Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL 開始プロファイルの作成と管理

SSL 開始プロファイルを作成して、SSL 開始接続の設定を構成します。これには、サポートされている暗号とその優先順位、サポートされているSSL/TLSのバージョン、およびその他のいくつかのオプションのリストが含まれます。
  1. [Shared Services > Objects > SSL Initiation Profile] を選択します。
    「SSL 開始プロファイル」ページが開きます。
  2. 追加(+)アイコンをクリックします。
    「SSL 開始プロファイルの作成」ページが開きます。
  3. 次のガイドラインに従って設定を完了します。
    表 1: SSL 開始プロファイル設定

    設定

    ガイドライン

    名前

    SSL 開始プロファイルの一意の名前を入力します。

    文字列は、英数字、コロン、ピリオド、ダッシュ、およびアンダースコアで構成されている必要があります。スペースは使用できません。最大長は 63 文字です。

    プロトコルバージョン

    リストから受け入れ可能なプロトコルのSSLバージョンを選択します:なし、すべて、TSLv1、TSLv1.1、またはTSLv1.2。

    暗号強度

    鍵の強度に応じて暗号を指定します。リストから優先する暗号を選択します。

    • [カスタム(Custom)]:カスタム暗号スイートと優先順位を設定します。

    • [中(Medium)]:128 ビット以上の鍵強度の暗号を使用します。

    • [強力(Strong)]:鍵の強度が 168 ビット以上の暗号を使用します。

    • [弱い(Weak)]:鍵の強度が 40 ビット以上の暗号を使用します。

    フロートレース

    このオプションを選択すると、このプロファイルのポリシー関連の問題のトラブルシューティングのフロートレースが有効になります。

    SSL セッションキャッシュ

    SSL セッション・キャッシュを有効にするには、このオプションを選択します。

    ローカル証明書

    ローカル証明書

    クライアントを効果的に認証するために必要なクライアント証明書を指定します。リストから適切なクライアント証明書を選択します。

    デバイス固有のローカル証明書を追加する

    このオプションを有効にすると、クライアントに有効なクライアント証明書が選択されます。

    1. [+] をクリックします。

      [Add Device-specific Local Certificate] ページが開きます。

    2. 次の詳細を入力します。

      • [デバイス(Devices)]:リストから使用可能なデバイスを選択します。

      • ローカル証明書 - クライアントがサーバーに接続するときに使用する証明書をリストから選択します。通常、SRXシリーズファイアウォールが信頼するCAによって署名されます。

    3. [ OK] をクリックします。

    CA 証明

    CA 証明

    リストから認証局プロファイルを選択します。SSH サーバーが暗号化と復号化の機能を実行するために使用できる暗号方式のセットを指定します。このオプションが構成されていない場合、サーバーは使用可能なサポートされているスイートを受け入れます。

    デバイス固有の CA 証明書を追加する

    クライアントに有効な CA 証明書を選択するには、このオプションを有効にします。

    Junos OS には、信頼できる CA 証明のデフォルト リストが用意されています。デフォルト コマンド オプションを使用して、信頼できる CA 証明のデフォルト リストを読み込みます。

    1. [+] をクリックします。

      [Add Device-specific CA Certificate] ページが開きます。

    2. 次の詳細を入力します。

      • [デバイス(Devices)]:リストから使用可能なデバイスを選択します。

      • CA 証明書 - クライアントがサーバーに接続するときに使用する証明書をリストから選択します。

    3. [ OK] をクリックします。

    アクション

    サーバー認証の失敗を無視する

    このオプションを有効にすると、サーバー認証が完全に無視されます。

    この場合、SSL フォワードプロキシは、サーバー証明書の検証プロセス中に発生したエラー (CA 署名検証の失敗、自己署名証明書、証明書の有効期限など) を無視します。

    このオプションを設定すると、Web サイトがまったく認証されなくなるため、認証にはお勧めしません。ただし、このオプションを使用すると、SSL セッションがドロップされた根本原因を効果的に特定できます。

    CRL 検証

    デバイスで CRL 検証を有効にして、サーバーから失効した証明書を確認します。

    CRL 情報が使用できない場合

    リストから次のいずれかのオプションを選択します。

    • [なし(None)]:アクションは実行されません。

    • [ドロップ(Drop)]:CRL 情報が使用できない場合にセッションをドロップします。

    • [許可(Allow)]:CRL 情報が使用できない場合にセッションを許可します。

    証明書が取り消された場合

    リストから次のいずれかのオプションを選択します。

    • [なし(None)]:アクションは実行されません。

    • [ドロップ(Drop)]:証明書が失効した時点でセッションをドロップします。

    • [許可(Allow)]:証明書が失効し、失効理由が保留になっている場合にセッションを許可します。
  4. [OK] をクリックします。

    「SSL 開始プロファイル」ページが開き、SSL 開始プロファイルが作成されたことを示す確認メッセージが表示されます。

    SSL 開始プロファイルを作成した後、このプロファイルをセキュリティー・ポリシーのアプリケーション・サービスとして使用できます。

SSL 開始プロファイルの管理

  • [編集(Edit)]:プロファイルを選択し、[ ()] をクリックします。

  • [削除(Delete)]:プロファイルを選択し、[ ()] をクリックします。SSL 開始プロファイルは、ICAP リダイレクト サーバーに関連付けられていない場合にのみ削除できます。

関連資料