各 Connection Server インスタンスでローカルな承諾ポリシーを指定するには、プロパティを locked.properties ファイルに追加する必要があります。locked.properties ファイルがまだサーバにない場合は、作成する必要があります。
secureProtocols を追加します。構成するセキュリティ プロトコルごとに n 個のエントリ。次の構文を使用します。secureProtocols.n=security protocol。
enabledCipherSuite を追加します。構成する暗号化スイートごとに n 個のエントリ。次の構文を使用します。enabledCipherSuite.n=cipher suite。
変数 n は、エントリの各タイプに連続的に追加する整数(1、2、3)です。
honorClientOrderエントリを追加して、暗号化スイートの順序を制御します。通常、サーバでの暗号化スイートの順序は重要ではなく、クライアントの順序が使用されます。サーバの暗号化スイートの順序を使用する場合には、次の構文を使用します。
honorClientOrder=false
locked.properties ファイルのエントリの構文が正しく、暗号化スイートやセキュリティ プロトコルの名前が正しい綴りになっていることを確認してください。このファイルに誤りがあると、クライアントとサーバ間のネゴシエーションに失敗する場合があります。
手順
例: 各サーバでのデフォルトの承諾ポリシー
次の例は、デフォルトのポリシーを指定するために必要な locked.properties ファイルのエントリを示しています。
# The following list should be ordered with the latest protocol first: secureProtocols.1=TLSv1.2 # This setting must be the latest protocol given in the list above: preferredSecureProtocol=TLSv1.2 # The order of the following list is unimportant unless honorClientOrder is false: enabledCipherSuite.1=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 enabledCipherSuite.2=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 enabledCipherSuite.3=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 enabledCipherSuite.4=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 # Use the client's ordering of cipher suites (ignores the ordering given above): honorClientOrder=true
注: FIPS モードの場合、GCM 暗号化スイートのみが有効になります。