ADC

ADCアプライアンスでユーザー定義の暗号グループを構成する

暗号グループは、NetScalerアプライアンス上のSSL仮想サーバー、サービス、またはサービスグループにバインドする暗号スイートのセットです。暗号スイートは、プロトコル、キー交換 (Kx) アルゴリズム、認証 () アルゴリズム、暗号化 (AuEnc) アルゴリズム、およびメッセージ認証コード (Mac) アルゴリズムで構成されています。アプライアンスには、事前に定義された暗号グループのセットが付属しています。SSL サービスまたは SSL サービスグループを作成すると、ALL 暗号グループが自動的にそれにバインドされます。ただし、SSL 仮想サーバーまたはトランスペアレント SSL サービスを作成すると、DEFAULT 暗号グループが自動的にそれにバインドされます。さらに、ユーザー定義の暗号グループを作成して、SSL 仮想サーバー、サービス、またはサービスグループにバインドできます。

注: MPX アプライアンスにライセンスがない場合は、EXPORT 暗号のみが SSL 仮想サーバー、サービス、またはサービスグループにバインドされます。

ユーザー定義の暗号グループを作成するには、まず暗号グループを作成し、次に暗号または暗号グループをこのグループにバインドします。暗号エイリアスまたは暗号グループを指定すると、その暗号エイリアスまたはグループ内のすべての暗号がユーザー定義の暗号グループに追加されます。個々の暗号 (暗号スイート) をユーザー定義のグループに追加することもできます。ただし、定義済みの暗号グループを変更することはできません。暗号グループを削除する前に、グループ内のすべての暗号スイートをバインド解除します。

暗号グループを SSL 仮想サーバー、サービス、またはサービスグループにバインドすると、エンティティにバインドされている既存の暗号に暗号が追加されます。特定の暗号グループをエンティティにバインドするには、まずエンティティにバインドされている暗号または暗号グループのバインドを解除する必要があります。次に、特定の暗号グループをエンティティにバインドします。たとえば、AES 暗号グループのみを SSL サービスにバインドするには、次の手順を実行します。

  1. サービスの作成時にデフォルトでサービスにバインドされているデフォルトの暗号グループ ALL をバインド解除します。

    unbind ssl service <service name> -cipherName ALL
    <!--NeedCopy-->
    
  2. AES 暗号グループをサービスにバインドする

    bind ssl service <Service name> -cipherName AE
    <!--NeedCopy-->
    

    AES に加えて暗号グループ DES をバインドする場合は、コマンドプロンプトで次のように入力します。

    bind ssl service <service name> -cipherName DES
    <!--NeedCopy-->
    

注: 無料のNetScaler仮想アプライアンスは、DH暗号グループのみをサポートします。

CLI を使用してユーザー定義の暗号グループを設定します

コマンドプロンプトで次のコマンドを入力して、暗号グループを追加するか、以前に作成したグループに暗号を追加し、設定を確認します。

add ssl cipher <cipherGroupName>
bind ssl cipher <cipherGroupName> -cipherName <cipherGroup/cipherName>
show ssl cipher <cipherGroupName>
<!--NeedCopy-->

例:

add ssl cipher test

Done

bind ssl cipher test -cipherName ECDHE

Done

sh ssl cipher test

1)      Cipher Name: TLS1-ECDHE-RSA-AES256-SHA  Priority : 1
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA1   HexCode=0xc014
2)      Cipher Name: TLS1-ECDHE-RSA-AES128-SHA  Priority : 2
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA1   HexCode=0xc013
3)      Cipher Name: TLS1.2-ECDHE-RSA-AES-256-SHA384    Priority : 3
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(256)  Mac=SHA-384   HexCode=0xc028
4)      Cipher Name: TLS1.2-ECDHE-RSA-AES-128-SHA256    Priority : 4
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES(128)  Mac=SHA-256   HexCode=0xc027
5)      Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 5
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
6)      Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 6
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
7)      Cipher Name: TLS1-ECDHE-ECDSA-AES256-SHA        Priority : 7
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA1   HexCode=0xc00a
8)      Cipher Name: TLS1-ECDHE-ECDSA-AES128-SHA        Priority : 8
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA1   HexCode=0xc009
9)      Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-SHA384   Priority : 9
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(256)  Mac=SHA-384   HexCode=0xc024
10)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-SHA256   Priority : 10
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES(128)  Mac=SHA-256   HexCode=0xc023
11)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384       Priority : 11
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
12)     Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256       Priority : 12
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
13)     Cipher Name: TLS1-ECDHE-RSA-DES-CBC3-SHA        Priority : 13
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=3DES(168) Mac=SHA1   HexCode=0xc012
14)     Cipher Name: TLS1-ECDHE-ECDSA-DES-CBC3-SHA      Priority : 14
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=3DES(168) Mac=SHA1   HexCode=0xc008
15)     Cipher Name: TLS1-ECDHE-RSA-RC4-SHA     Priority : 15
Description: SSLv3 Kx=ECC-DHE  Au=RSA  Enc=RC4(128)  Mac=SHA1   HexCode=0xc011
16)     Cipher Name: TLS1-ECDHE-ECDSA-RC4-SHA   Priority : 16
Description: SSLv3 Kx=ECC-DHE  Au=ECDSA Enc=RC4(128)  Mac=SHA1   HexCode=0xc007
17)     Cipher Name: TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 Priority : 17
Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca8
18)     Cipher Name: TLS1.2-ECDHE-ECDSA-CHACHA20-POLY1305       Priority : 18
Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD   HexCode=0xcca9
Done

