暗号スイートのセットアップ
暗号スイートは、TLS ハンドシェーク中のネットワーク接続の保護に役立つアルゴリズムとプロトコルの組み合わせです。 IBM Cloud® Internet Services は、エッジおよび起点の暗号スイートを使用してネットワーク接続を保護します。
エッジの暗号スイート
クラウドのエッジでは、以下の暗号がサポートされています。 IBM Cloud CLIへの CIS CLIプラグインを通じて、ドメインで使用する暗号を制限できます。 ドメイン設定コマンドの ciphers オプションを参照。
| OpenSSL 名 | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | IANA名 |
|---|---|---|---|---|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |  |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |||
| ECDHE-ECDSA-CHACHA20-POLY1305 | |
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | |||
| ECDHE-RSA-AES128-GCM-SHA256 | |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |||
| ECDHE-RSA-CHACHA20-POLY1305 | |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |||
| ECDHE-ECDSA-AES128-SHA256 | |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | |||
| ECDHE-ECDSA-AES128-SHA | |
|
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| ECDHE-RSA-AES128-SHA256 | |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | |||
| ECDHE-RSA-AES128-SHA | |
|
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| AES128-GCM-SHA256 | |
TLS_RSA_WITH_AES_128_GCM_SHA256 | |||
| AES128-SHA256 | |
TLS_RSA_WITH_AES_128_CBC_SHA256 | |||
| AES128-SHA | |
|
|
TLS_RSA_WITH_AES_128_CBC_SHA | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |||
| ECDHE-ECDSA-AES256-SHA384 | |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | |||
| ECDHE-RSA-AES256-GCM-SHA384 | |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |||
| ECDHE-RSA-AES256-SHA384 | |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | |||
| ECDHE-RSA-AES256-SHA | |
|
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | |
| AES256-GCM-SHA384 | |
TLS_RSA_WITH_AES_256_GCM_SHA384 | |||
| AES256-SHA256 | |
TLS_RSA_WITH_AES_256_CBC_SHA256 | |||
| AES256-SHA | |
|
|
TLS_RSA_WITH_AES_256_CBC_SHA | |
| DES-CBC3-SHA | |
TLS_RSA_WITH_3DES_EDE_CBC_SHA | |||
| AEAD-AES128-GCM-SHA256 | |
TLS_AES_128_GCM_SHA256 | |||
| AEAD-AES256-GCM-SHA384 | |
TLS_AES_256_GCM_SHA384 | |||
| AEAD-CHACHA20-POLY1305-SHA256 | |
TLS_CHACHA20_POLY1305_SHA256 |
起点の暗号スイート
起点では、以下の暗号がサポートされています。 IBM Cloud CLIへの CIS CLIプラグインを通じて、ドメインで使用する暗号を制限できます。 ドメイン設定コマンドの ciphers オプションを参照。
| OpenSSL 名 | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | IANA名 |
|---|---|---|---|---|---|
| AEAD-AES128-GCM-SHA256 [1] | |
TLS_AES_128_GCM_SHA256 | |||
| AEAD-AES256-GCM-SHA384 [2] | |
TLS_AES_256_GCM_SHA384 | |||
| AEAD-CHACHA20-POLY1305-SHA256 [3] | |
TLS_CHACHA20_POLY1305_SHA256 | |||
| ECDHE-ECDSA-AES128-GCM-SHA256 | |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |||
| ECDHE-RSA-AES128-GCM-SHA256 | |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |||
| ECDHE-RSA-AES128-SHA | |
|
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| AES128-GCM-SHA256 | |
TLS_RSA_WITH_AES_128_GCM_SHA256 | |||
| AES128-SHA | |
|
|
TLS_RSA_WITH_AES_128_CBC_SHA | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |||
| ECDHE-RSA-AES256-SHA384 | |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | |||
| AES256-SHA | |
|
|
TLS_RSA_WITH_AES_256_CBC_SHA | |
| DES-CBC3-SHA | |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
CLI からの暗号スイートの管理
CLI から暗号スイートを管理することができます。
CLI からのエッジ暗号スイートの処理
-
ibmcloud cis domain-settingsCLI 内で、以下の変数を設定します。ciphers:BoringSSL形式の TLS 終端用暗号の許可リスト。 このコマンドは、お客様によって許可リストに登録されている暗号のみをリストします。 allowリストに暗号がない場合、リストは空になり、デフォルトの暗号が使われる。 デフォルト暗号のリストについては、 エッジ暗号スイート を参照してください。 -
ibmcloud cis domain-settings-updateCLI 内で、以下の変数を設定します。ciphers: TLS 終端用の暗号の許可リスト。 これらの暗号はBoringSSL形式でなければならない。
API を使用した暗号スイートの管理
API を使用して暗号スイートを管理できます。
APIで暗号を取得する
API を使用して暗号を取得するには、以下の手順を実行します。
- 正しい変数で環境を設定する。
- APIコマンドで使用する変数を格納する。 以下に例を示します。
crn(文字列): リソースインスタンスの完全な エンコードされたクラウドリソース名(CRN)。 URLzone_identifier(string): ゾーン ID。
- すべての変数が開始されたら、暗号を取得する:
curl -X GET https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'accept: application/json' -H 'x-auth-user-token: Bearer xxxxxx'
APIによる暗号の更新
API を使用して暗号を更新するには、以下の手順を実行します。
- 正しい変数で環境を設定する。
- APIコマンドで使用する変数を格納する。 以下に例を示します。
crn(文字列): リソースインスタンスの完全な エンコードされたクラウドリソース名(CRN)。 URLzone_identifier(string): ゾーン ID。value(string): 組み入れる暗号スイート。
- すべての変数が開始されたら、暗号を取得する:
curl -X PATCH https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'x-auth-user-token: Bearer xxxxxx' -d '{"value": ["AES256-GCM-SHA384", "AES256-SHA256"]}'
-
TLS 1.3 は以前のバージョンのTLSと同じ暗号スイート空間を使用するが、TLS 1.3 の暗号スイートは対称暗号のみを指定する異なる定義となっており、TLS 1.2 には使用できない。 同様に、TLS 1.2 以下の暗号スイートは、TLS 1.3 (IETF TLS 1.3 draft 21)では使用できない。 BoringSSL また、TLS、この順序で暗号の優先順位をハードコードする。 1.3 ↩︎
-
TLS 1.3 は以前のバージョンのTLSと同じ暗号スイート空間を使用するが、TLS 1.3 の暗号スイートは対称暗号のみを指定する異なる定義となっており、TLS 1.2 には使用できない。 同様に、TLS 1.2 以下の暗号スイートは、TLS 1.3 (IETF TLS 1.3 draft 21)では使用できない。 BoringSSL また、TLS、この順序で暗号の優先順位をハードコードする。 1.3 ↩︎
-
TLS 1.3 は以前のバージョンのTLSと同じ暗号スイート空間を使用するが、TLS 1.3 の暗号スイートは対称暗号のみを指定する異なる定義となっており、TLS 1.2 には使用できない。 同様に、TLS 1.2 以下の暗号スイートは、TLS 1.3 (IETF TLS 1.3 draft 21)では使用できない。 BoringSSL また、TLS、この順序で暗号の優先順位をハードコードする。 1.3 ↩︎