今回はhttpdでSSL/TLSプロトコルバージョンを指定する方法について解説致します。
前提条件は以下となります。
- Apacheがインストールされている
- mod_sslが有効になっている
- SSL証明書が用意されている
設定ファイルに記述する
SSLに関する記述は通常「ssl.conf」やバーチャルホスト設定内に記述します。
vi /etc/httpd/conf.d/ssl.conf
※構成に合わせてパスを修正し記述してください。
TLSバージョンを指定する
今回は例としてTLS 1.2とTLS 1.3のみを有効その他のTLS 1.0やTLS 1.1等を無効化します。
下記設定内容です。
SSLProtocol -all +TLSv1.2 +TLSv1.3
※ご利用用途に合わせて設定値を変更してください。
暗号スイートを指定する
SSLCipherSuiteディレクティブを使用する事で許可する暗号スイートを指定する事が出来ます。
下記設定例となります。
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES:!CAMELLIA
※ご利用用途に合わせて設定値を変更してください。
暗号スイートの優先順位を設定する
SSLHonorCipherOrderディレクティブを設定することで、サーバー側の暗号スイートの優先順位を設定する事ができます。
SSLHonorCipherOrder on
再起動する
最後に設定を読み込む為、Apacheの再起動を行う
再起動前に下記シンタックスチェックを実施し設定値に問題ないか確認してください。
httpd -t
上記チェックで問題なければ再起動を実施します。
systemctl restart httpd
以上で設定完了となります!