SSLフォワードプロキシプロファイルの作成

General Information

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアからなる一意の文字列を入力します。スペースは使用できません。最大長は63文字です。

説明

SSLフォワードプロキシプロファイルの説明を入力します。最大長は1024文字です。

優先される暗号

優先される暗号を選択します。暗号は、鍵の強度に応じて以下のカテゴリーに分類されます。

• カスタム—カスタム暗号スイートと優先順位を設定します。

• 中—鍵強度が128ビット以上の暗号を使用します。

• 強力—鍵強度が168ビット以上の暗号を使用します。

• 弱—鍵強度が40ビット以上の暗号を使用します。

カスタム暗号

SSHサーバーが暗号化と暗号化解除機能を実行するために使用できる暗号のセットを選択します。このオプションが設定されていない場合、サーバーは利用可能なサポートされているスイートを受け入れます。

使用可能なカスタム暗号は次のとおりです。

• rsa-with-RC4-128-md5—RSA、128ビットRC4、MD5ハッシュ

• rsa-with-RC4-128-sha—RSA、128ビットRC4、SHAハッシュ

• rsa-with-des-cbc-sha—RSA、DES/CBC、SHAハッシュ

• rsa-with-3DES-ede-cbc-sha—RSA、3DES EDE/CBC、SHAハッシュ

• rsa-with-aes-128-cbc-sha—RSA、128ビットAES/CBC、SHAハッシュ

• rsa-with-aes-256-cbc-sha—RSA、256ビットAES/CBC、SHAハッシュ

• rsa-export-with-rc4-40-md5—RSA-export、40ビットRC4、MD5ハッシュ

• rsa-export-with-des40-cbc-sha—RSA-export、40ビットDES/CBC、SHAハッシュ

• rsa-export1024-with-des-cbc-sha—RSA 1024ビットエクスポート、DES/CBC、SHAハッシュ

• rsa-export1024-with-rc4-56-md5—RSA 1024ビットエクスポート、56ビットRC4、MD5ハッシュ

• rsa-export1024-with-rc4-56-sha—RSA 1024ビットエクスポート、56ビットRC4、SHAハッシュ

• rsa-with-aes-256-gcm-sha384—RSA、256ビットAES/GCM、SHA384ハッシュ

• rsa-with-aes-256-cbc-sha256—RSA、256ビットAES/CBC、SHA256ハッシュ

• rsa-with-aes-128-gcm-sha256—RSA、128ビットAES/GCM、SHA256ハッシュ

• rsa-with-aes-128-cbc-sha256—RSA、256ビットAES/CBC、SHA256ハッシュ

• ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256ビットAES/GCM、SHA384ハッシュ

• ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256ビットAES/CBC、SHA384ハッシュ

• ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256ビットAES/CBC、SHAハッシュ

• ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHAハッシュ

• ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128ビットAES/GCM、SHA256ハッシュ

• ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128ビットAES/CBC、SHA256ハッシュ

• ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128ビットAES/CBC、SHAハッシュ

フロートレース

ポリシー関連の問題のトラブルシューティングのためにフロートレースを有効にするには、このオプションを選択します。

ルート証明書

ルート証明書を選択または追加します。1つ以上のルート証明書を選択できます。公開鍵インフラストラクチャ(PKI)階層では、ルート CA がトラストパスの最上位にあります。ルート CA は、サーバー証明書を信頼できる証明書として識別します。

新しいルート証明書に対して 追加 をクリックします。追加ページで、デバイスとルート証明書に関連付ける信頼できるCAを選択します。

除外アドレス

アドレスを選択して、SSLフォワードプロキシ処理をバイパスする許可リストを作成します。

SSLの暗号化と復号化は複雑で高価な手順であるため、ネットワーク管理者は一部のセッションでSSLプロキシ処理を選択的にバイパスできます。このようなセッションのほとんどには、ネットワーク管理者が非常によく知っている信頼できるサーバーやドメインとの接続やトランザクションが含まれます。金融や銀行サイトを除外するための法的要件もあります。このような除外は、許可リストの下にサーバーのIPアドレスまたはドメイン名を設定することで達成されます。

除外URLカテゴリ

Junos Space Security Director リリース 16.2 以降、URL カテゴリを選択して、SSL フォワード プロキシ処理をバイパスする許可リストを作成できるようになりました。

これらのURLカテゴリは、SSL検査中は除外されます。事前定義されたURLカテゴリのみを除外対象として選択できます。

Actions

サーバー認証失敗

サーバー認証を完全に無視するには、このオプションを選択します。

この場合、SSLフォワードプロキシは、サーバー証明書検証プロセス中に発生したエラー(CA署名検証の失敗、自己署名証明書、証明書の有効期限切れなど)を無視します。

このオプションを設定するとWebサイトがまったく認証されなくなるため、認証にはこのオプションは推奨されません。ただし、このオプションを使用して、SSLセッションをドロップした根本的原因を効果的に特定できます。

セッションの再開

セッションの再開を希望しない場合は、セッションの再開を無効にするオプションを選択します。

スループットを向上させながら適切なセキュリティレベルを維持するために、SSLセッションの再開はセッションキャッシュメカニズムを提供し、プライマリ前の秘密鍵や合意された暗号などのセッション情報をクライアントとサーバーの両方にキャッシュできるようにします。

ログ

ログを生成するには、このオプションを選択します。すべてのイベント、警告、一般情報、エラー、またはさまざまなセッション(許可リスト、許可、ドロップ、または無視)をログに記録することを選択できます。

再ネゴシエーション

セッションが作成され、SSLトンネルトランスポートが確立された後、SSLパラメーターの変更には再ネゴシエーションが必要です。SSLフォワードプロキシは、セキュア(RFC 5746)と非セキュア(TLS v1.0およびSSL v3)の両方の再ネゴシエーションをサポートします。

SSLパラメーターの変更に再ネゴシエーションが必要な場合、以下のオプションのいずれかを選択します。

• なし(デフォルトで選択されています)

• 許可

• 許可セキュア

• ドロップ

セッションの再開が有効になっている場合、セッションの再ネゴシエーションは、以下の状況で役立ちます。

• 暗号鍵は、長時間のSSLセッション後に更新する必要があります。

• より安全な接続を確保するには、より強力な暗号を適用する必要があります。