###TLS1.2以外を無効にしたい
プロキシサーバから外部サイトへ暗号化通信をする際、
TLS1.2以外のプロトコルを無効にするため、
暗号化プロトコルをTLS1.2のみに絞る設定をしていました。
httpd.confのIncludeOptionalディレクティブから、
conf.dディレクトリへ読み込みを行っているのを確認しています。
###問題点
ssl.confのSSLProtocolに-all +TLSv1.2と記述してもTLS1とTLS1.1で疎通できてしまう。
all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1と記述しても疎通できる。
SSL3は疎通できなかったので、恐らくデフォルトのまま反映されていると予想しています。
Virtualhostが読み込まれていないのだろうかと考えましたが、
ログは指定した場所に取られていました。
httpd.confに記述しても結果は同じでした。
######サーバ情報
Apache/2.4.6 (Red Hat Enterprise Linux)
OpenSSL 1.0.2k-fips
通信している外部サイトは2つ
httpd.confの中身
一部情報を削除又は"/"で表記しています。
httpd
1ServerRoot "/etc/httpd" 2Listen 8080 3Include conf.modules.d/*.conf 4User 5Group 6ServerAdmin 7ServerName 192.168.xxx.xxx 8<Directory /> 9 AllowOverride none 10 Require all denied 11</Directory> 12DocumentRoot "/var/www/html" 13<Directory "/var/www"> 14 AllowOverride 15 Require 16</Directory> 17<Directory "/var/www/html"> 18 Options 19 Require 20</Directory> 21<IfModule dir_module> 22 DirectoryIndex 23</IfModule> 24<Files ""> 25 Require 26</Files> 27ErrorLog "/" 28LogLevel notice 29<IfModule log_config_module> 30 LogFormat 31 LogFormat 32 LogFormat 33 <IfModule logio_module> 34 LogFormat 35 </IfModule> 36CookieTracking on 37CookieExpires "" 38LogFormat 39 CustomLog / 40</IfModule> 41<IfModule alias_module> 42</IfModule> 43<IfModule mime_module> 44</IfModule> 45AddDefaultCharset off 46<IfModule mime_magic_module> 47 MIMEMagicFile 48</IfModule> 49EnableSendfile on 50IncludeOptional conf.d/*.conf 51SSLProxyEngine on 52ProxyPass ProxyPass /Bxxxxxxxxxxx https://www.yyyyyyyy.co.jp/Bxxxxxxxxxxxxx 53ProxyPassReverse /Bxxxxxxxxxxx https://www.yyyyyyyy.co.jp/Bxxxxxxxxxxxxx 54ProxyPass /Cxxxxxxxxxxx https://www.zzzzzzzz.co.jp/Cxxxxxxxxxxxxx 55ProxyPassReverse /Cxxxxxxxxxxx https://www.zzzzzzzz.co.jp/Cxxxxxxxxxxxxx 56<Location /Bxxxxxxxxxxxx> 57LoadModule headers_module modules/mod_headers.so 58RequestHeader append Authorization "Basic AAAAAAAAAAAAAA" 59Header edit Set-Cookie QQQQQQQQQQQQQQ 60</Location> 61TraceEnable off 62Header always append X-Frame-Options DENY 63Header always set X-Content-Type-Options nosniff 64ServerTokens ProductOnly 65KeepAlive On 66MaxKeepAliveRequests 0 67KeepAliveTimeout 10
ssl.confの中身
一部情報を削除又は"/"で表記しています。
ssl
1SSLCryptoDevice builtin 2<VirtualHost _default_:443> 3ServerName xxx.xxx.xxx.xxx #プロキシサーバのIPアドレス 4ErrorLog 5TransferLog 6LogLevel notice 7SSLEngine on 8SSLProtocol -all +TLSv1.2 9SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA 10SSLCertificateFile / 11SSLCertificateKeyFile / 12<Files ~ "\"> 13 SSLOptions 14</Files> 15<Directory "/"> 16 SSLOptions 17</Directory> 18BrowserMatch ""\ 19CustomLog 20 21</VirtualHost>
###補足
設定の手順は
vim ./ssl.conf
apachectl configtest
systemctl restart httpd
systemctl status httpd
openssl s_client -connect www.yyyyyyyy.co.jp:443 -tls1
上記5コマンドを実行しています。
どのようにすれば設定が有効になるのか、どこかおかしい点があるのかご教示頂きたく存じます。
よろしくお願いいたします。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/08/31 01:31 編集
2018/08/30 05:55
2018/08/30 06:06