iOS 9 以降の Apple では、App Transport Security (ATS) 標準に準拠するための最小限のセキュリティ設定を義務付けています。このレベルの SSL セキュリティをアプリケーション プロキシで NSX Advanced Load Balancer によって有効化するには、次の設定を SSL/TLS 証明書と SSL/TLS プロファイルに使用します。

証明書

証明書は公的に信頼されている認証局(オペレーティング システムに含まれている)によって発行されているものでなければなりませんが、認証局のルート証明書はクライアント デバイスにインストールされていることもあります。

  • RSA 2k 以降

  • ECC 256 以降

発行者が作成する証明書は、SHA-256 以降でなければなりません。

SSL/TLS バージョン

TLS 1.2 のみがサポートされています。それ以前のバージョンの SSL/TLS は無効化してください。

暗号サポート

有効な暗号すべてで PFS をサポートしている必要があります。[暗号] リスト ビューで、次の暗号以外をすべて無効化します。EC 証明書か RSA 証明書のみが使用されている場合は、互換性のある暗号を有効化できます。EC 証明書と RSA 証明書の両方が使用される場合(ベスト プラクティス)は、次のすべての暗号を有効のままにしておきます。

ECC 暗号

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

RSA 暗号

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA