リスナーSSL
目次
暗号 | ECDH鍵交換を有効にする | DHキー交換を有効にする | DHパラメータ
SSL再交渉保護 | セッションキャッシュを有効にする | セッションチケットを有効にする | SPDY/HTTP2を有効にする | Open HTTP3/QUIC (UDP) port
SSL秘密鍵と証明書⇑
説明
すべてのSSLリスナーには、ペアのSSL秘密鍵とSSL証明書が必要です。 複数のSSLリスナーは、同じ鍵と証明書を共有できます。
OpenSSLなどのSSLソフトウェアパッケージを使用して、SSL秘密鍵を自分で生成することができます。 SSL証明書は、VeriSignやThawteのような認可された証明書の発行者から購入することもできます。 自分で証明書に署名することもできます。 自己署名証明書はWebブラウザから信頼されないため、重要なデータを含む公開Webサイトでは使用しないでください。 ただし、自己署名証明書は内部使用に十分適しており、 例えば LiteSpeed WebサーバーのWebAdminコンソールへのトラフィックを暗号化します。
秘密鍵ファイル⇑
説明
SSL秘密鍵ファイルのファイル名。キーファイルは暗号化しないでください。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
ヒント
[セキュリティ]秘密鍵ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にするセキュリティ保護されたディレクトリに配置する必要があります。
証明書ファイル⇑
説明
SSL証明書ファイルのファイル名。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
ヒント
[セキュリティ]証明書ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にする安全なディレクトリに配置する必要があります。
チェーン証明書⇑
説明
証明書がチェーン証明書であるかどうかを指定します。 チェーン証明を格納するファイルは、PEM形式でなければならず、証明書は最下位レベル(実際のクライアントまたはサーバー証明書)から最上位(ルート)CAまでの連鎖の順序でなければなりません。
構文
ラジオボックスから選択
CA証明書パス⇑
説明
証明機関(CA)の証明書が保存されるディレクトリを指定します。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。
構文
path
CA証明書ファイル⇑
説明
チェーン証明書の証明機関(CA)のすべての証明書を含むファイルを指定します。 このファイルは、PEMでエンコードされた証明書ファイルを単に優先順に連結したものです。 これは、「CA証明書パス」の代替として、またはこれに加えて使用することができる。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
SSLプロトコル⇑
説明
リスナーが受け入れたSSLプロトコルをカスタマイズします。
暗号⇑
説明
SSLハンドシェイクのネゴシエーション時に使用する暗号スイートを指定します。 LSWSは、SSL v3.0、TLS v1.0、およびTLS v1.2で実装された暗号スイートをサポートしています。
構文
コロンで区切られた暗号仕様の文字列。
例
ヒント
[セキュリティ] SSL暗号のベストプラクティスに従ったデフォルトの暗号を使用する場合は、このフィールドを空白のままにすることをお勧めします。
ECDH鍵交換を有効にする⇑
説明
さらにSSL暗号化のために楕円曲線 Diffie-Hellman鍵交換を使用できます。
構文
ラジオボックスから選択
ヒント
[セキュリティ] ECDH鍵交換は、RSA鍵だけを使用するより安全です。 ECDHとDHキーの交換は同等に安全です。
[パフォーマンス] ECDH鍵交換を有効にするとCPU負荷が増加し、RSA鍵だけを使用する場合よりも遅くなります。
DHキー交換を有効にする⇑
説明
さらにSSL暗号化のためにDiffie-Hellman鍵交換を使用できます。
構文
ラジオボックスから選択
ヒント
[セキュリティ] DHキーの交換は、RSAキーを使用するよりも安全です。 ECDHとDHキーの交換は同等に安全です。
[パフォーマンス] DHキー交換を有効にするとCPU負荷が増加し、ECDHキー交換とRSAよりも遅くなります。 ECDH鍵交換が利用可能である場合に優先される。
DHパラメータ⇑
説明
DHキー交換に必要なDiffie-Hellmanパラメータファイルの場所を指定します。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
SSL再交渉保護⇑
説明
SSL再交渉保護を有効にするかどうかを指定します。 SSLハンドシェイクベースの攻撃に対して防御します。 デフォルト値は "Yes"です。
構文
ラジオボックスから選択
ヒント
This setting can be enabled at the listener and virtual host levels.
