Fermi _
rakia****@hotma*****
2014年 6月 18日 (水) 18:58:49 JST
中野さん こんにちは、Fermiです。 TLSv1.0は有効のまま、TLSv1.1とTLSv1.2を無効にしたいのですが、 以下オプションでは、TLSv1.0のみ無効になり、 TLSv1.1とTLSv1.2ではアクセスできてしまいました。 ssl_options = "SSL_OP_NO_TLSv1" 参考ページを参照し、以下設定してみましたが、 ssl_options = "SSL_OP_NO_TLSv1_1" ssl_options = "SSL_OP_NO_TLSv1_2" エラーとなり、設定できませんでした。 --l7vsd.log-- [ERROR] l7vsd_virtualservice VSD40700023 ssl option string no match. [ERROR] l7vsd_virtualservice VSD40700032 ssl_options convert error. [ERROR] l7vsd_virtualservice VSD40700011 get ssl parameter failed ---- 何か解決策がありますでしょうか。 よろしくお願いいたします。 > Date: Wed, 18 Jun 2014 14:20:34 +0900 > From: nakan****@nttco***** > To: ultra****@lists***** > Subject: [Ultramonkey-l7-users 578] Re: SSLプロトコルの変更について > > Fermiさん > > 中野@幕張です。 > こんにちは。 > > (2014/06/18 10:25), Fermi _ wrote: > > お世話になります。Fermiです。 > > > > 質問させていただきます。 > > UM-L7(V3.1.1)の検証を行っております。 > > OpenSSL(1.0.1)は最新版を利用しています。 > > > > UM-L7でSSLデコードする場合、 > > TLSv1.2プロトコルを利用しているのですが、 > > 明示的にTLSv1を利用するようにしたいと考えています。 > > sslproxy.target.cfなどで指定する方法がありますでしょうか。 > > sslproxy.target.cfのうち、上から2/3あたりにあるこのあたり > が設定項目になると思います。 > > ---------------- > ssl_options = "SSL_OP_NO_SSLv2" > #ssl_options = "SSL_OP_NO_SSLv3" > #ssl_options = "SSL_OP_NO_TLSv1" > #ssl_options = "SSL_OP_PKCS1_CHECK_1" > #ssl_options = "SSL_OP_PKCS1_CHECK_2" > #ssl_options = "SSL_OP_NETSCAPE_CA_DN_BUG" > #ssl_options = "SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG" > ---------------- > > インストール時にコピーされるサンプルは上記の > ようになっていて、意味的にはコメントが外れている > 「SSLv2は使わない(NO_SSLv2)」だけ有効になっています。 > > ここで、SSLv3とかも使わないようにして、TLSv1だけ > NOを設定しないようにすれば、TLSv1を明示的に利用できると > 思います。 > > ---------------- > ssl_options = "SSL_OP_NO_SSLv2" > ssl_options = "SSL_OP_NO_SSLv3" > #ssl_options = "SSL_OP_NO_TLSv1" > #ssl_options = "SSL_OP_PKCS1_CHECK_1" > #ssl_options = "SSL_OP_PKCS1_CHECK_2" > #ssl_options = "SSL_OP_NETSCAPE_CA_DN_BUG" > #ssl_options = "SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG" > ---------------- > > ちなみに下のPKCS1_CHECKは何なのか自分もわかりません^^; > NETSCAPEのやつは、昔のNetscapeブラウザのバグ含みの > SSL接続も受け付けるためのオプションです。 > > OpenSSLのSSL_CTX_set_optionsのmanに簡単な説明が書いてあります。 > # man SSL_CTX_set_options > もしくは下のURL > https://www.openssl.org/docs/ssl/SSL_CTX_set_options.html > > wgetで試したところ、TLSv1で接続に行きました。 > ついでにSSLv3を明示指定してアクセスしたら、ちゃんとSSLでエラーに > なりました。 > ----------------- > # wget --no-check-certificate --secure-protocol=SSLv3 https://192.168.200.1/ > --2014-06-18 14:13:53-- https://192.168.200.1/ > 192.168.200.1:443 に接続しています... 接続しました。 > OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure > SSL による接続が確立できません。 > > ----------------- > > -- > 中野 宏朗 (NAKANO Hiroaki) > NTTコムウェア 品質生産性技術本部 技術SE部 > 基盤ソフトSE・OSS部門 OSS・DB技術担当 > Tel: 043-211-2452 (Ext: 特番+26-8341), Fax: 043-211-5086 > Zip/Address: 261-0023 千葉県千葉市美浜区中瀬1-6 NTT幕張ビル21F-En > > _______________________________________________ > Ultramonkey-l7-users mailing list > Ultra****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users -------------- next part -------------- HTMLの添付ファイルを保管しました...Download
UltraMonkey-L7
Fork