TLS や SSL 通信に使用されるセキュリティプロトコルと暗号化スイートの変更

ほとんどの場合、デフォルト設定を変更する必要はありませんが、クライアントと Unified Access Gateway アプライアンス間の通信を暗号化するために使用されるセキュリティプロトコルと暗号化アルゴリズムは構成できます。

デフォルト設定では、匿名 DH アルゴリズムを除く 128 ビットまたは 256 ビット AES 暗号化のいずれかを使用する暗号化スイートが含まれており、これらは強度によって並べ替えられます。デフォルトでは、TLS v1.1 と TLS v1.2 が有効になっていますTLS v1.0 と SSL v3.0 は無効になっています。

前提条件

Unified Access Gateway REST API について理解しておきます。この API の仕様は、Unified Access Gateway がインストールされている仮想マシンの次の URL で使用できます：https://access-point-appliance.example.com:9443/rest/swagger.yaml。
暗号化スイートとプロトコルを構成するための次に示す特定のプロパティについて理解しておきます。cipherSuites、ssl30Enabled、tls10Enabled、tls11Enabled、および tls12Enabled。

手順

使用するプロトコルと暗号化スイートを指定するための JSON 要求を作成します。

次の例ではデフォルト設定になっています。

{
"cipherSuites": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA",
  "ssl30Enabled": "false",
  "tls10Enabled": "false",
  "tls11Enabled": "true",
  "tls12Enabled": "true"
}

curl や postman などの REST クライアントを使用し、JSON 要求を使用して Unified Access Gateway REST API を呼び出し、プロトコルと暗号化スイートを構成します。
この例で、access-point-appliance.example.com は Unified Access Gateway アプライアンスの完全修飾ドメイン名です。
```
curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json
```
ciphers.json は前の手順で作成した JSON 要求です。

結果

指定した暗号化スイートとプロトコルが使用されます。