名前
odsetSSL - CORBAサービス(ObjectDirector)へのSSL環境の設定
形式
odsetSSL -sd Slot-directory -ed Environment-directory -tl TokenLabel [-nn nick-name]
{ [-level2 n] [-level3 n] | [-pv protocol-version [-c cipher] ] }[-verify m] [-tkpasswd User-PIN]
機能説明
odsetSSLコマンドは、CORBAサービスへSSLの運用環境を登録します。
SSL通信で使用するユーザPINを対話形式で入力します。なお、ユーザPINは最大128文字です。指定可能なパラメタを以下に示します。
スロット情報ディレクトリ(Slot-directory)をフルパスで指定します。省略はできません。
証明書の運用管理ディレクトリ(Environment-directory)をフルパスで指定します。省略はできません。
maketokenコマンドで生成したトークンに設定したトークンラベル(TokenLabel)を指定します。省略はできません。
自ホストのサイト証明書を使用する場合に、cmentcertコマンドで登録したサイト証明書のニックネーム(NickName)を指定します。
サーバ側で設定する場合には、本オプションを必ず指定してください。クライアント側の設定で、かつ、クライアント証明書なしの運用を行う場合(SSLのサーバ機能は使用しない)、本オプションは省略します。
使用するSSLプロトコルバージョンを指定します。以下の値を指定できます。
値 | 意味 |
|---|---|
2 | SSLプロトコルバージョン「SSL2.0」を使用します。 |
3 | SSLプロトコルバージョン「SSL3.0」を使用します。 |
3.1 | SSLプロトコルバージョン「SSL3.1」(TLS1.0)を使用します。 |
3.2 | SSLプロトコルバージョン「SSL3.2」(TLS1.1)を使用します。 |
3.3 | SSLプロトコルバージョン「SSL3.3」(TLS1.2)を使用します。 |
2-3 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL2.0」 ・SSLプロトコルバージョン「SSL3.0」 |
2-3.1 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL2.0」 ・SSLプロトコルバージョン「SSL3.0」 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) |
2-3.2 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL2.0」 ・SSLプロトコルバージョン「SSL3.0」 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) |
2-3.3 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL2.0」 ・SSLプロトコルバージョン「SSL3.0」 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) ・SSLプロトコルバージョン「SSL3.3」(TLS1.2) |
3-3.1 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.0」 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) |
3-3.2 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.0」 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) |
3-3.3 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.0」 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) ・SSLプロトコルバージョン「SSL3.3」(TLS1.2) |
3.1-3.2 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) |
3.1-3.3 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) ・SSLプロトコルバージョン「SSL3.3」(TLS1.2) |
3.2-3.3 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) ・SSLプロトコルバージョン「SSL3.3」(TLS1.2) |
注意
SSL2.0、SSL3.0、SSL3.1(TLS1.0)、SSL3.2(TLS1.1)は旧システムサーバ間の接続のために設定することができますが、必要がない限りはSSL3.3(TLS1.2)を使用するようにしてください。
使用する暗号化の方法を優先度の高い順に区切り文字‘:’を使用して指定します。
SSLプロトコルバージョンに「SSL2.0」を使用する場合は、以下の値を指定できます。
値 | 省略した場合に選択される値 | 意味 |
|---|---|---|
RC4-MD5 | 〇 | 128bit鍵を使用したRC4暗号 |
EXP-RC4-MD5 | 40bit鍵を使用したRC4暗号 | |
RC2-MD5 | 〇 | 128bit鍵を使用したRC2暗号 |
EXP-RC2-MD5 | 40bit鍵を使用したRC2暗号 | |
DES-CBC-MD5 | 56bit鍵を使用したDES暗号 | |
DES-CBC3-MD5 | 〇 | 168bit鍵を使用した3DES暗号 |
