ビジネスサポートポータルアカウントでログイン
InterScan Web Security SuiteおよびInterScan Web Security Virtual ApplianceのTCP 8443ポートと9091ポートでTLS 1.2のみを有効にする方法について  

InterScan Web Security SuiteおよびInterScan Web Security Virtual ApplianceのTCP 8443ポートと9091ポートでTLS 1.2のみを有効にする方法について

    • 更新日:
    • 18 Jun 2019
    • 製品/バージョン:
    • InterScan Web Security Suite 6.5
    • InterScan Web Security Virtual Appliance 6.5
    • OS:
    • Linux All
概要
InterScan Web Security Suite(以下、IWSS)およびInterScan Web Security Virtual Appliance(以下、IWSVA)のTCP 8443ポートと9091ポートでTLS 1.2のみを有効にしたいのですが、どのように設定すればよいでしょうか。
詳細
Public

概要

IWSS/IWSVAではTCP 8443ポートと9091ポートで、デフォルトでTLS 1.0,1.1,1.2が有効化されています。この情報は、server.xmlのsslEnabledProtocols=に設定されています。ここで単にTLS 1.2のみを有効化する設定を行った場合、クライアントからのアクセスでtomcatがデフォルトでサポートしていないcipherが使用されることがあり、特定のUIページが表示不能になります。これを防ぐためにciperを指定します。

手順

1.IWSS/IWSVAサーバーのOSにログインします。

2.現在の設定ファイルserver.xmlをバックアップします。

# cd /var/iwss/AdminUI/tomcat/conf
# cp -p server.xml server.xml.bak

3.管理コンソールのサービスを停止します。

# /etc/iscan/S99IScanHttpd stop

4.server.xmlの Connector port = "8443".../ の "sslEnabledProtocols ="の値を変更します。

(変更前)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

(変更後)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA"

5. 次に Connector port = "9091".../の "sslEnabledProtocols ="の値を変更します。(IWSVAとIWSSで手順が異なります。)

IWSVAの場合
(変更前)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

(変更後)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA"

IWSSの場合
(変更前)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

(変更後)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2" 

 

6. 一つ上のディレクトリに戻り、ファイルtomcatct.shをバックアップします。

# cd /var/iwss/AdminUI 
# cp -p tomcatctl.sh tomcatctl.sh.bak 


7.tomcatctl.shのJAVA_OPTS=の部分を以下のように編集します。 (IWSVAとIWSSで手順が異なります。)
IWSVAの場合
(変更前)

#export JAVA_OPTS="$JAVA_OPTS -Dsolr.solr.home=/etc/iscan/commonlog_solr/solr"

(変更後)

export JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2" #export JAVA_OPTS="$JAVA_OPTS -Dsolr.solr.home=/etc/iscan/commonlog_solr/solr"

 

 IWSSの場合

(変更前)

export JAVA_OPTS="$JAVA_OPTS"

(変更後)

export JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"#export JAVA_OPTS="$JAVA_OPTS"


8.管理コンソールサービスを開始します。

# /etc/iscan/S99IScanHttpd start

Premium
Internal
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1122962
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド