SSL通信の暗号化方式を指定する方法(TLS1.2-DHE-RSA-AES-256-SHA256)

動作確認バージョン:NetScaler VPX Version13.1 Standard Edition
ここでは、SSL通信方式の暗号化方式を変更する方法について紹介します。
暗号化の強度が弱い場合、その通信は秘匿できず、傍受また改竄される危険性が高くなります。また通信にはクライアント側も同じ暗号化レベルを使用できる必要があります。

サンプル設定のシナリオ

  • 暗号化方式を(TLS1.2-DHE-RSA-AES-256-SHA256)に指定し、クライアントからOpenSSLで接続し指定の暗号化方式で接続されていることを確認します。

注釈

本シナリオでは事前に作成した2048bitのDH Keyを使用し、鍵交換をDH方式で行っています。本手順を始めるにあたり、DH keyはGUIにて、 Configure -> Traffic Management -> SSL -> Create Diffie-Hellman (DH) Key の手順で事前に登録を済ませておきます。

構成図
Fig18901
設定を変更するVirtual Serverを選択し、「Edit」ボタンをクリックします。
Fig18902
Virtual Serverの詳細表示画面が表示されるので、「SSL Ciphers」の編集アイコンをクリックします。

注釈

SSL Ciphersの項目が表示されていない場合は、画面右「Advanced Settings」から「+SSL Ciphers」を選択します。

Fig18903
SSL Ciphers画面では以下の暗号化方式を指定します。
設定項目 設定値
Configured TLS1.2-DHE-RSA-AES-256-SHA256(指定する暗号方式)
SSL Ciphers画面から、「+Add」をクリックします。
Fig18904
利用可能一覧画面が表示されるので、「ALL」の「TLS1.2-DHE-RSA-AES-256-SHA256」を選択し、右三角をクリックし対象の「Cipher Suite」を「Configured」に移動させます。
Fig18905
指定の暗号化方式が右側に追加されます。既に設定されている「DEFAULT」は -マークをクリックしを削除します。
Fig18906

注釈

ここでは指定の暗号化レベル「TLS1.2-DHE-RSA-AES-256-SHA256」のみを使用したいので、ほかの項目を設定から外しています。

画面右側に追加できたところで「OK」をクリックします。
Fig18907

注釈

ここで複数の暗号化レベルを選択することも可能です。使用したい暗号化レベルを画面右側に追加することで複数の暗号化レベルを有効にできます。

Virtual Serverの詳細表示画面が表示されるので、「SSL Ciphers」の「Configured」に「TLS1.2-DHE-RSA-AES-256-SHA256」と表示されているのを確認します。
Fig18908
DH Keyを設定するため、「SSL Parameters」の編集アイコンをクリックします。
Fig18909

注釈

SSL Parametersの項目が表示されていない場合は、画面右「Advanced Settings」から「+SSL Parameters」を選択します。

SSL Parameters画面では以下の設定を行います。「OK」ボタンをクリックします。
設定項目 設定値
Enable DH Param チェックを入れる
File Path 「Browse」ボタンよりDH Keyを指定します。
Fig18910
「SSL Parameters」の画面に戻りますので、ページ最下部左の「Done」ボタンをクリックします。
Fig18911
Virtual Serverの画面で対象の「State」および「Effective State]が「Up」である事を確認します。
Fig18912
これでSSL通信の暗号化方式を指定する設定が完了しました。

Opensslによる接続確認

クライアントからVirtual Server IPに対して、Opensslから下記コマンドを実行します。
openssl s_client -connect 172.16.100.100:443 -showcerts
[実行結果]
Fig18913
指定した暗号化方式で接続されていることが確認できました。