暗号群: 暗号化と認証の概要

サーバーとクライアント間の相互認証、証明書の送信、セッション鍵の確立などのために、SSL プロトコルでは各種の暗号アルゴリズム (暗号方式) がサポートされます。認証が行われるかどうかは、SSL が接続に使用する暗号群によって決まります。

暗号群は慎重に選択する必要があります。各アプリケーションの設定では、ノードが要求する最小限のセキュリティーを提供する暗号群だけを有効にしてください。SSL は、クライアントとサーバーの双方がサポートする暗号群の中からもっともセキュリティーレベルの高い暗号群を使用します。低セキュリティーの暗号群を有効にすると、Sun 以外のクライアントは暗号群のネゴシエーションの際にセキュリティーレベルがもっとも低い暗号群しかサポートしなくなり、サーバーはセキュリティーレベルが比較的低い暗号群の使用を余儀なくされる可能性があります。

SSL は、次のモードで動作します。

• 暗号化のみ (認証なし) – 接続は暗号化されるが、接続するアプリケーションの認証は行われません。

• サーバーの認証 – クライアントは接続先であるサーバーの認証を行います。

• サーバーとクライアントの認証 – クライアントとサーバーの双方が互いに認証し合います。

インストール時にアプリケーション間の通信を保護する手段として SSL を選択すると、使用する暗号群の選択を求めるメッセージが表示されます。暗号群の値は、net.ssl.cipher.suites の値として config.properties ファイルに格納されます。暗号群の値は、選択に応じて次のように設定できます。

• 「暗号化のみ (認証なし)」を選択した場合、暗号群は SSL_DH_anon_WITH_3DES_EDE_CBC_SHA に設定されます。

• 「暗号化 (認証あり)」を選択した場合、暗号群は SSL_RSA_WITH_3DES_EDE_CBC_SHA に設定されます。

AIX サーバー上のローカルディストリビュータで SSL を使用する場合、SSL 暗号群は認証による暗号化に設定されます。認証を伴わない暗号化は、AIX サーバーで稼働しているローカルディストリビュータでは利用できません。

サーバー認証を必要とする SSL 暗号群とサーバー認証を必要としない SSL 暗号群の一覧は、「SSL 暗号群」を参照してください。クライアント認証は、サーバー認証を必要とする暗号群だけを対象に構成することもできます。

N1 Service Provisioning System 5.1 アプリケーションの SSL 構成は、認証を伴わない暗号化と認証を伴う暗号化のどちらも行えます。認証を伴う暗号化では、クライアントとサーバーの認証が行われます。前述のような構成が可能ですが、認証を伴う暗号化がもっとも安全です。