5.4.2 セキュリティの適用

TMA SNA 22cでは、セキュアな構成のためにデフォルトでTLS 1.2が必要です。CLOPT '-n SSL'が設定されていない場合はGWSNAXの起動に失敗します。また、CLOPT '-n SSL'が設定されていない場合はCRMの起動も失敗します。古いTuxedoバージョンと相互運用するには、TLS 1.0または1.1接続を受け入れるときに環境変数TM_TLS_FORCE_VERを使用できます。

サポートされているデフォルトの暗号スイートには、次のものがあります:

TLS_RSA_WITH_AES_256_CBC_SHA256 
TLS_RSA_WITH_AES_256_GCM_SHA384 
TLS_RSA_WITH_AES_128_CBC_SHA256 
TLS_RSA_WITH_AES_128_GCM_SHA256 
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

楕円曲線暗号(ECC)ベースの暗号スイート(TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384やTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256など)もECCベースのTLS証明書でサポートする必要があり、環境変数TM_MIN_PUB_KEY_LENGTHを0に設定する必要があります。

他の暗号スイートを使用する場合(たとえば、古いTuxedoバージョンとの相互運用など)、TM_CIPHERSUITES環境変数を使用できます。

RSAには、2048の最小キー長が必要です。TMA SNAゲートウェイは、キー/証明書のロード時にキー長を確認し、キー長が2048未満の場合、ロードは失敗します。TM_MIN_PUB_KEY_LENGTHは、お客様が使用できる最小キー長を指定する環境変数です。

TLSホスト名検証を有効にするには、環境変数TUX_SSL_HOSTNAME_VALIDATEをYに設定します。

次の環境変数は、TMA SNA 12.2.2などの古い動作を維持したいユーザーに対して下位互換性を提供します。変数TM_ALLOW_NOTLSがYに設定されている場合、TLS以外の接続が許可されます。