Java™で暗号スイートの権限を変更して、 IBM
Disconnected Log Collector インスタンスを強化します。
このタスクについて
暗号スイートとは、 TLS または SSL プロトコルを用いてクライアントとサーバー間の接続を保護するために使用されるアルゴリズムの集合である。 そのハンドシェイク処理において、 HTTPS 接続を確立するために使用する暗号スイートについて合意する。 暗号スイートが合意されると、クライアントとサーバーは鍵交換およびその他の接続パーツを続行します。
手順
- IBM® のJavaセキュリティファイルを Disconnected Log
Collector インスタンスで /opt/ibm/java-x86_64-80/jre/lib/security/java.security で開きます。
- 制限された暗号のリストを見つけるには、 dk.tls.disabledAlgorithms が含まれているセクションを見つけます。
例えば、以下の出力は、コンマと円記号 (¥) で区切られた制限付き暗号のリストを示しています。
jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, DH keySize < 1024, DESede, ¥
EC keySize < 224、 3DES_EDE_CBC、anon、NULL、DES_CBC
- 特定の暗号スイートをリストするか、暗号スイートのグループに対応する標準名を指定して、制限付き暗号のリストを更新します。 それらは、コンマ、スペース、および円記号 (, \) で区切ります。
以下のリストには、制限できる暗号スイートの例が含まれていますが、これらに限定されるものではありません。
- SSL_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_AES_256_CBC_SHA
- SSL_RSA_WITH_AES_128_CBC_SHA256
- SSL_RSA_WITH_AES_256_CBC_SHA256
- SSL_RSA_WITH_AES_128_GCM_SHA256
- SSL_RSA_WITH_AES_256_GCM_SHA384
- 以下のコマンドを使用して、変更を保存し、 Disconnected Log
Collector インスタンスを再始動します。