Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

復号化プロファイルの作成

このページを使用して、復号化プロファイルを構成します。復号プロファイルは、セキュリティ ポリシー内のアプリケーション サービスとして有効になります。

復号化プロファイルを作成するには:

手記:

復号化プロファイルを作成する前に、テナントのルート証明書がインポートされていることを確認します。[証明書(Certificates)] ページ([管理 >証明書( Certificates))] から SSL 証明書(ルート証明書および信頼できる証明書)をインポートし、証明書を復号化プロファイルに関連付けることができます。
  1. [Security Subscriptions] > [Decrypt] を選択します。

    [復号プロファイル(Decrypt Profiles)] ページが表示されます。

  2. 追加アイコン(+)をクリックして、復号化プロファイルを作成します。

    [復号化プロファイルの作成(Create Decrypt Profiles)] ページが表示されます。

  3. 表 1 のガイドラインに従って設定を完了します。

    アスタリスク(*)でマークされたフィールドは必須です。

  4. [ OK] をクリックします。

    復号化プロファイルが作成されます。[復号プロファイル(Decrypt Profiles)] ページに戻り、確認メッセージが表示されます。

    表 1:復号プロファイル設定

    設定

    ガイドライン

    一般情報

    名前

    英数字といくつかの特殊文字(- _)の文字列であるプロファイルの一意の名前を入力します。スペースは使用できず、最大長は 63 文字です。

    形容

    プロファイルの説明を入力します。最大長は 255 文字です。

    優先されるCipher

    優先する暗号を選択します。「優先暗号」では、許容可能な鍵強度で使用できる SSL 暗号を定義できます。次のカテゴリから選択できます。

    • [なし(None )](デフォルト)—優先される暗号方式を指定しません。

    • [中(Medium)]:128 ビット以上の鍵強度の暗号を使用します。

    • [強力(Strong)]:鍵の強度が 168 ビット以上の暗号を使用します。

    • [弱い(Weak)]:鍵の強度が 40 ビット以上の暗号を使用します。

    • [カスタム(Custom)]:カスタム暗号スイートを設定します。

    カスタム暗号

    優先暗号として [カスタム(Custom )] を指定した場合は、暗号を選択してカスタム暗号リストを定義できます。

    SSH サーバーが暗号化および復号化機能の実行に使用できる暗号のセットを選択します。

    使用可能なカスタム暗号は次のとおりです。

    • rsa-with-RC4-128-md5—RSA、128 ビット RC4、MD5 ハッシュ

    • rsa-with-RC4-128-sha—RSA、128 ビット RC4、SHA ハッシュ

    • rsa-with-des-cbc-sha:RSA、DES/CBC、SHA ハッシュ

    • rsa-with-3DES-ede-cbc-sha—RSA、3DES EDE/CBC、SHA ハッシュ

    • rsa-with-aes-128-cbc-sha—RSA、128 ビット AES/CBC、SHA ハッシュ

    • rsa-with-aes-256-cbc-sha—RSA、256 ビット AES/CBC、SHA ハッシュ

    • rsa-export-with-rc4-40-md5—RSA エクスポート、40 ビット RC4、MD5 ハッシュ

    • rsa-export-with-des40-cbc-sha—RSA エクスポート、40 ビット DES/CBC、SHA ハッシュ

    • rsa-export1024-with-des-cbc-sha—RSA 1024 ビット エクスポート、DES/CBC、SHA ハッシュ

    • rsa-export1024-with-rc4-56-md5—RSA 1024 ビット エクスポート、56 ビット RC4、MD5 ハッシュ

    • rsa-export1024-with-rc4-56-sha—RSA 1024 ビット エクスポート、56 ビット RC4、SHA ハッシュ

    • rsa-with-aes-256-gcm-sha384—RSA、256 ビット AES/GCM、SHA384 ハッシュ

    • rsa-with-aes-256-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

    • rsa-with-aes-128-gcm-sha256—RSA、128 ビット AES/GCM、SHA256 ハッシュ

    • rsa-with-aes-128-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

    • ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256 ビット AES/GCM、SHA384 ハッシュ

    • ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256 ビット AES/CBC、SHA384 ハッシュ

    • ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256 ビット AES/CBC、SHA ハッシュ

    • ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHA ハッシュ

    • ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128 ビット AES/GCM、SHA256 ハッシュ

    • ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128 ビット AES/CBC、SHA256 ハッシュ

    • ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128 ビット AES/CBC、SHA ハッシュ

    フロートレース

    このトグル クリックしを動かすと、ポリシー関連の問題のトラブルシューティングのためのフロー トレースが有効になります。

    ルート証明書

    ルート証明書を選択または追加します。公開鍵基盤(PKI)階層では、ルート証明機関(CA)が信頼パスの最上位にあります。

    手記:

    デバイスからルート証明書を選択するには、少なくとも 1 つの信頼できる証明書がデバイスにインストールされていることを確認する必要があります。

    信頼できる認証局

    デバイスに存在するすべての信頼できる証明書を追加するか(すべて)、特定の信頼できる証明書を選択するかを選択します。安全な接続を確立する前に、復号化は CA 証明をチェックしてサーバー証明書の署名を検証します。

    手記:

    • すべての信頼できる証明書を使用するように指定すると、特定のデバイス(サイト)上のすべての信頼できる証明書が SSL ポリシーの展開中に使用されます。

    • すべての信頼できる証明書を復号化プロファイルで使用するように指定する場合は、少なくとも 1 つの信頼できる証明書がデバイスにインストールされていることを確認する必要があります。

    除外アドレス

    除外アドレスには、復号化処理の対象から除外するアドレスが含まれます。

    除外アドレスを指定するには、[ 使用可能 ] 列で 1 つ以上のアドレスを選択し、進む矢印をクリックして選択を確定します。選択したアドレスが [選択済み] 列に表示されます。これらのアドレスは、復号処理をバイパスする許可リストを作成するために使用されます。

    SSL暗号と復号化は複雑でコストのかかる手順であるため、ネットワーク管理者は一部のセッションで復号化処理を選択的にバイパスできます。

    このようなセッションには、通常、ネットワーク管理者がよく知っている信頼できるサーバーまたはドメインとの接続とトランザクションが含まれます。また、金融サイトや銀行サイトを免除する法的要件もあります。このような除外は、許可リストでサーバーのIPアドレスまたはドメイン名を構成することで実現されます。

    手記:

    [ アドレスの追加] をクリックしてアドレスを追加することもできます。[アドレスの作成(Create Addresses)] ページが表示されます。 アドレスまたはアドレス グループの作成を参照してください。

    除外 URL カテゴリ

    以前に定義した URL カテゴリを選択して、復号処理をバイパスする許可リストを作成します。選択した URL カテゴリは、SSL インスペクション中に除外されます。

    手記:

    juniper カテゴリを選択するには、Junos OSバージョン23.4R1以降がインストールされている必要があります。

    アクション

    サーバー認証失敗

    このチェックボックスをオンにすると、サーバ証明書の検証プロセス中に発生したエラー(CA署名検証の失敗、自己署名証明書、証明書の有効期限など)が無視されます。既定では、このチェックボックスはオフです。

    このオプションを設定すると、Web サイトがまったく認証されなくなるため、認証にはお勧めしません。ただし、このオプションを使用すると、SSL セッションがドロップされた根本原因を効果的に特定できます。

    セッションの再開

    このチェックボックスをオンにすると、セッションの再開が無効になります。既定では、このチェックボックスはオフです。

    スループットを向上させ、適切なレベルのセキュリティを維持するために、SSL セッション再開はセッションキャッシュメカニズムを提供し、プリマスター秘密鍵や合意された暗号方式などのセッション情報をクライアントとサーバーの両方でキャッシュできるようにします。

    伐採

    ログに記録するイベントを 1 つ以上選択します。すべてのイベント、警告、一般情報、エラー、または異なるセッション (許可、ドロップ、または無視) をログに記録することを選択できます。ログ記録はデフォルトで無効になっています。

    交渉

    SSL パラメーターの変更によって再ネゴシエーションが必要な場合は、以下のオプションのいずれかを選択します。

    • なし (デフォルト):再ネゴシエーションが不要であることを示します。

    • [許可(Allow)]:セキュアおよび非セキュアの再ネゴシエーションを許可します。

    • [セキュアを許可(Allow Secure)]:セキュアなネゴシエーションのみを許可します。

    • ドロップ—再ネゴシエーション要求でセッションをドロップします。

    セッションが作成され、SSL トンネル トランスポートが確立された後、SSL パラメータの変更には再ネゴシエーションが必要になります。復号化は、セキュア(RFC 5746)と非セキュア(TLS v1.0およびSSL v3)の両方の再ネゴシエーションをサポートします。

    セッション再開が有効な場合、セッションの再ネゴシエーションは以下の状況で役立ちます。

    • 暗号鍵は、長時間の SSL セッションの後に更新する必要があります。

    • より安全な接続を実現するには、より強力な暗号を適用する必要があります。