Disconnected Log Collector の暗号スイート権限の更新

Java™で暗号スイートの権限を変更して、 IBM Disconnected Log Collector インスタンスを強化します。

このタスクについて

暗号スイートとは、 TLS または SSL プロトコルを用いてクライアントとサーバー間の接続を保護するために使用されるアルゴリズムの集合である。 そのハンドシェイク処理において、 HTTPS 接続を確立するために使用する暗号スイートについて合意する。 暗号スイートが合意されると、クライアントとサーバーは鍵交換およびその他の接続パーツを続行します。

手順

  1. IBM® のJavaセキュリティファイルを Disconnected Log Collector インスタンスで /opt/ibm/java-x86_64-80/jre/lib/security/java.security で開きます。
  2. 制限された暗号のリストを見つけるには、 dk.tls.disabledAlgorithms が含まれているセクションを見つけます。
    例えば、以下の出力は、コンマと円記号 (¥) で区切られた制限付き暗号のリストを示しています。
    jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, DH keySize < 1024, DESede, ¥
    EC keySize < 224、 3DES_EDE_CBC、anon、NULL、DES_CBC
  3. 特定の暗号スイートをリストするか、暗号スイートのグループに対応する標準名を指定して、制限付き暗号のリストを更新します。 それらは、コンマ、スペース、および円記号 (, \) で区切ります。
    以下のリストには、制限できる暗号スイートの例が含まれていますが、これらに限定されるものではありません。
    • SSL_RSA_WITH_AES_128_CBC_SHA
    • SSL_RSA_WITH_AES_256_CBC_SHA
    • SSL_RSA_WITH_AES_128_CBC_SHA256
    • SSL_RSA_WITH_AES_256_CBC_SHA256
    • SSL_RSA_WITH_AES_128_GCM_SHA256
    • SSL_RSA_WITH_AES_256_GCM_SHA384
  4. 以下のコマンドを使用して、変更を保存し、 Disconnected Log Collector インスタンスを再始動します。
    systemctl restart dlc