強固な暗号化方式の設定

サーバーマネージャーの「Preferences」タブにある「Set Cipher Size」オプションでは、アクセスするための非公開鍵のサイズに 168、128、または 56 ビットのいずれか、または制限なしを選択できます。制限に適合しない場合に使用するファイルを指定することができます。ファイルが指定されていない場合、Proxy Server が、「Forbidden」ステータスを返します。

アクセスするための鍵サイズとして、「Security Preferences」での現在の暗号化方式の設定と整合しないサイズを選択すると、Proxy Server から、暗号化方式でより大きいサイズの非公開鍵を有効にする必要があることを知らせる警告が表示されます。

現在、鍵サイズ制限の実装は、Service fn=key-toosmall ではなく、obj.conf にある NSAPI PathCheck 指令に基づいています。この指令は次のとおりです。

PathCheck fn="ssl-check" [secret-keysize=nbits ] [bong-file=filename ]

ここで nbits は、非公開鍵で必要とされる最小ビット数で、filename は、制限に適合しない場合に使用されるファイルの名前です。

SSL が有効ではない場合、または secret-keysize パラメータが指定されていない場合、PathCheck は REQ_NOACTION を返します。現在のセッションの非公開鍵サイズが指定された secret-keysize より小さいとき、関数は、bong-file が指定されていない場合には PROTOCOL_FORBIDDEN のステータスとともに REQ_ABORTED を返します。bong-file が指定されている場合、関数は REQ_PROCEED を返して、path 変数が bong-file filename に設定されます。また、鍵のサイズ制限に適合しない場合は、現在のセッションの SSL セッションキャッシュエントリが無効になるため、次回、同じクライアントがサーバーに接続するとき完全な SSL ハンドシェイクが行われます。

「Set Cipher Size」フォームは、PathCheck fn=ssl-check を追加するときにオブジェクト内で検出された Service fn=key-toosmall 指令を削除します。

強固な暗号化方式を設定するには

1. サーバーマネージャーにアクセスしてサーバーインスタンスを選択し、「Preferences」タブをクリックします。

2. 「Set Cipher Size」リンクをクリックします。

3. ドロップダウンリストから、強固な暗号化方式を適用するリソースを選択して、「Select」をクリックします。正規表現を指定することもできます。

   詳細は、第 16 章テンプレートとリソースの管理を参照してください。

4. 非公開鍵サイズの制限を選択します。

   • 「168 bits or larger」

     • 「128 bits or larger」

     • 「56 bits or larger」

     • 「No restrictions」

5. アクセスを拒否するメッセージのファイルの場所を入力して、「了解」をクリックします。

   暗号化方式については、「Introduction to SSL」を参照してください。