SRX復号化プロファイルの作成と管理

一般情報

名前

プロファイルの一意の名前を入力します。これは英数字と特殊文字(-_)の文字列です。スペースは使用できません。最大長は63文字です。

形容

プロファイルの説明を入力します。最大長は255文字です。

優先される暗号

優先される暗号を選択します。優先される暗号により、許容可能な鍵強度で使用できるSSL暗号を定義できます。以下のカテゴリから選択できます。

• なし(デフォルト)—優先される暗号を指定しません。

• 中—鍵強度が128ビット以上の暗号を使用します。

• 強力—鍵強度が168ビット以上の暗号を使用します。

• 弱—鍵強度が40ビット以上の暗号を使用します。

• カスタム—カスタム暗号スイートを設定します。

カスタム暗号

優先される暗号として カスタムを 指定した場合、暗号を選択してカスタム暗号リストを定義できます。

SSHサーバーが暗号化と暗号化解除機能を実行するために使用できる暗号のセットを選択します。

使用可能なカスタム暗号は次のとおりです。

• rsa-with-RC4-128-md5—RSA、128ビットRC4、MD5ハッシュ

• rsa-with-RC4-128-sha—RSA、128ビットRC4、SHAハッシュ

• rsa-with-des-cbc-sha—RSA、DES/CBC、SHAハッシュ

• rsa-with-3DES-ede-cbc-sha—RSA、3DES EDE/CBC、SHAハッシュ

• rsa-with-aes-128-cbc-sha—RSA、128ビットAES/CBC、SHAハッシュ

• rsa-with-aes-256-cbc-sha—RSA、256ビットAES/CBC、SHAハッシュ

• rsa-export-with-rc4-40-md5—RSA-export、40ビットRC4、MD5ハッシュ

• rsa-export-with-des40-cbc-sha—RSA-export、40ビットDES/CBC、SHAハッシュ

• rsa-export1024-with-des-cbc-sha—RSA 1024ビットエクスポート、DES/CBC、SHAハッシュ

• rsa-export1024-with-rc4-56-md5—RSA 1024ビットエクスポート、56ビットRC4、MD5ハッシュ

• rsa-export1024-with-rc4-56-sha—RSA 1024ビットエクスポート、56ビットRC4、SHAハッシュ

• rsa-with-aes-256-gcm-sha384—RSA、256ビットAES/GCM、SHA384ハッシュ

• rsa-with-aes-256-cbc-sha256—RSA、256ビットAES/CBC、SHA256ハッシュ

• rsa-with-aes-128-gcm-sha256—RSA、128ビットAES/GCM、SHA256ハッシュ

• rsa-with-aes-128-cbc-sha256—RSA、256ビットAES/CBC、SHA256ハッシュ

• ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256ビットAES/GCM、SHA384ハッシュ

• ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256ビットAES/CBC、SHA384ハッシュ

• ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256ビットAES/CBC、SHAハッシュ

• ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHAハッシュ

• ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128ビットAES/GCM、SHA256ハッシュ

• ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128ビットAES/CBC、SHA256ハッシュ

• ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128ビットAES/CBC、SHAハッシュ

フロートレース

このトグルボタンを移動して、ポリシー関連の問題のトラブルシューティングのためのフロートレースを有効にします。

ルート証明書

ルート証明書を選択または追加します。公開鍵インフラストラクチャ(PKI)階層では、ルート認証機関(CA)がトラストパスの最上位にあります。

信頼できる認証局

デバイス上に存在するすべての信頼できる証明書を追加するか(すべて)または特定の信頼できる証明書を選択するかを選択します。セキュアな接続を確立する前に、復号化はCA証明書をチェックしてサーバー証明書の署名を検証します。

除外アドレス

除外アドレスには、復号化処理の対象を除外したいアドレスが含まれます。

除外されたアドレスを指定するには、 利用可能な 列で1つ以上のアドレスを選択し、前進矢印をクリックして選択を確認します。選択したアドレスが 選択した 列に表示されます。これらのアドレスは、復号化処理をバイパスする許可リストを作成するために使用されます。

SSLの暗号化と復号化は複雑で高価な手順であるため、ネットワーク管理者は一部のセッションで復号化処理を選択的にバイパスできます。

このようなセッションには、通常、ネットワーク管理者が非常によく知っている信頼できるサーバーやドメインとの接続やトランザクションが含まれます。金融や銀行サイトを除外するための法的要件もあります。このような除外は、許可リストの下にサーバーのIPアドレスまたはドメイン名を設定することで達成されます。

除外URLカテゴリ

以前に定義されたURLカテゴリを選択して、復号化処理をバイパスする許可リストを作成します。選択したURLカテゴリは、SSL検査中は除外されます。

アクション

サーバー認証失敗

このチェックボックスを選択すると、サーバー証明書検証プロセス中に発生したエラー(CA署名検証の失敗、自己署名証明書、証明書の有効期限など)を無視します。このチェックボックスはデフォルトではオフになっています。

このオプションを設定するとWebサイトがまったく認証されなくなるため、認証にはこのオプションは推奨されません。ただし、このオプションを使用して、SSLセッションをドロップした根本的原因を効果的に特定できます。

セッションの再開

このチェックボックスを選択すると、セッションの再開を無効にします。このチェックボックスはデフォルトではオフになっています。

スループットを向上させながら適切なセキュリティレベルを維持するために、SSLセッションの再開はセッションキャッシュメカニズムを提供し、マスター前の秘密鍵や合意された暗号などのセッション情報をクライアントとサーバーの両方にキャッシュできるようにします。

伐採

ログに記録するイベントを1つ以上選択します。すべてのイベント、警告、一般情報、エラー、またはさまざまなセッション(許可、ドロップ、または無視)をログに記録することを選択できます。ログ記録はデフォルトで無効になっています。

交渉

SSLパラメーターの変更に再ネゴシエーションが必要な場合、以下のオプションのいずれかを選択します。

• なし(デフォルト)- 再ネゴシエーションは不要であることを示します。

• 許可—セキュアおよび非セキュアな再ネゴシエーションを許可します。

• セキュアを許可—セキュアなネゴシエーションのみを許可します。

• ドロップ—再ネゴシエーション要求時にセッションをドロップします。

セッションが作成され、SSLトンネルトランスポートが確立された後、SSLパラメーターの変更には再ネゴシエーションが必要です。復号化プロファイルは、セキュア(RFC 5746)と非セキュア(TLS v1.0およびSSL v3)の両方の再ネゴシエーションをサポートします。

セッションの再開が有効になっている場合、セッションの再ネゴシエーションは、以下の状況で役立ちます。

• 暗号鍵は、長時間のSSLセッション後に更新する必要があります。

• より安全な接続を確保するには、より強力な暗号を適用する必要があります。