このセクションでは、署名アルゴリズムを構成する手順について説明します。
SSL クライアントは、signature_algorithms 拡張機能を使用して、デジタル署名で使用する必要がある署名/ハッシュ アルゴリズムのペアをサーバに示します。
この拡張機能の extension_data フィールドには、supported_signature_algorithms 値が含まれています。
サポートされているハッシュ アルゴリズム:
md(5)
sha1(2)
sha224(3)
sha256(4)
sha384(5)
sha512(6)
サポートされている署名アルゴリズム:
rsa
dsa
ecdsa
NSX Advanced Load Balancer では、クライアントによって設定された署名アルゴリズムは、クライアント Hello メッセージでサポートされている署名アルゴリズムで直接使用されます。
サーバによって設定されたサポートされている署名アルゴリズムはクライアントに送信されませんが、共有署名アルゴリズムのセットとその順序を決定するために使用されます。
クライアント認証が有効になっている場合、サーバによって設定されたクライアント認証署名アルゴリズムが証明書要求メッセージで送信されます。それ以外の場合は、使用されません。同様に、クライアントによって設定されたクライアント認証署名アルゴリズムは、クライアント認証の共有署名アルゴリズムのセットを決定するために使用されます。
セキュリティ レベルで禁止されている場合、シグネチャ アルゴリズムはアドバタイズされず、使用されません。
署名アルゴリズムの構成
フィールド signature_algorithm が SSL プロファイル構成に導入されました。デフォルトでは、このフィールドは auto に設定されています。
show sslprofile System-Standard [admin]: > show sslprofile System-Standard +-------------------------------+----------------------------------------------------------------------------------+ | Field | Value | +-------------------------------+----------------------------------------------------------------------------------+ | uuid | sslprofile-9052601e-0203-4702-81fd-221d0f4a3c5a | | name | System-Standard | | accepted_versions[1] | | | type | SSL_VERSION_TLS1 | | accepted_versions[2] | | | type | SSL_VERSION_TLS1_1 | | accepted_versions[3] | | | type | SSL_VERSION_TLS1_2 | | accepted_ciphers | ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDH | | | E-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:EC | | | DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA | | | -AES256-SHA:ECDHE-RSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-S | | | HA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA | | --------------------Truncated Output---------------------- | | | | | prefer_client_cipher_ordering | False | | enable_ssl_session_reuse | True | | ssl_session_timeout | 86400 sec | | type | SSL_PROFILE_TYPE_APPLICATION | | ciphersuites | TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 | | enable_early_data | False | | ec_named_curve | auto | | signature_algorithm | auto | | tenant_ref | admin | +-------------------------------+----------------------------------------------------------------------------------+
デフォルトでは、NSX Advanced Load Balancer は ECDSA+SHA256:RSA+SHA256 をサポートします(signature_algorithm が auto に設定されている場合)。
署名アルゴリズムを次のように変更します。
> configure sslprofile System-Standard sslprofile> signature_algorithm ECDSA+SHA256:RSA+SHA256:RSA-PSS+SHA256 Overwriting the previously entered value for signature_algorithm sslprofile> save
