構文 ラジオボックスから選択 |
ヒント [セキュリティ] ECDH鍵交換は、RSA鍵だけを使用するより安全です。 ECDHとDHキーの交換は同等に安全です。 |
説明 さらにSSL暗号化のためにDiffie-Hellman鍵交換を使用できます。 |
構文 ラジオボックスから選択 |
ヒント [セキュリティ] DHキーの交換は、RSAキーを使用するよりも安全です。 ECDHとDHキーの交換は同等に安全です。 |
説明 HTTP/2とSPDYは、ページロード時間を短縮する目的で、HTTPネットワークプロトコルの新バージョンです。 より多くの情報はhttp://en.wikipedia.org/wiki/HTTP/2で見つけることができます。 |
構文 有効にするプロトコルを確認します。 すべてのボックスをチェックしないと、SPDYとHTTP/2のサポート(デフォルト)が有効になります。 SPDYとHTTP/2を無効にする場合は、「なし」のみをチェックし、その他のチェックボックスはすべてオフにします。 |
説明 クライアント証明書認証のタイプを指定します。 使用できるタイプは次のとおりです:
|
構文 ドロップダウンリストから選択 |
ヒント "None"または "Require"をお勧めします。 |
説明 取り消されたクライアント証明書のPEMエンコードされたCA CRLファイルを含むディレクトリを指定します。 このディレクトリのファイルはPEMでエンコードする必要があります。 これらのファイルは、ハッシュファイル名、hash-value.rNによってアクセスされます。 ハッシュファイル名の作成については、openSSLまたはApache mod_sslのドキュメントを参照してください。 |
構文 パス |
説明 取り消されたクライアント証明書を列挙するPEMエンコードCA CRLファイルを含むファイルを指定します。 これは、代わりに、またはクライアントの失効パスに加えて使用することができます。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |