プロトコルバージョン | 暗号 | ECDH鍵交換を有効にする | DHキー交換を有効にする | DHパラメータ |
クライアントの検証 | 検証の深さ | クライアントの失効パス | クライアント失効ファイル |
説明 すべてのSSLリスナーには、ペアのSSL秘密鍵とSSL証明書が必要です。 複数のSSLリスナーは、同じ鍵と証明書を共有できます。 |
説明 SSL秘密鍵ファイルのファイル名。キーファイルは暗号化しないでください。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |
ヒント [セキュリティ]秘密鍵ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にするセキュリティ保護されたディレクトリに配置する必要があります。 |
説明 SSL証明書ファイルのファイル名。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |
ヒント [セキュリティ]証明書ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にする安全なディレクトリに配置する必要があります。 |
説明 証明書がチェーン証明書であるかどうかを指定します。 チェーン証明を格納するファイルは、PEM形式でなければならず、証明書は最下位レベル(実際のクライアントまたはサーバー証明書)から最上位(ルート)CAまでの連鎖の順序でなければなりません。 |
構文 ラジオボックスから選択 |
説明 証明機関(CA)の証明書が保存されるディレクトリを指定します。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。 |
構文 path |
説明 チェーン証明書の証明機関(CA)のすべての証明書を含むファイルを指定します。 このファイルは、PEMでエンコードされた証明書ファイルを単に優先順に連結したものです。 これは、「CA証明書パス」の代替として、またはこれに加えて使用することができる。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |
説明 使用するSSLプロトコルのバージョンを指定します。 SSL v3.0とTLS v1.0から選択できます。 OpenSSL 1.0.1以降、TLS v1.1およびTLS v1.2もサポートされています。 |
ヒント このフィールドを空白のままにすると、デフォルトでTLS v1.0、TLS v1.1、およびTLS v1.2が有効になります。 |
説明 SSLハンドシェイクのネゴシエーション時に使用する暗号スイートを指定します。 LSWSは、SSL v3.0、TLS v1.0、およびTLS v1.2で実装された暗号スイートをサポートしています。 |
構文 コロンで区切られた暗号仕様の文字列。 |
例 ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH |
ヒント [セキュリティ] SSL暗号のベストプラクティスに従ったデフォルトの暗号を使用する場合は、このフィールドを空白のままにすることをお勧めします。 |
説明 さらにSSL暗号化のために楕円曲線 Diffie-Hellman鍵交換を使用できます。 |
構文 ラジオボックスから選択 |
ヒント [セキュリティ] ECDH鍵交換は、RSA鍵だけを使用するより安全です。 ECDHとDHキーの交換は同等に安全です。 |
説明 さらにSSL暗号化のためにDiffie-Hellman鍵交換を使用できます。 |
構文 ラジオボックスから選択 |
ヒント [セキュリティ] DHキーの交換は、RSAキーを使用するよりも安全です。 ECDHとDHキーの交換は同等に安全です。 |
説明 オンライン証明書ステータスプロトコル(OCSP)は、デジタル証明書が有効かどうかを確認するより効率的な方法です。 OCSP応答者である他のサーバーと通信して、証明書失効リスト(CRL)をチェックする代わりに証明書が有効であることを確認します。 |
説明 このオプションは、OCSP応答の許容可能な最大経過時間を設定します。 OCSP応答がこの最大年齢より古い場合、サーバーはOCSP応答者に新しい応答を要求します。 デフォルト値は86400です。 この値を-1に設定すると、最大年齢を無効にすることができます。 |
構文 秒数 |
説明 使用するOCSPレスポンダのURLを指定します。 設定されていない場合、サーバーは認証局の発行者証明書に記載されているOCSPレスポンダに接続を試みます。 一部の発行者証明書には、OCSPレスポンダURLが指定されていない場合があります。 |
構文 http://で始まるURL |
例 http://rapidssl-ocsp.geotrust.com |
説明 OCSP認証局(CA)証明書が格納されるファイルの場所を指定します。 これらの証明書は、OCSPレスポンダからのレスポンスを確認するために使用されます(また、そのレスポンスが偽装されていないか、または妥協されていないことを確認してください)。 このファイルには、証明書チェーン全体が含まれている必要があります。 このファイルにルート証明書が含まれていない場合、LSWSはファイルに追加することなくシステムディレクトリのルート証明書を見つけることができますが、この検証に失敗した場合はルート証明書をこのファイルに追加してください。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |
説明 クライアント証明書認証のタイプを指定します。 使用できるタイプは次のとおりです:
|
構文 ドロップダウンリストから選択 |
ヒント "None"または "Require"をお勧めします。 |
説明 取り消されたクライアント証明書のPEMエンコードされたCA CRLファイルを含むディレクトリを指定します。 このディレクトリのファイルはPEMでエンコードする必要があります。 これらのファイルは、ハッシュファイル名、hash-value.rNによってアクセスされます。 ハッシュファイル名の作成については、openSSLまたはApache mod_sslのドキュメントを参照してください。 |
構文 パス |
説明 取り消されたクライアント証明書を列挙するPEMエンコードCA CRLファイルを含むファイルを指定します。 これは、代わりに、またはクライアントの失効パスに加えて使用することができます。 |
構文 ファイル名への絶対パス又は$SERVER_ROOTからの相対パス |