このコンテンツはオフライン用のローカルバージョンで、内容が古くなっている場合があります。最新のドキュメントを確認するには、https://help.deepsecurity.trendmicro.com/ja-jpにオンラインでアクセスしてください。

ApacheにおけるDiffie-Hellman鍵交換の無効化

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

Webサーバが、SSLハンドシェイクまたはTLSハンドシェイクの際に「鍵交換アルゴリズム」および「認証方法」としてDiffie-Hellman (DH) での鍵交換および認証方法を使用するように設定されている場合があります。ただし、この機能が有効になっていると、Deep Security Agent/ApplianceでのSSLインスペクションが機能しません。

Apache Webサーバでは、httpd-ssl.confファイルの「SSLCipherSuite」変数の最初の2つのフィールドが、「鍵交換アルゴリズム」および「認証方法」のパラメータになっています。ApacheでDiffie-Hellmanを使用しないように設定するには、これらのフィールドに!ADHを追加します。

たとえば、Diffie-Hellmanを無効にするには、Apache設定ファイルの暗号化スイートを次のように編集します。

SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

(「!」は後に続く暗号化をApacheで「使用しない」ように指定するものです。)

Webサーバ設定ファイルのファイル名と場所は、OSおよびディストリビューションによって異なります。たとえば、次のようなパスになります。

• RHELの初期インストールの場合:/etc/httpd/conf.d/ssl.conf
• Red Hat Linux上のApache 2.2.2: /apache2/conf/extra/httpd-ssl.conf

参照

詳細については、ApacheドキュメントのSSLCipherSuiteに関する箇所を参照してください。

http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite