Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL プロキシー・プロファイルの追加

お客様のアドレス: セキュリティサービス > SSLプロファイル > SSLプロキシ

SSL プロキシー・プロファイルを追加するには、以下の手順にいます。

  1. SSL プロキシー・プロファイル・ページの右上にある追加アイコン (+) をクリックします。

    [SSL プロキシー プロファイルの作成] ページが表示されます。

  2. 表 1 に示すガイドラインに従って、設定を完了します。
  3. [OK] をクリックして変更を保存します。変更を破棄する場合は、[キャンセル] をクリックします。
表 1: 「SSL プロキシー・プロファイルの作成」ページのフィールド

フィールド

アクション
一般的な情報

名前

SSL プロキシー・プロファイルの名前を入力します。

文字列には、英数字、コロン、ピリオド、ダッシュ、アンダースコアを含める必要があります。スペースは使用できません。最大長は63文字です。

優先暗号方式

鍵強度に応じて暗号方式を指定します。リストから優先暗号方式を選択します。

  • 中 — 鍵強度が 128 ビット以上の暗号方式を使用します。

  • 強力—鍵強度が168ビット以上の暗号方式を使用します。

  • 強度が低い —鍵強度が 40 ビット以上の暗号方式を使用します。

  • カスタム — カスタム暗号スイートと優先度の順序を設定します。

カスタム暗号方式

SSHサーバーが暗号化と復号化機能の実行に使用できる暗号方式のセットを指定します。このオプションが構成されていない場合、サーバーはサポートされているスイートを受け入れます。

リストから暗号方式のセットを選択します。

  1. rsa-with-RC4-128-md5—RSA、128ビットRC4、MD5ハッシュ

  2. rsa-with-RC4-128-sha-RSA、128ビットRC4、SHAハッシュ

  3. rsa-with-des-cbc-sha-rsa, DES/CBC, SHA hash

  4. rsa-with-3DES-ede-cbc-sha-RSA、3DES EDE/CBC、SHA ハッシュ

  5. rsa-with-aes-128-cbc-sha-RSA、128 ビット AES/CBC、SHA ハッシュ

  6. rsa-with-aes-256-cbc-sha-RSA、256 ビット AES/CBC、SHA ハッシュ

  7. rsa-export-with-rc4-40-md5—RSA-export、40ビットRC4、MD5ハッシュ

  8. rsa-export-with-des40-cbc-sha—RSA-export、40 ビット DES/CBC、SHA ハッシュ

  9. rsa-with-aes-256-gcm-sha384-RSA、256 ビット AES/GCM、SHA384 ハッシュ

  10. rsa-with-aes-256-cbc-sha256-RSA、256 ビット AES/CBC、SHA256 ハッシュ

  11. rsa-with-aes-128-gcm-sha256-RSA、128ビットAES/GCM、SHA256ハッシュ

  12. rsa-with-aes-128-cbc-sha256-RSA、256 ビット AES/CBC、SHA256 ハッシュ

  13. ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256 ビット AES/GCM、SHA384 ハッシュ

  14. ecdhe-rsa-with-aes-256-cbc-sha-ECDHE、RSA、256 ビット AES/CBC、SHA ハッシュ

  15. ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256 ビット AES/CBC、SHA384 ハッシュ

  16. ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHA ハッシュ

  17. ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128 ビット AES/GCM、SHA256 ハッシュ

  18. ecdhe-rsa-with-aes-128-cbc-sha-ECDHE、RSA、128 ビット AES/CBC、SHA ハッシュ

  19. ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128 ビット AES/CBC、SHA256 ハッシュ

フロー トレース

ポリシー関連の問題をトラブルシューティングするためのフロー トレースを有効にする場合は、このチェック ボックスをオンにします。それ以外の場合は空白のままにします。

証明書の種類

このプロファイルに関連付ける証明書がルート CA 証明書かサーバー証明書かを指定します。サーバー証明書はSSLリバースプロキシに使用されます。サーバー証明書を選択した場合、信頼できる CA、CRL、およびサーバー認証失敗オプションは使用できません。フォワード プロキシー プロファイルの場合は、ルート CA を選択します。

公開鍵基盤(PKI)階層では、ルート CA は信頼パスの最上位にあります。ルート CA は、サーバー証明書を信頼できる証明書として識別します。

証明 書

この SSL プロキシー・プロファイルに関連付ける証明書をリストから選択します。

J-Web の [管理>証明書管理] ページで作成した証明書を指定します。公開鍵基盤(PKI)階層では、CA は信頼パスの最上位にあります。CA は、サーバー証明書を信頼できる証明書として識別します。

