このセクションでは、強力な SSL 暗号を構成する方法について説明します。
強度
SSL 暗号は、
プロファイルで定義します。プロファイル内でのリスト表示と文字列表示は、暗号を構成するための 2 つのモードです。詳細については、『VMware NSX Advanced Load Balancer 構成ガイド』のトピック「Apple のアプリケーション トランスポート セキュリティ」を参照してください。
SSL 評価
リストの変更か並べ替えをすると、SSL/TLS プロファイルの編集ウィンドウの右上隅で、関連付けられている SSL 評価が変更されます。これにより、選択した暗号の暗号化パフォーマンス、セキュリティ、およびクライアントの互換性を判断できます。この評価は、[リスト表示] モードで、検証済み暗号のみに対して行われます。
リスト表示
デフォルトの暗号リスト表示には、一般的な暗号が優先順位の高い順に表示されます。チェック ボックスを使用して暗号を有効化または無効化し、上下矢印またはドラッグ アンド ドロップで並べ替えます。リスト表示では、検証済み暗号の静的リストが表示されます。リストに表示されていない別の暗号が必要な場合は、文字列表示の使用を検討してください。このリストに表示されている暗号は、十分に強力であるとみなされています。後になって暗号が安全でないか安全性が低いとされた場合、セキュリティ スコアの評価は低下し、指示されなくなります。
文字列表示
この 2 つ目の暗号構成モードでは、暗号を表示および設定する OpenSSL 構文と同様に、承認された暗号を文字列として追加できます。このモードの場合、NSX Advanced Load Balancer では、https://www.openssl.org/docs/man1.0.2/apps/ciphers.html のすべての TLS 1.0 ~ 1.2 と楕円曲線暗号を受け入れます。このモードでは、管理者は有効になっている暗号が安全かどうかを判断する必要があります。強力なセキュリティを設定するには、「高」など既知の暗号スイートを採用してください。
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES256