セキュリティを高めるために、Apache httpd で暗号化スイートが正しく使用されていることを確認します。

手順

  1. Apache httpd で暗号化スイートの正しい使用を確認するには、grep SSLCipherSuite /usr/lib/vmware-vcopssuite/utilities/conf/vcops-apache.conf | grep -v '#' コマンド プロンプトからコマンドを実行します。

    Apache httpd で正しい暗号化スイートを使用している場合、このコマンドによって次の出力が返されます:SSLCipherSuite kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:!aNULL!ADH:!EXP:!MD5:! 3DES:!CAMELLIA:!PSK:!SRP:!DH

  2. 暗号化スイートの正しい使用を構成するには、コマンド プロンプトから sed -i "/^[^#]*SSLCipherSuite/ c\SSLCipherSuite kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:\!aNULL\!ADH:\!EXP:\!MD5:\!3DES:\!CAMELLIA:\!PSK:\!SRP:\!DH" /usr/lib/vmware-vcopssuite/utilities/conf/vcops-apache.conf コマンドを実行します。

    手順 1 で出力が想定どおりではない場合は、このコマンドを実行します。

    このコマンドによって、DH/DHE キー交換法を使用するすべての暗号化スイートが無効になります。

  3. Apache2 サーバを再起動するために、コマンド プロンプトから /etc/init.d/apache2 restart コマンドを実行します。
  4. DH を再有効化するには、コマンド プロンプトから sed -i "/^[^#]*SSLCipherSuite/ c\SSLCipherSuite kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:\!aNULL\!ADH:\!EXP:\!MD5:\!3DES:\!CAMELLIA:\!PSK:\!SRP" /usr/lib/vmware-vcopssuite/utilities/conf/vcops-apache.conf コマンドを実行することにより、暗号化スイートから !DH を削除します。
  5. Apache2 サーバを再起動するために、コマンド プロンプトから /etc/init.d/apache2 restart コマンドを実行します。