Web Application Firewall:カスタムTLS設定の構成

前提条件

• CNAMEレコードモードでWebサイトがWAFに追加されます。 詳細については、「ドメイン名の追加」をご参照ください。

• ウェブサイトはHTTPSを使用してデータを送信し、必要なHTTPS証明書がアップロードされます。 詳細については、「HTTPS証明書のアップロード」をご参照ください。

手順

1. WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。

2. 左側のナビゲーションウィンドウで、資産センター > Webサイトへのアクセス.

3. [ドメイン名] タブで、カスタムTLS設定を構成するドメイン名を見つけます。 次に、[操作] 列の Configure TLS をクリックします。 ドメイン名の [アクセスモード] が [CNAMEレコード] で、[証明書の更新] が [オリジンサーバー] 列に表示されていることを確認します。

   重要

   TLS設定は、HTTPSを使用してデータを送信するドメイン名に対してのみ設定できます。 ドメイン名がHTTPSを使用し、SSL証明書がアップロードされている場合にのみ、Configure TLS が [操作] 列に表示されます。

   

4. TLSセキュリティポリシーの設定 ページで、TLSのバージョン設定と暗号スイートを設定し、[保存] をクリックします。

   パラメーター	説明
   ドメイン名	TLS設定を構成するドメイン名。 この値は自動的に入力されます。 ドメイン名を入力する必要はありません。
   TLSバージョン	Webサイトで使用されるTLSバージョン。 有効な値： サポートTLS 1.0以降 (高い互換性と低いセキュリティ): WAFは、WebサイトのTLS 1.0以降をサポートします。 TLS 1.1以降のサポート (中程度の互換性と中程度のセキュリティ): WAFはWebサイトのTLS 1.1以降をサポートします。 Webサイトのアクセス要求がTLS 1.0を使用する場合、要求は失敗します。 サポートTLS 1.2以降 (中程度の互換性と高セキュリティ): WAFは、WebサイトのTLS 1.2以降をサポートします。 Webサイトのアクセス要求がTLS 1.0または1.1を使用している場合、要求は失敗します。
   サポートTLS 1.3	TLSのサポート1.3を選択することもできます。
   暗号スイート	使用する暗号スイートテンプレート。 有効な値： すべてのサイファースイート (高い互換性と低いセキュリティ): 次の暗号スイートがサポートされています。 強力な暗号スイート: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 弱い暗号スイート: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA Custom Cipher Suite (プロトコルバージョンに基づいて選択します。 注意してください。)