profile (SSL Termination)
構文
profile name { custom-ciphers; enable-flow-tracing enable-flow-tracing; enable-session-cache enable-session-cache; preferred-ciphers (custom | medium | strong | weak); protocol-version (all | ssl3 | tls1 | tls11 | tls12); server-certificate server-certificate; trusted-ca ; }
階層レベル
[edit services ssl termination]
説明
SSL終端支援サービスのプロファイルの名前を指定してください。
クライアントから SRX シリーズへのトラフィックは暗号化され、SRX シリーズで終端されます。その後、バックエンド サーバーへのトラフィックが再度暗号化されます。
SSLターミネーションは、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了します。SRXシリーズファイアウォールは、HTTPクライアントから暗号化されたデータを受信します。データを復号化し、暗号化されていないリクエストとして他のサーバー(HTTPサーバー)に送信します。
プロファイルには、SSL 終了接続の設定が含まれています。これには、サポートされている暗号とその優先順位のリスト、サポートされている SSL/TLS のバージョン、およびその他のいくつかのオプションが含まれます。
オプション
custom-ciphers | SSL プロファイルのカスタム暗号を構成します。 カスタム暗号を使用すると、独自の暗号リストを定義できます。優先暗号の 3 つのカテゴリ (強、中、または週) のいずれかを使用しない場合は、各カテゴリから暗号を選択してカスタム暗号セットを作成できます。 カスタム暗号を設定するには、優先暗号をカスタムに設定する必要があります。詳細については 、優先暗号 を参照してください。 |
enable-flow-tracing | フロー トレースを有効にして、デバッグ トレースを有効にします。 |
enable-session-cache | SSL セッション・キャッシュを有効にします。セッション・キャッシングを有効にして、クライアントとサーバーの両方について、プリマスター秘密鍵や合意された暗号方式などのセッション情報をキャッシュすることができます。 |
preferred-ciphers | 優先暗号を選択します。優先暗号を使用すると、許容可能な鍵強度で使用できる SSL 暗号を定義できます。暗号は、キーの強度に応じて、強、中、弱の3つのカテゴリに分類されます。 |
protocol-version | 受け入れられる SSL プロトコルのバージョンを指定します。セキュリティデバイスがSSL接続でのネゴシエーションに使用するSSL/TLSプロトコルのバージョンを指定できます。 |
server-certificate | ローカル証明書識別子。サーバー証明書は、サーバーの ID を認証するために使用されます。サーバーは、初期接続セットアップの一部として証明書を提示する必要があります。SSL プロキシは、証明書の元の発行者を独自の ID に置き換えることによって新しい証明書を生成し、この新しい証明書に独自の公開キー (プロキシ プロファイル構成の一部として提供) で署名します。 |
trusted-ca | 信頼された認証局プロファイルのリスト。SSL フォワード プロキシは、サーバー認証に信頼できる CA 証明書を使用します。Junos OSは、デフォルトのコマンドオプションを使用してシステムに簡単にロードできる信頼できるCA証明書のデフォルトリストを提供します。 |
必要な権限レベル
services—設定でこのステートメントを表示します。
services-controlー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース12.1X44-D10で導入されたステートメント。このステートメントは protocol-version
、Junos OSリリース15.1X49-D30から および を含む tls11
ように tls12
アップデートされています。