TLS 暗号リストの使用
BigFix コンポーネントとインターネット間のすべてのネットワーク通信は、TLS プロトコル標準を使用して暗号化されます。バージョン 9.5.11 以降、マスター・オペレーターは暗号化に使用する TLS 暗号を制御できます。マスター・オペレーターは BESAdmin を使用して、マストヘッドで適用環境の TLS 暗号リストを設定できます。
TLS 暗号リストは、暗号スイートまたは暗号ファミリーのコロン区切りリストです。暗号スイートまたは暗号ファミリーを無効にするには、名前の前に !
を付けます。
マストヘッドに TLS 暗号リストがない場合は、デフォルトの TLS 暗号リストである HIGH:!ADH:!AECDH:!kDH:!kECDH:!PSK:!SRP を使用します。
バージョン 10 パッチ 3 以降では、マストヘッドに TLS 暗号リストがない場合に使用されるデフォルトの TLS 暗号リストは HIGH:!ADH:!AECDH:!kDH:!kECDH:!kRSA:!PSK:!SRP です 。
このリストは、ユーザーが選択可能な TLS 暗号スイートのマスター・セットを定義しています。このマスター・セットにない暗号スイートは、安全でないか、BigFix コンポーネントと互換性がありません。また、TLS 暗号リストには、BigFix HTTPS サーバーに RSA 鍵交換を使用する暗号スイートが 1 つ以上含まれている必要があります。次の BESAdmin コマンドは、TLS 暗号リストを作成するのに役立ちます。
- testTLSCipherList
-
特定の TLS 暗号リストが BigFix コンポーネントと互換性があるかどうかをテストするには、次のコマンドを実行します。
/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> -testTLSCipherList=<cipher_1>:<cipher_2>:..:<cipher_n>例:/BESAdmin.sh -securitysettings -sitePvkLocation=/opt/BESInstallFiles/license.pvk -sitePvkPassword=bigfix -testTLSCipherList='TLSv1.2:!ADH:!AECDH:!kDH:!kECDH:!PSK:!SRP:!NULL'コマンドが正常に実行された場合、BESAdmin により有効なすべての TLS 暗号スイートの詳細リストが提供されます。コマンドが失敗した場合は、BESAdmin により安全でないまたは互換性のない暗号スイートの詳細リストが提供されます。
注: bash では、!
は特殊文字として扱われます。\
でエスケープするか、一重引用符'
で囲む必要があります。二重引用符"
では不十分です。
- setTLSCipherList
適切な TLS 暗号リストを特定したら、次のコマンドを使用して設定することができます。
例:/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> -setTLSCipherList=<cipher_1>:<cipher_2>:..:<cipher_n>/BESAdmin.sh -securitysettings -sitePvkLocation=/opt/BESInstallFiles/license.pvk -sitePvkPassword=bigfix -setTLSCipherList='TLSv1.2:!ADH:!AECDH:!kDH:!kECDH:!PSK:!SRP:!NULL'コマンドが失敗した場合は、BESAdmin により安全でないまたは互換性のない暗号スイートの詳細リストが提供されます。リストでは、暗号は優先される順位に並べられています。鍵の長さ別に順序を変更するには、@STRENGTH を追加します。注: 特定の暗号スイートまたは暗号ファミリーの名前が提供されていない場合、BESAdmin はそれらを検証せず、コロン区切りリストで示された TLS 暗号スイートの最終セットのみをチェックします。
- listTLSCiphers
現在有効なすべての TLS 暗号の詳細リストを取得するには、次のコマンドを実行します。
例:/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> -listTLSCiphers/BESAdmin.sh -securitysettings -sitePvkLocation=/opt/BESInstallFiles/license.pvk -sitePvkPassword=bigfix -listTLSCiphers
- removeTLSCipherList
デプロイメント・マストヘッドから TLS 暗号リストを削除して、デフォルトの暗号リストに戻すには、次のコマンドを実行します。
例:/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> -removeTLSCipherList/BESAdmin.sh -securitysettings -sitePvkLocation=/opt/BESInstallFiles/license.pvk -sitePvkPassword=bigfix -removeTLSCipherList
特定の暗号ファミリーに使用できる詳細な暗号は、使用している OpenSSL のバージョンによって異なります。根本的には、TLS 暗号リストは OpenSSL 暗号文字列です。詳細については、『OpenSSL Cryptography and SSL/TLS Toolkit』を参照してください。TLS 暗号化方式の基礎について詳しくない場合は、この機能を使用しないでください。