セッションキャッシュを有効にする⇑
説明
セッションIDキャッシングを有効にします。 「未設定」の場合、デフォルトは「いいえ」です。 (Opensslデフォルト)
構文
ラジオボックスから選択
セッションチケットを有効にする⇑
説明
セッションチケットを有効にします。 「未設定」の場合、サーバーはopenSSLのデフォルトチケットを使用します。
構文
ラジオボックスから選択
SPDY/HTTP2を有効にする⇑
説明
HTTP/2とSPDYは、ページロード時間を短縮する目的で、HTTPネットワークプロトコルの新バージョンです。 より多くの情報は http://en.wikipedia.org/wiki/HTTP/2 で見つけることができます。
構文
有効にするプロトコルを確認します。 すべてのボックスをチェックしないと、SPDYとHTTP/2のサポート(デフォルト)が有効になります。 SPDYとHTTP/2を無効にする場合は、「なし」のみをチェックし、その他のチェックボックスはすべてオフにします。
ヒント
This setting can be set at the listener and virtual host levels.
Open HTTP3/QUIC (UDP) port⇑
説明
Allows the use of the HTTP3/QUIC network protocol for virtual hosts mapped to this listener. For this setting to take effect, Enable HTTP3/QUIC must also be set to Yes at the server level. Default value is Yes.
ヒント
When this setting is set to Yes, HTTP3/QUIC can still be disabled at the virtual host level through the Enable HTTP3/QUIC setting.
OCSPステープリング⇑
説明
オンライン証明書ステータスプロトコル(OCSP)は、デジタル証明書が有効かどうかを確認するより効率的な方法です。 OCSP応答者である他のサーバーと通信して、証明書失効リスト(CRL)をチェックする代わりに証明書が有効であることを確認します。
OCSPステープリングは、このプロトコルのさらなる改良であり、証明書が要求されるたびにではなく、定期的な間隔でサーバーがOCSPレスポンダを確認できるようにします。 詳細については、 OCSP Wikipedia のページをご覧ください。
OCSPステープルを有効にする⇑
説明
OCSPステープルを有効にするかどうかを決定します。これは、公開鍵証明書を検証するより効率的な方法です。
構文
ラジオボックスから選択
OCSPの応答最大年齢(秒)⇑
説明
このオプションは、OCSP応答の許容可能な最大経過時間を設定します。 OCSP応答がこの最大年齢より古い場合、サーバーはOCSP応答者に新しい応答を要求します。 デフォルト値は86400です。 この値を-1に設定すると、最大年齢を無効にすることができます。
構文
秒数
OCSPレスポンダ⇑
説明
使用するOCSPレスポンダのURLを指定します。 設定されていない場合、サーバーは認証局の発行者証明書に記載されているOCSPレスポンダに接続を試みます。 一部の発行者証明書には、OCSPレスポンダURLが指定されていない場合があります。
構文
http://で始まるURL
例
OCSP CA証明書⇑
説明
OCSP認証局(CA)証明書が格納されるファイルの場所を指定します。 これらの証明書は、OCSPレスポンダからのレスポンスを確認するために使用されます(また、そのレスポンスが偽装されていないか、または妥協されていないことを確認してください)。 このファイルには、証明書チェーン全体が含まれている必要があります。 このファイルにルート証明書が含まれていない場合、LSWSはファイルに追加することなくシステムディレクトリのルート証明書を見つけることができますが、この検証に失敗した場合はルート証明書をこのファイルに追加してください。
この設定はオプションです。 この設定が設定されていない場合、サーバーは自動的にCA証明書ファイルをチェックします。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス
クライアントの検証⇑
説明
クライアント証明書認証のタイプを指定します。 使用できるタイプは次のとおりです:
- None: クライアント証明書は必要ありません。
- Optional: クライアント証明書はオプションです。
- Require: クライアントには有効な証明書が必要です。
- Optional_no_ca: オプションと同じです。
構文
ドロップダウンリストから選択
ヒント
"None"または "Require"をお勧めします。
検証の深さ⇑
説明
クライアントに有効な証明書がないと判断する前に、証明書の検証の深さを指定します。 デフォルトは "1"です。
構文
ドロップダウンリストから選択
クライアントの失効パス⇑
説明
取り消されたクライアント証明書のPEMエンコードされたCA CRLファイルを含むディレクトリを指定します。 このディレクトリのファイルはPEMでエンコードする必要があります。 これらのファイルは、ハッシュファイル名、hash-value.rNによってアクセスされます。 ハッシュファイル名の作成については、openSSLまたはApache mod_sslのドキュメントを参照してください。
構文
パス
クライアント失効ファイル⇑
説明
取り消されたクライアント証明書を列挙するPEMエンコードCA CRLファイルを含むファイルを指定します。 これは、代わりに、またはクライアントの失効パスに加えて使用することができます。
構文
ファイル名への絶対パス又は$SERVER_ROOTからの相対パス