การกำหนดค่าคีย์และใบรับรองสำหรับ TLS
คุณสามารถใช้การสื่อสารที่เข้ารหัส TLS เพื่อป้องกันการดักจับข้อมูล การสวมรอยเป็นผู้ส่ง และการปลอมแปลงข้อมูลที่แลกเปลี่ยนระหว่างเครื่องและอุปกรณ์อื่น ๆ เช่น คอมพิวเตอร์ คุณต้องระบุคีย์และใบรับรอง (ใบรับรองเซิร์ฟเวอร์) ที่จะใช้สำหรับการเข้ารหัสเมื่อกำหนดการตั้งค่าสำหรับการสื่อสารที่เข้ารหัส TLS คุณสามารถใช้คีย์และใบรับรองที่ติดตั้งไว้ล่วงหน้าในเครื่อง หรือคุณสามารถสร้างคีย์และใบรับรองของคุณเองหรือขอรับจากผู้ออกใบรับรองก็ได้ ซึ่งคุณต้องมีสิทธิ์ของผู้ดูแลระบบเพื่อกำหนดการตั้งค่าเหล่านี้
|
หากคุณต้องการใช้คีย์และใบรับรองที่สร้างด้วยตนเอง ให้สร้างคีย์และใบรับรองก่อนที่จะดำเนินการตามขั้นตอนด้านล่าง การสร้างคีย์และใบรับรองสำหรับการสื่อสารผ่านเครือข่าย หากคุณต้องการใช้คีย์และใบรับรองที่คุณได้รับจากผู้ออกใบรับรอง (CA) ให้ลงทะเบียนคีย์และใบรับรองก่อนที่จะดำเนินการตามขั้นตอนด้านล่าง การลงทะเบียนคีย์และใบรับรอง |
การตั้งค่า TLS
1
เริ่มการทำงานของ UI ระยะไกล การเริ่มต้น UI ระยะไกล
2
คลิก [Settings/Registration] (การตั้งค่า/การลงทะเบียน) บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล
3
คลิก [Network Settings] (การตั้งค่าเครือข่าย) 
[TLS Settings] (การตั้งค่า TLS)
[TLS Settings] (การตั้งค่า TLS)4
คลิก [Key and Certificate] (ตกลง)
5
คลิก [Use] (ใช้) คีย์และใบรับรองเพื่อใช้สำหรับการสื่อสารที่เข้ารหัส TLS
หากคุณต้องการใช้คีย์และใบรับรองที่ติดตั้งไว้ล่วงหน้า ให้เลือก [Default Key] (คีย์เริ่มต้น)
6
คลิก [Network Settings] (การตั้งค่าเครือข่าย) [TLS Settings] (การตั้งค่า TLS)
[TLS Settings] (การตั้งค่า TLS)7
ระบุ [Maximum Version] (เวอร์ชันสูงสุด) และ [Minimum Version] (เวอร์ชันต่ำสุด)
8
เลือกอัลกอริทึมที่จะใช้ และคลิก[OK] (ตกลง)
มีการผสมผสานระหว่างเวอร์ชัน TLS และอัลกอริทึมดังต่อไปนี้
: สามารถใช้ได้-: ไม่สามารถใช้ได้
อัลกอริทึม | เวอร์ชัน TLS | |||
[TLS 1.3] | [TLS 1.2] | [TLS 1.1] | [TLS 1.0] | |
[Encryption Algorithm] (การตั้งค่าคีย์และใบรับรอง) | ||||
[AES-CBC (256-bit)] | - | | | |
[AES-GCM (256-bit)] | | | - | - |
[3DES-CBC] | - | | | |
[AES-CBC (128-bit)] | - | | | |
[AES-GCM (128-bit)] | | | - | - |
[CHACHA20-POLY1305] | | - | - | - |
[Key Exchange Algorithm] (การตั้งค่าคีย์และใบรับรอง) | ||||
[RSA] | - | | | |
[ECDHE] | | | | |
[X25519] | | - | - | - |
[Signature Algorithm] (การตั้งค่าคีย์และใบรับรอง) | ||||
[RSA] | | | | |
[ECDSA] | | | | |
[HMAC Algorithm] (การตั้งค่าคีย์และใบรับรอง) | ||||
[SHA1] | - | | | |
[SHA256] | | | - | - |
[SHA384] | | | - | - |
|
