Hiroaki Nakano
nakan****@nttco*****
2014年 6月 23日 (月) 10:48:34 JST
Fermiさん 中野です。 こんにちは。 お使いのopensslが何かによるのですが、 TLSv1.2はopenssl-1.0.1以降での実装に なります。 https://www.openssl.org/news/openssl-notes.html 「Major changes between OpenSSL 1.0.0h and OpenSSL 1.0.1 [14 Mar 2012]:」 中野のテスト環境はRHEL6.3なのですが、 openssl-1.0.0系なので試せませんでした。 最新の"man 1 ciphers"には、暗号セットの 指定キーワードとして"TLSv1.2"があるので、 sslproxy.target.cfの中のcipher_listで、先頭に「!」 付きで否定の指定をすれば、制限できるかもしれません。 「最新のman 1 ciphers」 https://www.openssl.org/docs/apps/ciphers.html こんな感じ? cipher_list = "ALL:!ADH:!LOW:!EXP:!MD5:!TLSv1.2:@STRENGTH" RHEL6.3の"man 1 ciphers"には、"TLSv1.2"というキーワードは なくて、"TLSv1"しかありませんでした。 試しに指定して見たら、見事にl7directordのstartで "ssl config failed"と言われてエラーになりました。 つい先日リリースされたRHEL7.0では、man 1 ciphersは古いままで TLSv1しか書いてありませんでしたが、rpm -q opensslでバージョンを 見ると"openssl-1.0.1e-34.el7"とあったので、こっちなら いけるかもしれません。 ということで、古いopensslならもともとTLSv1.2をサポート していないので、TLSv1.2を指定して繋ぎに行って繋がった 場合でも、暗号セットはTLSv1.0のものを使っているのかも しれませんね。 (2014/06/18 18:58), Fermi _ wrote: > 中野さん > > こんにちは、Fermiです。 > > TLSv1.0は有効のまま、TLSv1.1とTLSv1.2を無効にしたいのですが、 > 以下オプションでは、TLSv1.0のみ無効になり、 > TLSv1.1とTLSv1.2ではアクセスできてしまいました。 > ssl_options = "SSL_OP_NO_TLSv1" > > 参考ページを参照し、以下設定してみましたが、 > ssl_options = "SSL_OP_NO_TLSv1_1" > ssl_options = "SSL_OP_NO_TLSv1_2" > エラーとなり、設定できませんでした。 > > --l7vsd.log-- > [ERROR] l7vsd_virtualservice VSD40700023 ssl option string no match. > [ERROR] l7vsd_virtualservice VSD40700032 ssl_options convert error. > [ERROR] l7vsd_virtualservice VSD40700011 get ssl parameter failed > ---- > > 何か解決策がありますでしょうか。 > よろしくお願いいたします。 > > > Date: Wed, 18 Jun 2014 14:20:34 +0900 > > From: nakan****@nttco***** > > To: ultra****@lists***** > > Subject: [Ultramonkey-l7-users 578] Re: SSLプロトコルの変更について > > > > Fermiさん > > > > 中野@幕張です。 > > こんにちは。 > > > > (2014/06/18 10:25), Fermi _ wrote: > > > お世話になります。Fermiです。 > > > > > > 質問させていただきます。 > > > UM-L7(V3.1.1)の検証を行っております。 > > > OpenSSL(1.0.1)は最新版を利用しています。 > > > > > > UM-L7でSSLデコードする場合、 > > > TLSv1.2プロトコルを利用しているのですが、 > > > 明示的にTLSv1を利用するようにしたいと考えています。 > > > sslproxy.target.cfなどで指定する方法がありますでしょうか。 > > > > sslproxy.target.cfのうち、上から2/3あたりにあるこのあたり > > が設定項目になると思います。 > > > > ---------------- > > ssl_options = "SSL_OP_NO_SSLv2" > > #ssl_options = "SSL_OP_NO_SSLv3" > > #ssl_options = "SSL_OP_NO_TLSv1" > > #ssl_options = "SSL_OP_PKCS1_CHECK_1" > > #ssl_options = "SSL_OP_PKCS1_CHECK_2" > > #ssl_options = "SSL_OP_NETSCAPE_CA_DN_BUG" > > #ssl_options = "SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG" > > ---------------- > > > > インストール時にコピーされるサンプルは上記の > > ようになっていて、意味的にはコメントが外れている > > 「SSLv2は使わない(NO_SSLv2)」だけ有効になっています。 > > > > ここで、SSLv3とかも使わないようにして、TLSv1だけ > > NOを設定しないようにすれば、TLSv1を明示的に利用できると > > 思います。 > > > > ---------------- > > ssl_options = "SSL_OP_NO_SSLv2" > > ssl_options = "SSL_OP_NO_SSLv3" > > #ssl_options = "SSL_OP_NO_TLSv1" > > #ssl_options = "SSL_OP_PKCS1_CHECK_1" > > #ssl_options = "SSL_OP_PKCS1_CHECK_2" > > #ssl_options = "SSL_OP_NETSCAPE_CA_DN_BUG" > > #ssl_options = "SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG" > > ---------------- > > > > ちなみに下のPKCS1_CHECKは何なのか自分もわかりません^^; > > NETSCAPEのやつは、昔のNetscapeブラウザのバグ含みの > > SSL接続も受け付けるためのオプションです。 > > > > OpenSSLのSSL_CTX_set_optionsのmanに簡単な説明が書いてあります。 > > # man SSL_CTX_set_options > > もしくは下のURL > > https://www.openssl.org/docs/ssl/SSL_CTX_set_options.html > > > > wgetで試したところ、TLSv1で接続に行きました。 > > ついでにSSLv3を明示指定してアクセスしたら、ちゃんとSSLでエラーに > > なりました。 > > ----------------- > > # wget --no-check-certificate --secure-protocol=SSLv3 https://192.168.200.1/ > > --2014-06-18 14:13:53-- https://192.168.200.1/ > > 192.168.200.1:443 に接続しています... 接続しました。 > > OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure > > SSL による接続が確立できません。 > > > > ----------------- > > > > -- > > 中野 宏朗 (NAKANO Hiroaki) > > NTTコムウェア 品質生産性技術本部 技術SE部 > > 基盤ソフトSE・OSS部門 OSS・DB技術担当 > > Tel: 043-211-2452 (Ext: 特番+26-8341), Fax: 043-211-5086 > > Zip/Address: 261-0023 千葉県千葉市美浜区中瀬1-6 NTT幕張ビル21F-En > > > > _______________________________________________ > > Ultramonkey-l7-users mailing list > > Ultra****@lists***** > > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users -- 中野 宏朗 (NAKANO Hiroaki)
UltraMonkey-L7
Fork