注意
SSL2.0は旧システムサーバ間の接続のために設定することができますが、必要がない限りはSSL3.3(TLS1.2)を使用するようにしてください。
SSLプロトコルバージョンに「SSL3.0」または、「SSL3.1(TLS1.0)」を使用する場合は、以下の値を指定できます。
値 | 省略した場合に選択される値 | 意味 |
|---|---|---|
RSA-NULL-MD5(※1) | MD5 MACを使用した暗号なし | |
RSA-NULL-SHA(※1) | SHA-1 MACを使用した暗号なし | |
RSA-EXPORT-RC2-MD5(※2) | 40bit鍵とMD5 MACを使用したRC2暗号 | |
RSA-EXPORT-RC4-MD5(※2) | 56bit鍵とSHA-1 MACを使用したDES暗号 | |
RSA-DES-SHA(※3) | 〇 | 168bit鍵とSHA-1 MACを使用した3DES暗号 |
RSA-RC4-MD5(※4) | 40bit鍵とMD5 MACを使用したRC4暗号 | |
RSA-RC4-SHA(※4) | 〇 | 128bit鍵とMD5 MACを使用したRC4暗号 |
RSA-3DES-SHA | 〇 | 168bit鍵とSHA-1 MACを使用した3DES暗号 |
RSA-AES-128-SHA | 〇 | 128bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-SC2000-128-SHA | 〇 | 128bit鍵とSHA-1 MACを使用したSC2000暗号 |
RSA-AES-256-SHA | 〇 | 256bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-SC2000-256-SHA | 〇 | 256bit鍵とSHA-1 MACを使用したSC2000暗号 |
(※1)暗号化をしないので、この設定にする必要がない限り、指定しないでください。
(※2)RSA512bitの弱暗号になるので、この設定にする必要がない限り、指定しないでください。
(※3)安全な暗号化方式ではないので、この設定にする必要がない限り、指定しないでください。
(※4)安全な暗号化方式ではないので非推奨です。この設定にする必要がない限り、指定しないでください。
注意
SSL3.0、SSL3.1(TLS1.0)は旧システムサーバ間の接続のために設定することができますが、必要がない限りはSSL3.3(TLS1.2)を使用するようにしてください。
SSLプロトコルバージョンに「SSL3.2(TLS1.1)」を使用する場合は、以下の値を指定できます。
値 | 省略した場合に選択される値 | 意味 |
|---|---|---|
RSA-NULL-MD5(※1) | MD5 MACを使用した暗号なし | |
RSA-NULL-SHA(※1) | SHA-1 MACを使用した暗号なし | |
RSA-DES-SHA(※2) | 〇 | 168bit鍵とSHA-1 MACを使用した3DES暗号 |
RSA-RC4-MD5(※3) | 40bit鍵とMD5 MACを使用したRC4暗号 | |
RSA-RC4-SHA(※3) | 〇 | 128bit鍵とMD5 MACを使用したRC4暗号 |
RSA-3DES-SHA | 〇 | 168bit鍵とSHA-1 MACを使用した3DES暗号 |
RSA-AES-128-SHA | 〇 | 128bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-SC2000-128-SHA | 〇 | 128bit鍵とSHA-1 MACを使用したSC2000暗号 |
RSA-AES-256-SHA | 〇 | 256bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-SC2000-256-SHA | 〇 | 256bit鍵とSHA-1 MACを使用したSC2000暗号 |
(※1)暗号化をしないので、この設定にする必要がない限り、指定しないでください。
(※2)安全な暗号化方式ではないので、この設定にする必要がない限り、指定しないでください。
(※3)安全な暗号化方式ではないので非推奨です。この設定にする必要がない限り、指定しないでください。
注意
SSL3.2(TLS1.1)は旧システムサーバ間の接続のために設定することができますが、必要がない限りはSSL3.3(TLS1.2)を使用するようにしてください。
SSLプロトコルバージョンに「SSL3.3(TLS1.2)」を使用する場合は、以下の値を指定できます。
値 | 省略した場合に選択される値 | 意味 |
|---|---|---|
RSA-NULL-MD5(※1) | MD5 MACを使用した暗号なし | |
RSA-NULL-SHA(※1) | SHA-1 MACを使用した暗号なし | |
RSA-NULL-SHA256(※1) | SHA-256 MACを使用した暗号なし | |
RSA-RC4-MD5(※2) | 40bit鍵とMD5 MACを使用したRC4暗号 | |
RSA-RC4-SHA(※2) | 〇 | 128bit鍵とMD5 MACを使用したRC4暗号 |
RSA-3DES-SHA | 〇 | 168bit鍵とSHA-1 MACを使用した3DES暗号 |
RSA-AES-128-SHA | 〇 | 128bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-AES-128-SHA256 | 〇 | 128bit鍵とSHA-256 MACを使用したAES暗号 |
RSA-SC2000-128-SHA | 〇 | 128bit鍵とSHA-1 MACを使用したSC2000暗号 |
RSA-SC2000-128-SHA256 | 〇 | 128bit鍵とSHA-256 MACを使用したSC2000暗号 |
