このディレクティブは、SSLライブラリのFIPS_modeフラグの使用方法を切り替えます。これは、グローバル・サーバー・コンテキスト内に設定される必要があり、競合する設定(SSLFIPS off
が続くSSLFIPS on
など)があると構成できません。このモードはすべてのSSLライブラリ操作に適用されます。
カテゴリ | 値 |
---|---|
構文 |
SSLFIPS ON | OFF |
例 |
SSLFIPS ON |
デフォルト |
|
SSLFIPSの変更を構成する場合は、SSLFIPS on
/off
ディレクティブがssl.conf内でグローバルに設定されている必要があります。仮想レベルの構成はSSLFIPSディレクティブ内で無効になっています。したがって、仮想ディレクティブにSSLFIPSを設定するとエラーになります。
ノート:
SSLFIPSに関する次の制限に注意してください。
Oracle HTTP ServerでSSLFIPSモードを有効化するには、AESで暗号化された(compat_v12)ヘッダー付きで作成されたウォレットが必要になります。新しいウォレットを作成する場合、または既存のウォレットをAES暗号を使用して変換する場合は、Oracle Fusion Middlewareの管理のorapkiで次の項を参照してください。
orapkiを使用したOracleウォレットの作成と表示
AES暗号化によるOracleウォレットの作成
AES暗号化を使用するように既存のウォレットを変換
次の表で、SSLFIPSモードで様々なプロトコルとともに動作する暗号スイートについて説明します。これらの暗号スイートの実装方法の手順は、SSLCipherSuiteディレクティブを参照してください。
表G-3に、SSLFIPSモードのTLS 1.0、TLS1.1およびTLS 1.2プロトコルで動作する暗号スイートを示します。
表G-3 SSLFIPSモードのすべてのTLSプロトコルで動作する暗号
暗号名 | 暗号は次のプロトコルで動作します。 |
---|---|
SSL_RSA_WITH_3DES_EDE_CBC_SHA |
TLS 1.0、TLS1.1およびTLS 1.2 |
SSL_RSA_WITH_AES_128_CBC_SHA |
TLS 1.0、TLS1.1およびTLS 1.2 |
SSL_RSA_WITH_AES_256_CBC_SHA |
TLS 1.0、TLS1.1およびTLS 1.2 |
表G-4に、SSLFIPSモードで使用できる暗号スイートおよびプロトコルを示します。
表G-4 FIPSモードで動作する暗号
暗号名 | 暗号は次のプロトコルで動作します。 |
---|---|
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA |
TLS 1.0以降 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
TLS 1.0以降 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
TLS 1.0以降 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
TLS1.2以降 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
TLS1.2以降 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
TLS1.2以降 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
TLS1.2以降 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
TLS1.2以降 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
TLS1.2以降 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
TLS1.2以降 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS1.2以降 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
TLS1.2以降 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
TLS1.2以降 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
TLS1.2以降 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS1.2以降 |
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA |
TLS 1.0以降 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
TLS 1.0以降 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
TLS 1.0以降 |
ノート:
SSLFIPSがONに設定され、FIPSをサポートしない暗号がサーバーで使用されている場合、その暗号を使用するクライアント・リクエストは失敗します。
TLS_ECDHE_ECDSA暗号スイートを使用するには、Oracle HTTP ServerでECCユーザー証明書付きで作成されたウォレットが必要です。TLS_ECDHE_ECDSA暗号スイートはRSA証明書では機能しません。
SSL_RSA/TLS_RSA/TLS_ECDHE_RSA暗号スイートを使用するために、Oracle HTTP ServerではRSAユーザー証明書付きで作成されたウォレットが必要です。SSL_RSA/TLS_RSA/TLS_ECDHE_RSA暗号スイートはECC証明書では機能しません。
ウォレットでのECC/RSA証明書の構成方法の詳細は、Oracle Fusion Middlewareの管理のorapkiを使用したOracle Walletの作成および表示を参照してください。
これらの暗号スイートおよび対応するプロトコルを実装する方法の手順は、SSL暗号スイート・ディレクティブおよびSSLプロトコルを参照してください。
表G-5に、SSPFIPSモードで動作しない暗号スイートを示します。
表G-5 SSLFIPSモードで動作しない暗号
暗号名 | 説明 |
---|---|
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA |
すべてのプロトコルでSSLFIPSモードで動作しない |
SSL_RSA_WITH_RC4_128_SHA |
すべてのプロトコルでSSLFIPSモードで動作しない |
TLS_ECDHE_RSA_WITH_RC4_128_SHA |
すべてのプロトコルでSSLFIPSモードで動作しない |