復号化プロファイルの作成
このページを使用して、復号化プロファイルを設定します。復号化プロファイルは、セキュリティポリシー内のアプリケーションサービスとして有効です。
復号化プロファイルを作成するには:
復号プロファイルを作成する前に、テナントのルート証明書がインポートされていることを確認します。[証明書] ページ ([管理 ] > [証明書]) から SSL 証明書(ルートおよび信頼済み)をインポートし、証明書を復号化プロファイルに関連付けることができます。
- [セキュリティ サブスクリプション] > [復号化] を選択します。
[プロファイルの復号化] ページが表示されます。
- 追加アイコン(+)をクリックして、復号化プロファイルを作成します。
[復号化プロファイルの作成] ページが表示されます。
- 表 1 に示すガイドラインに従って構成を完了します。
アスタリスク (*) の付いたフィールドは必須です。
- OK をクリックします。
復号化プロファイルが作成されます。[プロファイルの復号化] ページに戻り、確認メッセージが表示されます。
表1:プロファイル設定の復号化 設定
ガイドライン
一般情報
名前
プロファイルの一意の名前を入力します。これは、英数字と特殊文字(- _)の文字列です。スペースは使用できません。最大長は 63 文字です。
説明
プロファイルの説明を入力します。最大長は 255 文字です。
優先暗号
優先する暗号を選択します。優先暗号を使用すると、許容可能な鍵強度で使用できる SSL 暗号を定義できます。次のカテゴリから選択できます。
-
なし (デフォルト):優先暗号を指定しません。
-
中 - キー強度が 128 ビット以上の暗号を使用します。
-
[強力(Strong)]:キー強度が 168 ビット以上の暗号方式を使用します。
-
弱い - 鍵強度が 40 ビット以上の暗号を使用します。
-
カスタム:カスタム暗号スイートを設定します。
カスタム暗号
優先暗号として Custom を指定した場合は、暗号を選択してカスタム暗号リストを定義できます。
SSH サーバーが暗号化および復号化機能を実行するために使用できる暗号のセットを選択します。
使用可能なカスタム暗号は次のとおりです。
-
rsa-with-RC4-128-md5—RSA、128 ビット RC4、MD5 ハッシュ
-
rsa-with-RC4-128-sha—RSA、128-bit RC4、SHA ハッシュ
-
rsa-with-des-cbc-sha—RSA、DES/CBC、SHA ハッシュ
-
rsa-with-3DES-ede-cbc-sha—RSA、3DES EDE/CBC、SHA ハッシュ
-
rsa-with-aes-128-cbc-sha - RSA、128 ビット AES/CBC、SHA ハッシュ
-
rsa-with-aes-256-cbc-sha—RSA、256 ビット AES/CBC、SHA ハッシュ
-
rsa-export-with-rc4-40-md5—RSAエクスポート、40ビットRC4、MD5ハッシュ
-
rsa-export-with-des40-cbc-sha—RSA export、40 ビット DES/CBC、SHA ハッシュ
-
rsa-export1024-with-des-cbc-sha:RSA 1024 ビット エクスポート、DES/CBC、SHA ハッシュ
-
rsa-export1024-with-rc4-56-md5:RSA 1024 ビット エクスポート、56 ビット RC4、MD5 ハッシュ
-
rsa-export1024-with-rc4-56-sha:RSA 1024 ビット エクスポート、56 ビット RC4、SHA ハッシュ
-
rsa-with-aes-256-gcm-sha384—RSA、256 ビット AES/GCM、SHA384 ハッシュ
-
rsa-with-aes-256-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ
-
rsa-with-aes-128-gcm-sha256—RSA、128 ビット AES/GCM、SHA256 ハッシュ
-
rsa-with-aes-128-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ
-
ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256 ビット AES/GCM、SHA384 ハッシュ
-
ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256 ビット AES/CBC、SHA384 ハッシュ
-
ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256 ビット AES/CBC、SHA ハッシュ
-
ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHA ハッシュ
-
ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128 ビット AES/GCM、SHA256 ハッシュ
-
ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128 ビット AES/CBC、SHA256 ハッシュ
-
ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128 ビット AES/CBC、SHA ハッシュ
フロートレース
このトグル ボタンを動かして、ポリシー関連の問題のトラブルシューティングのためのフロー トレースを有効にします。
ルート証明書
ルート証明書を選択または追加します。公開キー基盤 (PKI) 階層では、ルート証明機関 (CA) が信頼パスの最上位にあります。
メモ:デバイスからルート証明書を選択するには、少なくとも 1 つの信頼できる証明書がデバイスにインストールされていることを確認する必要があります。
信頼できる認証局
デバイスに存在するすべての信頼できる証明書を追加するか(すべて)、特定の信頼できる証明書を選択するかを選択します。安全な接続を確立する前に、復号化は CA 証明書をチェックして、サーバー証明書の署名を検証します。
メモ:-
すべての信頼できる証明書を使用するように指定すると、特定のデバイス(サイト)上のすべての信頼できる証明書が SSL ポリシーの展開時に使用されます。
-
すべての信頼できる証明書を復号化プロファイルで使用するように指定する場合は、少なくとも 1 つの信頼できる証明書がデバイスにインストールされていることを確認する必要があります。
適用除外アドレス
除外アドレスには、復号化処理の対象から除外するアドレスが含まれます。
除外する宛先を指定するには、[ 使用可能 ] 列で 1 つ以上のアドレスを選択し、進む矢印をクリックして選択を確定します。選択したアドレスが [ 選択済み ] 列に表示されます。これらのアドレスは、復号処理をバイパスする許可リストを作成するために使用されます。
SSL の暗号化と復号化は複雑でコストのかかる手順であるため、ネットワーク管理者は一部のセッションで復号化処理を選択的にバイパスできます。
このようなセッションには、通常、ネットワーク管理者に精通している信頼できるサーバーまたはドメインとの接続とトランザクションが含まれます。金融および銀行のサイトを免除するための法的要件もあります。このような除外は、許可リストの下でサーバーのIPアドレスまたはドメイン名を構成することで実現されます。
メモ:[ アドレスの追加] をクリックしてアドレスを追加することもできます。[アドレスの作成] ページが表示されます。 アドレスまたはアドレス グループの作成を参照してください。
除外URLカテゴリ
以前に定義した URL カテゴリを選択して、復号処理をバイパスする許可リストを作成します。選択した URL カテゴリは、SSL インスペクションから除外されます。
メモ:Juniper NextGenカテゴリを選択するには、Junos OSバージョン23.4R1以降がインストールされている必要があります。
アクション
サーバー認証エラー
このチェック ボックスをオンにすると、サーバー証明書の検証プロセス中に発生したエラー (CA 署名の検証の失敗、自己署名証明書、証明書の有効期限など) が無視されます。既定では、このチェック ボックスはオフです。
このオプションを設定すると、Web サイトがまったく認証されないため、認証にはお勧めしません。ただし、このオプションを使用すると、SSL セッションがドロップされる根本原因を効果的に特定できます。
セッションの再開
このチェックボックスをオンにすると、セッションの再開が無効になります。既定では、このチェック ボックスはオフです。
スループットを向上させながら、適切なレベルのセキュリティーを維持するために、SSL セッション再開はセッション・キャッシング・メカニズムを提供し、事前マスター秘密鍵や合意された暗号などのセッション情報をクライアントとサーバーの両方でキャッシュすることができます。
ログ
ログに記録する 1 つ以上のイベントを選択します。すべてのイベント、警告、一般情報、エラー、または異なるセッション (許可、ドロップ、または無視) をログに記録することを選択できます。ログ記録はデフォルトで無効になっています。
交渉
SSL パラメーターの変更で再ネゴシエーションが必要な場合は、以下のいずれかのオプションを選択します。
-
なし (デフォルト):再ネゴシエーションが不要であることを示します。
-
許可 - セキュアおよび非セキュアで再ネゴシエーションできます。
-
セキュア許可 - セキュアネゴシエーションのみを許可します。
-
ドロップ:再ネゴシエーション要求時にセッションをドロップします。
セッションが作成され、SSL トンネル トランスポートが確立された後、SSL パラメーターの変更には再ネゴシエーションが必要です。復号化は、セキュア(RFC 5746)と非セキュア(TLS v1.0およびSSL v3)の両方の再ネゴシエーションをサポートします。
セッション再開が有効になっている場合、セッションの再ネゴシエーションは以下の状況で有効です。
-
暗号鍵は、長時間の SSL セッションの後にリフレッシュする必要があります。
-
より安全な接続には、より強力な暗号を適用する必要があります。
-