RSA-AES-256-SHA | 〇 | 256bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-AES-256-SHA256 | 〇 | 256bit鍵とSHA-256 MACを使用したAES暗号 |
RSA-SC2000-256-SHA | 〇 | 256bit鍵とSHA-1 MACを使用したSC2000暗号 |
RSA-SC2000-256-SHA256 | 〇 | 256bit鍵とSHA-256 MACを使用したSC2000暗号 |
RSA-AES-128-GCM-SHA256 | 〇 | 128bitの鍵とSHA-256 MACを使用したAES GCM暗号 |
RSA-AES-256-GCM-SHA384 | 〇 | 256bitの鍵とSHA-384 MACを使用したAES GCM暗号 |
(※1)暗号化をしないので、この設定にする必要がない限り、指定しないでください。
(※2)安全な暗号化方式ではないので非推奨です。この設定にする必要がない限り、指定しないでください。
SSLバージョン3.0以上の通信において、自ホストにクライアント証明書が存在しない場合の、サーバ側でのクライアント認証時の動作を指定します。クライアント側では本オプションを指定する必要はありません。
自ホストにクライアント証明書が存在しなくても、認証処理を続行します。
自ホストにクライアント証明書が存在しない場合、エラー終了(証明書なし)します。
SSL通信で使用するユーザPIN(User-PIN)を指定します。本オプションを指定した場合、ユーザPIN入力を求めるプロンプトは表示されません。
なお、本オプションはコマンドのUsageには出力されません。
SSLバージョン2.0の通信で許容される暗号化方式として、以下の値の和(10進数)を指定します。省略時は、“0”が指定されたものとみなします。
0 | SSL2.0通信は使用不可 |
1 | 128bit鍵を使用したRC2暗号 |
2 | 40bit鍵を使用したRC2暗号 |
4 | 56bit鍵を使用したDES暗号 |
8 | 168bit鍵を使用した3DES暗号 |
16 | 128bit鍵を使用したRC4暗号 |
32 | 40bit鍵を使用したRC4暗号 |
なお、-level3オプションで“0”を指定した場合、本オプションの省略および“0”を指定することはできません。
注意
本オプションは旧版互換のためのオプションです。使用する必要がない場合、使用するSSLバージョンと暗号化方式の設定は-pvオプションと-cオプションを使用してください。
SSLバージョン3.0の通信で許容される暗号化方式として、以下の値の和(10進数)を指定します。省略時は、“4048”が指定されたものとみなします。
0 | SSL3.0通信は使用不可 |
1 | MD5 MACを使用した暗号なし |
2 | SHA-1 MACを使用した暗号なし |
4 | 40bit鍵とMD5 MACを使用したRC2暗号 |
8 | 56bit鍵とSHA-1 MACを使用したDES暗号 |
16 | 168bit鍵とSHA-1 MACを使用した3DES暗号(*) |
32 | 40bit鍵とMD5 MACを使用したRC4暗号 |
64 | 128bit鍵とMD5 MACを使用したRC4暗号(*) |
128 | 128bit鍵とSHA-1 MACを使用したRC4暗号(*) |
256 | 128bit鍵とSHA-1 MACを使用したAES暗号(*) |
512 | 128bit鍵とSHA-1 MACを使用したSC2000暗号(*) |
1024 | 256bit鍵とSHA-1 MACを使用したAES暗号(*) |
2048 | 256bit鍵とSHA-1 MACを使用したSC2000暗号(*) |
*) 省略時(“4048”が指定された場合)に選択される暗号化方式となります。
なお、-level2オプションを省略した場合、または“0”を指定した場合、本オプションで“0”を指定することはできません。
注意
本オプションは旧版互換のためのオプションです。使用する必要がない場合、使用するSSLバージョンと暗号化方式の設定は-pvオプションと-cオプションを使用してください。
注意事項
本コマンドは、管理者権限で実行してください。
クライアント/サーバでSSLバージョン2.0、3.0ともに使用可能に指定した場合はバージョン3.0が優先されます。クライアント/サーバ間で一致するバージョン3.0の暗号化方式がない場合は、バージョン2.0で一致する暗号化方式が使用されます。
クライアント証明書がない場合(-nnオプションを省略)、当該ホストはCORBAサーバとしてSSL機能は使用できないため、CORBAサービス起動時にod40303のメッセージが表示されます。
-pvを指定した場合、level2および、level3を同時に指定することはできません。
level2/level3/pvオプションすべて省略した場合は、level2に0、level3に0が指定され、pvオプションに3.3が指定されます。
-cに指定した暗号化方式に誤りがある場合、CORBAサービス起動時に「od40303」のエラーが出力され、SSL通信の初期化に失敗します。この際、メッセージ内のerrnoには、「0x100002」が出力されます。
Usageに[-M system]が表示されますが、[-M system]は指定できません。
使用例
TLS 1.2でAES暗号/256bit鍵/SHA-256による暗号化を行う場合、以下のように実行します。
odsetSSL -sd C:\slot -ed C:\sslert -tl Token01 -nn Jiro -pv 3.3 -c RSA-AES-256-GCM-SHA384 |
odsetSSL -sd /export/home/SSL/slot -ed /export/home/SSL/sslcert -tl Token01 |