bind ssl cipher test -cipherName TLS1-ECDHE-RSA-DES-CBC3-SHA
<!--NeedCopy-->

CLI を使用して暗号グループから暗号をバインド解除する

コマンドプロンプトで次のコマンドを入力して、ユーザー定義の暗号グループから暗号をバインド解除し、設定を確認します。

show ssl cipher <cipherGroupName>

unbind ssl cipher <cipherGroupName> -cipherName <string>

show ssl cipher <cipherGroupName>
<!--NeedCopy-->

CLI を使用して暗号グループを削除する

注: 組み込みの暗号グループは削除できません。ユーザー定義の暗号グループを削除する前に、暗号グループが空であることを確認してください。

コマンドプロンプトで次のコマンドを入力してユーザー定義の暗号グループを削除し、構成を確認します。

rm ssl cipher <userDefCipherGroupName> [<cipherName> ...]
show ssl cipher <cipherGroupName>

<!--NeedCopy-->

例:

rm ssl cipher test Done

sh ssl cipher test ERROR: No such resource [cipherGroupName, test]
<!--NeedCopy-->

GUI を使用してユーザー定義の暗号グループを設定します

  1. [ トラフィック管理] > [SSL] > [暗号グループ] に移動します。
  2. [追加] をクリックします。
  3. 暗号グループの名前を指定します。
  4. [ 追加 ] をクリックすると、使用可能な暗号と暗号グループが表示されます。
  5. 暗号または暗号グループを選択し、矢印ボタンをクリックして追加します。
  6. [作成] をクリックします。
  7. [閉じる] をクリックします。

CLIを使用して暗号グループをSSL仮想サーバー、サービス、またはサービスグループにバインドするには:

コマンドプロンプトで、次のいずれかを入力します。

bind ssl vserver <vServerName> -cipherName <string>

bind ssl service <serviceName> -cipherName <string>

bind ssl serviceGroup <serviceGroupName> -cipherName <string>

<!--NeedCopy-->

例:

bind ssl vserver ssl_vserver_test -cipherName test
Done

bind ssl service  nshttps -cipherName test
Done

bind ssl servicegroup  ssl_svc  -cipherName test
Done
<!--NeedCopy-->

GUIを使用して暗号グループを SSL 仮想サーバー、サービス、またはサービスグループにバインドするには:

  1. Traffic Management > Load Balancing > Virtual Serversに移動します。

    サービスについては、仮想サーバーをサービスに置き換えます。サービスグループの場合は、仮想サーバーをサービスグループに置き換えます。

    仮想サーバー、サービス、またはサービスグループを開きます。

  2. 詳細設定」で、「 SSL 暗号」を選択します。

  3. 暗号グループを仮想サーバー、サービス、またはサービスグループにバインドします。

個々の暗号を SSL 仮想サーバーまたはサービスにバインドする

暗号グループの代わりに個々の暗号を仮想サーバーまたはサービスにバインドすることもできます。

CLI を使用して暗号をバインドするには、コマンドプロンプトで次のように入力します。

bind ssl vserver <vServerName> -cipherName <string>
bind ssl service <serviceName> -cipherName <string>
<!--NeedCopy-->

例:

bind ssl vserver v1 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done

bind ssl service sslsvc -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
Done
<!--NeedCopy-->

GUI を使用して暗号を SSL 仮想サーバーにバインドするには:

  1. Traffic Management > Load Balancing > Virtual Serversに移動します。
  2. SSL 仮想サーバーを選択し、[ 編集] をクリックします。
  3. 詳細設定」で、「 SSL 暗号」を選択します。
  4. 暗号スイート」で、「追加」を選択します。
  5. 使用可能なリストで暗号を検索し、矢印をクリックして設定済みリストに追加します。
  6. [OK] をクリックします。
  7. [完了] をクリックします。

暗号を SSL サービスにバインドするには、仮想サーバをサービスに置き換えた後、上記の手順を繰り返します。

ADCアプライアンスでユーザー定義の暗号グループを構成する