SSL開始プロファイルの作成と管理

名前

SSL開始プロファイルの一意の名前を入力します。

文字列は、英数字、コロン、ピリオド、ダッシュ、アンダースコアで構成されている必要があります。スペースは使用できません。最大長は63文字です。

プロトコルバージョン

リストから受け入れられたプロトコルSSLバージョンを選択します:なし、すべて、TSLv1、TSLv1.1、またはTSLv1.2。

暗号強度

鍵の強度に応じて暗号を指定します。リストから優先される暗号を選択します。

• カスタム—カスタム暗号スイートと優先順位を設定します。

• 中—鍵強度が128ビット以上の暗号を使用します。

• 強力—鍵強度が168ビット以上の暗号を使用します。

• 弱—鍵強度が40ビット以上の暗号を使用します。

フロートレース

このオプションを選択すると、このプロファイルのポリシー関連の問題のトラブルシューティング用にフロートレースを有効にします。

SSLセッションキャッシュ

このオプションを選択して、SSLセッションキャッシュを有効にします。

ローカル証明書

ローカル証明書

クライアントを効果的に認証するために必要なクライアント証明書を指定します。リストから適切なクライアント証明書を選択します。

デバイス固有のローカル証明書を追加

クライアントに対して有効なクライアント証明書を選択するには、このオプションを有効にします。

1. プラスアイコン()をクリックします。

   デバイス固有のローカル証明書の追加ページが開きます。

2. 以下の詳細を入力します。

   • デバイス—リストから使用可能なデバイスを選択します。

   • ローカル証明書—リストからクライアントがサーバーに接続する際に使用する証明書を選択します。通常、SRXシリーズファイアウォールが信頼するCAによって署名されます。

3. OKをクリックします。

CA証明書

CA証明書

リストから認証機関プロファイルを選択します。SSHサーバーが暗号化と暗号化解除機能を実行するために使用できる暗号のセットを指定します。このオプションが設定されていない場合、サーバーは利用可能なサポートされているスイートを受け入れます。

デバイス固有のCA証明書を追加する

クライアントに対して有効なCA証明書を選択するには、このオプションを有効にします。

Junos OS は、信頼できる CA 証明書のデフォルト リストを提供します。デフォルトコマンドオプションを使用して、信頼できるCA証明書のデフォルトリストを読み込みます。

1. プラスアイコン()をクリックします。

   デバイス固有のCA証明書の追加ページが開きます。

2. 以下の詳細を入力します。

   • デバイス—リストから使用可能なデバイスを選択します。

   • CA証明書—リストからクライアントがサーバーに接続する際に使用する証明書を選択します。

3. OKをクリックします。

アクション

サーバー認証失敗を無視する

サーバー認証を完全に無視するには、このオプションを有効にします。

この場合、SSLフォワードプロキシは、サーバー証明書検証プロセス中に発生したエラー(CA署名検証の失敗、自己署名証明書、証明書の有効期限切れなど)を無視します。

このオプションを設定するとWebサイトがまったく認証されなくなるため、認証にはこのオプションは推奨されません。ただし、このオプションを使用して、SSLセッションをドロップした根本的原因を効果的に特定できます。

CRL検証

デバイスでCRL検証を有効にして、サーバーから取り消された証明書がないかを確認します。

CRL情報が利用できない場合

リストからオプションの1つを選択します。

• なし—アクションは実行されません。

• ドロップ—CRL情報が利用できない場合、セッションをドロップします。

• 許可—CRL情報が利用できない場合にセッションを許可します。

証明書が取り消された場合

リストからオプションの1つを選択します。

• なし—アクションは実行されません。

• ドロップ—証明書が失効した場合にセッションをドロップします。

• 許可—証明書が失効しており、失効理由が保留になっている場合、セッションを許可します。