管理リスナーSSL

説明

すべてのSSLリスナーには、ペアのSSL秘密鍵とSSL証明書が必要です。 複数のSSLリスナーは、同じ鍵と証明書を共有できます。
OpenSSLなどのSSLソフトウェアパッケージを使用して、SSL秘密鍵を自分で生成することができます。 SSL証明書は、VeriSignやThawteのような認証局から購入することもできます。 自分で証明書に署名することもできます。 自己署名証明書はWebブラウザから信頼されないため、重要なデータを含む公開Webサイトでは使用しないでください。 ただし、自己署名証明書は内部使用に十分適しており、 例えばLiteSpeed WebサーバーのWebAdminコンソールへのトラフィックの暗号化に使用できます。

説明

SSL秘密鍵ファイルのファイル名。キーファイルは暗号化しないでください。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

ヒント

[セキュリティ]秘密鍵ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にするセキュリティ保護されたディレクトリに配置する必要があります。

説明

SSL証明書ファイルのファイル名。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

ヒント

[セキュリティ]証明書ファイルは、サーバーが実行されるユーザーへの読み取り専用アクセスを可能にする安全なディレクトリに配置する必要があります。

説明

証明書がチェーン証明書であるかどうかを指定します。 チェーン証明を格納するファイルは、PEM形式でなければならず、証明書は最下位レベル（実際のクライアントまたはサーバー証明書）から最上位（ルート）CAまでの連鎖の順序でなければなりません。

構文

ラジオボックスから選択

説明

証明機関（CA）の証明書が保存されるディレクトリを指定します。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。

構文

パス

説明

チェーン証明書の証明機関（CA）のすべての証明書を含むファイルを指定します。 このファイルは、PEMでエンコードされた証明書ファイルを単に優先順に連結したものです。 これは、「CA証明書パス」の代替として、またはこれに加えて使用することができる。 これらの証明書は、クライアント証明書の認証およびサーバー証明書チェーンの構築に使用されます。サーバー証明書チェーンは、サーバー証明書に加えてブラウザーにも送信されます。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

説明

リスナーが受け入れるSSLプロトコルを選択します。

選択肢には、SSL v3.0、TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3があります。

構文

チェックボックスから選択

説明

SSLハンドシェイクのネゴシエーション時に使用する暗号スイートを指定します。 LSWSは、SSL v3.0、TLS v1.0、TLS v1.2、およびTLS v1.3で実装された暗号スイートをサポートしています。

構文

コロン区切りの暗号仕様文字列。

例

ヒント

[セキュリティ] SSL暗号のベストプラクティスに従うデフォルト暗号を使用するため、このフィールドは空白のままにすることをお勧めします。

説明

さらにSSL暗号化のために楕円曲線 Diffie-Hellman鍵交換を使用できます。

構文

ラジオボックスから選択

ヒント

[セキュリティ] ECDH鍵交換は、RSA鍵だけを使用するより安全です。 ECDHとDHキーの交換は同等に安全です。

[パフォーマンス] ECDH鍵交換を有効にするとCPU負荷が増加し、RSA鍵だけを使用する場合よりも遅くなります。

説明

さらにSSL暗号化のためにDiffie-Hellman鍵交換を使用できます。

構文

ラジオボックスから選択

ヒント

[セキュリティ] DHキーの交換は、RSAキーを使用するよりも安全です。 ECDHとDHキーの交換は同等に安全です。

[パフォーマンス] DHキー交換を有効にするとCPU負荷が増加し、ECDHキー交換とRSAよりも遅くなります。 ECDH鍵交換が利用可能な場合は、そちらを優先することをお勧めします。

説明

DHキー交換に必要なDiffie-Hellmanパラメータファイルの場所を指定します。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス

説明

SSL再交渉保護を有効にするかどうかを指定します。 SSLハンドシェイクベースの攻撃に対して防御します。デフォルト値は"Yes"です。

構文

ラジオボックスから選択

ヒント

Information この設定は、リスナーレベルとバーチャルホストレベルで有効にできます。

説明

OpenSSLのデフォルト設定を使用してセッションIDキャッシュを有効にします。バーチャルホスト設定を有効にするには、サーバーレベル設定を"Yes"に設定する必要があります。
デフォルト値：
サーバーレベル：Yes
VHレベル：Yes

構文

ラジオボックスから選択

説明

セッションチケットを有効にします。 「未設定」の場合、サーバーはopenSSLのデフォルトチケットを使用します。

構文

ラジオボタンから選択

説明

Application-Layer Protocol Negotiation(ALPN)は、HTTP/3とHTTP/2ネットワークプロトコルを選択的に有効にするために使用されます。

HTTP/2とHTTP3を無効にする場合は、Noneを選択し、他のすべてのチェックボックスを未選択のままにしてください。

デフォルト値: すべて有効

構文

チェックボックスから選択

ヒント

Information これはリスナーレベルとバーチャルホストレベルで設定できます。

説明

このリスナーにマップされたバーチャルホストでHTTP3/QUICネットワークプロトコルの使用を許可します。 この設定を有効にするには、サーバーレベルでもHTTP3/QUICを有効にするをYesに設定する必要があります。 デフォルト値はYesです。

ヒント

Information この設定をYesに設定しても、バーチャルホストレベルのHTTP3/QUICを有効にする設定でHTTP3/QUICを無効にできます。

説明

クライアント証明書認証のタイプを指定します。 使用できるタイプは次のとおりです：

• None: クライアント証明書は必要ありません。
• Optional: クライアント証明書はオプションです。
• Require: クライアントには有効な証明書が必要です。
• Optional_no_ca: オプションと同じです。

構文

ドロップダウンリストから選択

ヒント

Information "None"または "Require"をお勧めします。

説明

クライアントに有効な証明書がないと判断する前に、証明書の検証の深さを指定します。 デフォルトは "1"です。

構文

ドロップダウンリストから選択

説明

取り消されたクライアント証明書のPEMエンコードされたCA CRLファイルを含むディレクトリを指定します。 このディレクトリのファイルはPEMでエンコードする必要があります。 これらのファイルは、ハッシュファイル名、hash-value.rNによってアクセスされます。 ハッシュファイル名の作成については、openSSLまたはApache mod_sslのドキュメントを参照してください。

構文

パス

説明

取り消されたクライアント証明書を列挙するPEMエンコードCA CRLファイルを含むファイルを指定します。これはクライアントの失効パスの代替として、または追加で使用できます。

構文

ファイル名への絶対パス又は$SERVER_ROOTからの相対パス