TLS用の鍵と証明書を設定する

パソコンなどの機器から本機にアクセスしてデータをやりとりする際に、盗聴、改ざん、なりすましなどを防ぐために、TLS暗号化通信を利用することができます。TLS暗号化通信を行うには、暗号化に必要な「鍵と証明書」(サーバー証明書)を本設定で指定する必要があります。鍵と証明書は、本機にあらかじめ登録されているものを使うこともできますが、自分で生成したものや認証局から取得したものを使うこともできます。設定にはAdministratorの権限が必要です。
自分で生成した鍵と証明書を使いたい場合は、鍵と証明書を生成してから以下の操作を行ってください。ネットワーク通信用の鍵と証明書を生成する
認証局から取得した鍵と証明書を使いたい場合は、鍵と証明書を登録してから以下の操作を行ってください。鍵と証明書を登録する

TLSを設定する

1
リモートUIを起動する リモートUIを起動する
2
ポータルページで[設定/登録]をクリックする リモートUIの画面について
3
[ネットワーク]  [TLS設定]をクリックする
4
[鍵と証明書]をクリックする
5
TLS暗号化通信に使う鍵と証明書の[使用する]をクリックする
本機にあらかじめ登録されている鍵と証明書を使いたい場合は、[Default Key]を選びます。
6
[ネットワーク]  [TLS設定]をクリックする
7
[上限バージョン]と[下限バージョン]を指定する
8
使用するアルゴリズムにチェックマークを付け、[OK]をクリックする
TLSバージョンと使用可能なアルゴリズムの組み合わせは次のとおりです。
○:利用可能
×:利用不可能
アルゴリズム
TLSバージョン
[TLS 1.3]
[TLS 1.2]
[TLS 1.1]
[TLS 1.0]
[使用する暗号化アルゴリズム]
[AES-CBC (256bit)]
×
[AES-GCM (256bit)]
×
×
[3DES-CBC]
×
[AES-CBC (128bit)]
×
[AES-GCM (128bit)]
×
×
[CHACHA20-POLY1305]
×
×
×
[使用する鍵交換アルゴリズム]
[RSA]
×
[ECDHE]
[X25519]
×
×
×
[使用する署名アルゴリズム]
[RSA]
[ECDSA]
[使用するHMACアルゴリズム]
[SHA1]
×
[SHA256]
×
×
[SHA384]
×
×
[CHACHA20-POLY1305]または[X25519]にチェックマークを付けると、[暗号方式をFIPS 140-2準拠にする]は使用できなくなります。
TLSを有効にしてリモートUIを起動したとき
TLS有効時にリモートUIを起動すると、セキュリティー証明書に関する警告メッセージが表示されることがあります。この場合はアドレス入力欄に入力したURLに間違いがないか確認してから、操作を続行してください。 リモートUIを起動する
一括インポート/エクスポートについて
本設定の[使用可能なバージョンの指定]と[アルゴリズムの設定]は、一括インポートに対応した本設定が利用できる機種にインポート/エクスポートできます。 また、一括エクスポート時、[設定/登録の基本情報]に含まれます。

セキュリティー強度と暗号方式を設定する

1
リモートUIを起動する リモートUIを起動する
2
ポータルページで[設定/登録]をクリックする リモートUIの画面について
3
[セキュリティー設定]  [暗号/鍵設定]をクリックする
4
[暗号設定]の[編集]をクリックする
5
暗号設定と暗号方式を設定し、[OK]をクリックする
[弱い暗号の使用を禁止する]
鍵の長さが1024bits以下の弱い暗号の使用を禁止する場合は、チェックマークを付けます。弱い暗号を使用した鍵と証明書の仕様を禁止する場合は、[弱い暗号を用いた鍵/証明書の使用を禁止する]にチェックマークを付けます。
[暗号方式をFIPS 140-2準拠にする]
暗号を利用する機能をFIPS140-2に準拠させる場合は、チェックマークを付けます。
[暗号方式をFIPS 140-2準拠にする]にチェックマークを付けると、TLS通信の暗号化方式を、米国政府のFIPS(Federal Information Processing Standards) 140-2に準拠させることができますが、次のような制限があります。
FIPS認定外のアルゴリズム(RSA2048bit未満)を使った証明書をTLSに用途設定しようとするとエラーになります。
FIPS認定された暗号アルゴリズムをサポートしていない通信相手とは通信エラーになります。
[CHACHA20-POLY1305]と[X25519]は使用できなくなります。
一括インポート/エクスポートについて
本設定は、一括インポートに対応した本設定が利用できる機種にインポート/エクスポートできます。 設定データをインポート/エクスポートする
一括エクスポート時、本設定は[設定/登録の基本情報]に含まれます。 設定内容を一括してインポート/エクスポートする
9SA3-064