คุณไม่สามารถเลือก [Format Encryption Method to FIPS 140-2] (วิธีการเข้ารหัสรูปแบบไปยัง FIPS 140-2) ได้ เมื่อเลือก [CHACHA20-POLY1305] หรือ [X25519] การเริ่มต้น UI ระยะไกลที่ใช้ TLSหากคุณเริ่มใช้งาน UI ระยะไกล เมื่อเปิดใช้งาน TLS อยู่ การแจ้งเตือนความปลอดภัยเกี่ยวกับใบรับรองด้านความปลอดภัยอาจปรากฏขึ้น ในกรณีนี้ ให้ตรวจสอบว่าป้อน URL ถูกต้องในฟิลด์ที่อยู่ แล้วดำเนินการต่อเพื่อแสดงหน้าจอ UI ระยะไกล การเริ่มต้น UI ระยะไกล การนำเข้า/การส่งออกเป็นชุดคุณสามารถนำเข้า/ส่งออกการตั้งค่านี้กับรุ่นที่รองรับการนำเข้าการตั้งค่านี้แบบเป็นชุด การนำเข้า/ส่งออกข้อมูลการตั้งค่า การตั้งค่านี้รวมอยู่ใน [Settings/Registration Basic Information] (การตั้งค่า/การลงทะเบียนข้อมูลพื้นฐาน) เมื่อทำการส่งออกเป็นชุด การนำเข้า/ส่งออกการตั้งค่าทั้งหมด |
การตั้งค่าความยากและวิธีการเข้ารหัสสำหรับการรักษาความปลอดภัย
1
เริ่มการทำงานของ UI ระยะไกล การเริ่มต้น UI ระยะไกล
2
คลิก [Settings/Registration] (การตั้งค่า/การลงทะเบียน) บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล
3
คลิก [Security Settings] (การตั้งค่าความปลอดภัย) [Encryption/Key Settings] (การเข้ารหัส/การตั้งค่าคีย์)
[Encryption/Key Settings] (การเข้ารหัส/การตั้งค่าคีย์)4
คลิก [Edit] (ล้าง) ใน [Encryption Settings] (ล้างเมลบ็อกซ์)
5
กำหนดการตั้งค่าการเข้ารหัสและวิธีการเข้ารหัส และคลิก [OK] (ตกลง)
[Prohibit Use of Weak Encryption] (ไลบรารีแอปพลิเคชัน)เลือกช่องทำเครื่องหมายนี้เพื่อห้ามใช้การเข้ารหัสที่คาดเดาได้ง่ายโดยมีความยาวคีย์ 1024 บิตหรือน้อยกว่า หากต้องการห้ามใช้คีย์และใบรับรองที่ใช้การเข้ารหัสที่คาดเดาได้ง่าย ให้เลือก [Prohibit Use of Key/Certificate with Weak Encryption] (ห้ามใช้คีย์/ใบรับรองซึ่งมีการเข้ารหัสที่คาดเดาได้ง่าย)
[Format Encryption Method to FIPS 140-2] (ไลบรารีแอปพลิเคชัน)เลือกช่องทำเครื่องหมายนี้เพื่อทำให้ฟังก์ชันใช้การเข้ารหัสที่เป็นไปตาม FIPS 140-2
|
หากคุณเลือก [Format Encryption Method to FIPS 140-2] (วิธีการเข้ารหัสรูปแบบไปยัง FIPS 140-2) คุณสามารถทำให้วิธีการเข้ารหัสการสื่อสาร TLS สอดคล้องกับ FIPS (Federal Information Processing Standards) ที่รัฐบาลสหรัฐอเมริกาอนุมัติ 140-2 แต่จะมีข้อจำกัดดังต่อไปนี้ จะมีข้อผิดพลาดเกิดขึ้นหากคุณระบุใบรับรองสำหรับ TLS ซึ่งใช้อัลกอริทึมที่ FIPS ไม่รู้จัก (ต่ำกว่า RSA2048 บิต) ข้อผิดพลาดในการสื่อสารจะเกิดขึ้นหากปลายทางการสื่อสารไม่รองรับอัลกอริทึมการเข้ารหัสที่จดจำ FIPS ได้ ไม่สามารถใช้งาน [CHACHA20-POLY1305] และ [X25519] ได้อีกต่อไป การนำเข้า/การส่งออกเป็นชุดคุณสามารถนำเข้า/ส่งออกการตั้งค่านี้กับรุ่นที่รองรับการนำเข้าการตั้งค่านี้แบบเป็นชุด การนำเข้า/ส่งออกข้อมูลการตั้งค่า การตั้งค่านี้รวมอยู่ใน [Settings/Registration Basic Information] (การตั้งค่า/การลงทะเบียนข้อมูลพื้นฐาน) เมื่อทำการส่งออกเป็นชุด การนำเข้า/ส่งออกการตั้งค่าทั้งหมด |