Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL プロキシ プロファイルの追加

You are here: セキュリティ サービス > SSL Profiles > SSL Proxy.

SSL プロキシ プロファイルを追加するには:

  1. [SSL プロキシ プロファイル(SSL Proxy Profile)] ページの右上隅にある [+] をクリックします。

    [SSL プロキシ プロファイルの作成(Create SSL Proxy Profile)] ページが表示されます。

  2. 表 1 のガイドラインに従って設定を完了します。
  3. [ OK ] をクリックして変更を保存します。変更を破棄する場合は、[ キャンセル] をクリックします。
表 1: [SSL プロキシ プロファイルの作成(Create SSL Proxy Profile)] ページのフィールド

アクション
一般情報

名前

SSL プロキシ プロファイルの名前を入力します。

文字列には、英数字、コロン、ピリオド、ダッシュ、アンダースコアを含める必要があります。スペースは使用できません。最大長は 63 文字です。

優先されるCipher

鍵の強度に応じて暗号を指定します。リストから優先する暗号を選択します。

  • [中(Medium)]:128 ビット以上の鍵強度の暗号を使用します。

  • [強力(Strong)]:鍵の強度が 168 ビット以上の暗号を使用します。

  • [弱い(Weak)]:鍵の強度が 40 ビット以上の暗号を使用します。

  • [カスタム(Custom)]:カスタム暗号スイートと優先順位を設定します。

カスタム暗号

SSH サーバーが暗号化と復号化の機能を実行するために使用できる暗号方式のセットを指定します。このオプションが構成されていない場合、サーバーは使用可能なサポートされているスイートを受け入れます。

リストから暗号方式のセットを選択します。

  1. rsa-with-RC4-128-md5—RSA、128 ビット RC4、MD5 ハッシュ

  2. rsa-with-RC4-128-sha—RSA、128 ビット RC4、SHA ハッシュ

  3. rsa-with-des-cbc-sha:RSA、DES/CBC、SHA ハッシュ

  4. rsa-with-3DES-ede-cbc-sha—RSA、3DES EDE/CBC、SHA ハッシュ

  5. rsa-with-aes-128-cbc-sha—RSA、128 ビット AES/CBC、SHA ハッシュ

  6. rsa-with-aes-256-cbc-sha—RSA、256 ビット AES/CBC、SHA ハッシュ

  7. rsa-export-with-rc4-40-md5—RSA エクスポート、40 ビット RC4、MD5 ハッシュ

  8. rsa-export-with-des40-cbc-sha:RSA エクスポート、40 ビット DES/CBC、SHA ハッシュ

  9. rsa-with-aes-256-gcm-sha384—RSA、256 ビット AES/GCM、SHA384 ハッシュ

  10. rsa-with-aes-256-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

  11. rsa-with-aes-128-gcm-sha256—RSA、128 ビット AES/GCM、SHA256 ハッシュ

  12. rsa-with-aes-128-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

  13. ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256 ビット AES/GCM、SHA384 ハッシュ

  14. ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256 ビット AES/CBC、SHA ハッシュ

  15. ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256 ビット AES/CBC、SHA384 ハッシュ

  16. ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHA ハッシュ

  17. ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128 ビット AES/GCM、SHA256 ハッシュ

  18. ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128 ビット AES/CBC、SHA ハッシュ

  19. ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128 ビット AES/CBC、SHA256 ハッシュ

フロートレース

チェックボックスをオンにすると、ポリシー関連の問題のトラブルシューティングのためにフロートレースが有効になります。それ以外の場合は空白のままにします。

証明書の種類

このプロファイルに関連付ける証明書がルート CA 証明書かサーバー証明書かを指定します。サーバー証明書は SSL リバース プロキシに使用されます。サーバー証明書を選択した場合、信頼できる CA、CRL、およびサーバー認証失敗オプションは使用できません。[フォワード プロキシ プロファイル] で、ルート CA を選択します

公開鍵基盤(PKI)階層では、ルート CA は信頼パスの最上位にあります。ルート CA は、サーバー証明書を信頼できる証明書として識別します。

証書

この SSL プロキシー・プロファイルに関連付ける証明書をリストから選択します。

J-Web の [Administration > 証明書管理] ページで作成した証明書を指定します。公開鍵基盤(PKI)階層では、CA は信頼パスの最上位にあります。CA は、サーバー証明書を信頼できる証明書として識別します。