信頼できる認証機関

[すべて]、[なし]、[特定の選択] のオプションから、デバイスで使用可能な信頼できる CA を選択します。

[特定の選択] を選択した場合は、[使用可能] 列から証明機関を選択し、選択した列に移動する必要があります。

免除された住所

SSL フォワード プロキシー処理をバイパスするホワイトリストを作成するアドレスを指定します。

[使用可能] 列からアドレスを選択し、選択した列に移動します。

SSL 暗号化と暗号化解除は複雑で高価な手順であるため、ネットワーク管理者は、一部のセッションで SSL プロキシー処理を選択的にバイパスできます。このようなセッションには、主に、ネットワーク管理者が非常に精通している信頼できるサーバーやドメインとの接続やトランザクションが含まれます。また、金融サイトや銀行サイトは免除される法的要件もあります。このような除外は、ホワイトリストの下でサーバーのIPアドレスまたはドメイン名を設定することで達成されます。

免除された URL カテゴリー

SSL フォワード プロキシー処理をバイパスするホワイトリストを作成する URL カテゴリを指定します。

[使用可能] 列から [URL カテゴリ] を選択し、選択した列に移動します。

これらの URL カテゴリーは、SSL インスペクション中は免除されます。除外対象として選択できるのは、定義済みの URL カテゴリのみです。
アクション

サーバー認証エラー

サーバー認証を完全に無視する場合は、このチェック ボックスをオンにします。

この場合、SSLフォワードプロキシは、サーバー証明書の検証プロセス(CA署名検証失敗、自己署名証明書、証明書の期限切れなど)で発生したエラーを無視します。

このオプションは認証にはお勧めしません。設定すると Web サイトがまったく認証されないからです。ただし、このオプションを使用して、SSL セッションのドロップの根本原因を効果的に特定することができます。

セッションの再開

セッションを再開しない場合は、このチェック ボックスをオンにします。

スループットを向上させ、適切なレベルのセキュリティを維持するために、SSLセッションの再開は、セッションキャッシングメカニズムを提供し、プリマスター秘密鍵や合意された暗号方式などのセッション情報をクライアントとサーバーの両方にキャッシュできます。

ログ

ログを生成するオプションをリストから選択します。

すべてのイベント、警告、情報、エラー、または異なるセッション(ホワイトリスト、許可、ドロップ、または無視)をログに記録することを選択できます。

交渉

セッションが作成され、SSLトンネルトランスポートが確立された後、SSLパラメーターの変更には再ネゴシエイションが必要です。SSLフォワードプロキシーは、セキュア(RFC 5746)と非セキュア(TLS v1.0およびSSL v3)の両方の再ネゴシエーションをサポートしています。

非セキュア再ネゴシエイションを許可するか、許可-secure再ネゴシエイションを許可するか、またはドロップ再ネゴシエイションを許可するかを指定できます。

セッションの再開が有効になっている場合、次の状況ではセッション再ネゴシエイションが有効になります。

  • 暗号キーは、長引く SSL セッションの後に更新する必要があります。

  • よりセキュアな接続には、より強力な暗号方式を適用する必要があります。

SSL パラメーターの変更に再ネゴシエーションが必要な場合に選択します。オプションは、なし(デフォルトでは選択)、許可、許可セキュア、およびドロップです。

証明書の取り消し

証明書を取り消す場合は、このチェック ボックスをオンにします。

CRL 情報が存在しない場合

CRL 情報が存在しない場合に、許可またはドロップするかどうかを指定します。

CRL 情報が存在しない場合は、一覧から次のアクションを選択します。セッションの許可、セッションの削除、または [なし] です。

保留命令コード

命令コードを保留にする場合は、「無視」を選択します。
トラフィックのミラーリング暗号化解除

インターフェイス

リストからSSL暗号化解除ポートミラーリングインターフェイスを選択します。これは、SSL復号化されたトラフィックのコピーがミラーポートに転送されるSRXシリーズデバイス上のイーサネットインターフェイスです。

セキュリティ ポリシー適用後のみ

セキュリティ ポリシーを介してレイヤー 7 セキュリティ サービスを適用した後、復号化されたトラフィックのコピーを外部ミラー トラフィック コレクターに転送できるようにする場合は、このチェック ボックスをオンにします。

MAC アドレス

外部ミラー トラフィック コレクター ポートの MAC アドレスを入力します。

関連ドキュメント