Hiroaki Nakano
nakan****@nttco*****
2014年 6月 18日 (水) 14:20:34 JST
Fermiさん 中野@幕張です。 こんにちは。 (2014/06/18 10:25), Fermi _ wrote: > お世話になります。Fermiです。 > > 質問させていただきます。 > UM-L7(V3.1.1)の検証を行っております。 > OpenSSL(1.0.1)は最新版を利用しています。 > > UM-L7でSSLデコードする場合、 > TLSv1.2プロトコルを利用しているのですが、 > 明示的にTLSv1を利用するようにしたいと考えています。 > sslproxy.target.cfなどで指定する方法がありますでしょうか。 sslproxy.target.cfのうち、上から2/3あたりにあるこのあたり が設定項目になると思います。 ---------------- ssl_options = "SSL_OP_NO_SSLv2" #ssl_options = "SSL_OP_NO_SSLv3" #ssl_options = "SSL_OP_NO_TLSv1" #ssl_options = "SSL_OP_PKCS1_CHECK_1" #ssl_options = "SSL_OP_PKCS1_CHECK_2" #ssl_options = "SSL_OP_NETSCAPE_CA_DN_BUG" #ssl_options = "SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG" ---------------- インストール時にコピーされるサンプルは上記の ようになっていて、意味的にはコメントが外れている 「SSLv2は使わない(NO_SSLv2)」だけ有効になっています。 ここで、SSLv3とかも使わないようにして、TLSv1だけ NOを設定しないようにすれば、TLSv1を明示的に利用できると 思います。 ---------------- ssl_options = "SSL_OP_NO_SSLv2" ssl_options = "SSL_OP_NO_SSLv3" #ssl_options = "SSL_OP_NO_TLSv1" #ssl_options = "SSL_OP_PKCS1_CHECK_1" #ssl_options = "SSL_OP_PKCS1_CHECK_2" #ssl_options = "SSL_OP_NETSCAPE_CA_DN_BUG" #ssl_options = "SSL_OP_NETSCAPE_DEMO_CIPHER_CHANGE_BUG" ---------------- ちなみに下のPKCS1_CHECKは何なのか自分もわかりません^^; NETSCAPEのやつは、昔のNetscapeブラウザのバグ含みの SSL接続も受け付けるためのオプションです。 OpenSSLのSSL_CTX_set_optionsのmanに簡単な説明が書いてあります。 # man SSL_CTX_set_options もしくは下のURL https://www.openssl.org/docs/ssl/SSL_CTX_set_options.html wgetで試したところ、TLSv1で接続に行きました。 ついでにSSLv3を明示指定してアクセスしたら、ちゃんとSSLでエラーに なりました。 ----------------- # wget --no-check-certificate --secure-protocol=SSLv3 https://192.168.200.1/ --2014-06-18 14:13:53-- https://192.168.200.1/ 192.168.200.1:443 に接続しています... 接続しました。 OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure SSL による接続が確立できません。 ----------------- -- 中野 宏朗 (NAKANO Hiroaki) NTTコムウェア 品質生産性技術本部 技術SE部 基盤ソフトSE・OSS部門 OSS・DB技術担当 Tel: 043-211-2452 (Ext: 特番+26-8341), Fax: 043-211-5086 Zip/Address: 261-0023 千葉県千葉市美浜区中瀬1-6 NTT幕張ビル21F-En
UltraMonkey-L7
Fork