信頼できる認証局

デバイスで使用可能な信頼できる CA を、すべて、なし、特定の選択のオプションから選択します。

[Select specific] を選択した場合は、[Available] 列から [Certificate Authorities] を選択し、[Selected] 列に移動する必要があります。

除外アドレス

SSL フォワードプロキシ処理をバイパスするホワイトリストを作成するアドレスを指定します。

[使用可能(Available)] 列からアドレスを選択し、[選択済み(Selected)] 列に移動します。

SSL暗号と復号化は複雑でコストのかかる手順であるため、ネットワーク管理者は一部のセッションでSSLプロキシ処理を選択的にバイパスできます。このようなセッションには、ほとんどの場合、ネットワーク管理者がよく知っている信頼できるサーバーまたはドメインとの接続とトランザクションが含まれます。また、金融サイトや銀行サイトを免除する法的要件もあります。このような除外は、ホワイトリストの下にあるサーバーのIPアドレスまたはドメイン名を設定することで実現されます。

除外 URL カテゴリ

URL カテゴリを指定して、SSL フォワードプロキシ処理をバイパスするホワイトリストを作成します。

[使用可能(Available)] 列から URL カテゴリを選択し、[選択済み(Selected)] 列に移動します。

これらの URL カテゴリは、SSL インスペクションでは除外されます。除外の対象として選択できるのは、事前定義された URL カテゴリのみです。
アクション

サーバー認証失敗

このチェックボックスをオンにすると、サーバー認証が完全に無視されます。

この場合、SSL フォワード・プロキシーは、サーバー証明書の検証プロセス中に発生したエラー (CA 署名検査の失敗、自己署名証明書、証明書の有効期限など) を無視します。

このオプションを設定すると、Web サイトがまったく認証されなくなるため、認証にはお勧めしません。ただし、このオプションを使用すると、SSL セッションがドロップされた根本原因を効果的に特定できます。

セッションの再開

セッションを再開しない場合は、このチェックボックスを選択します。

スループットを向上させ、適切なレベルのセキュリティを維持するために、SSL セッション再開ではセッション・キャッシング・メカニズムが提供され、プリマスター秘密鍵や合意された暗号方式などのセッション情報をクライアントとサーバーの両方でキャッシュできます。

伐採

リストからオプションを選択して、ログを生成します。

すべてのイベント、警告、情報、エラー、または異なるセッション(ホワイトリスト、許可、ドロップ、または無視)をログに記録することを選択できます。

交渉

セッションが作成され、SSL トンネル トランスポートが確立された後、SSL パラメータの変更には再ネゴシエーションが必要になります。SSL フォワード プロキシは、セキュア(RFC 5746)と非セキュア(TLS v1.0 および SSL v3)の両方の再ネゴシエーションをサポートします。

[非セキュア再ネゴシエーションを許可する]、[セキュア再ネゴシエーションを許可する]、または [再ネゴシエーションの削除] のいずれを許可するかを指定できます。

セッション再開が有効な場合、セッションの再ネゴシエーションは以下の状況で役立ちます。

  • 暗号鍵は、長時間の SSL セッションの後に更新する必要があります。

  • より安全な接続を実現するには、より強力な暗号を適用する必要があります。

SSL パラメーターの変更によって再ネゴシエーションが必要な場合に選択します。オプションは、[なし](デフォルトで選択されています)、[許可]、[保護を許可]、および [ドロップ] です。

証明書の失効

証明書を取り消す場合は、チェックボックスを選択します。

CRL 情報が存在しない場合

CRL 情報が存在しない場合に許可するか削除するかを指定します。

CRL情報が存在しない場合は、リストから次のアクションを選択します:セッションを許可、セッションをドロップ、またはなし。

ホールド命令コード

指示コードを保留にしておく場合は、[無視] を選択します。
復号トラフィックのミラーリング

インターフェイス

リストから SSL 復号ポートのミラーリング インターフェイスを選択します。これは、SRXシリーズファイアウォール上のイーサネットインターフェイスであり、SSL復号化されたトラフィックのコピーがミラーポートに転送されます。

セキュリティ ポリシー適用後のみ

このチェックボックスをオンにすると、セキュリティ ポリシーによってレイヤー 7 セキュリティ サービスを適用した後、復号化されたトラフィックのコピーを外部ミラー トラフィック コレクターに転送できるようになります。

MAC アドレス

外部ミラー トラフィック コレクター ポートの MAC アドレスを入力します。

関連資料