検索 
       

セキュリティについて - 26件

11件目から20件目までを表示

1 2 3


[V5] Proselfに対するHTTPS通信において、暗号スイートを変更したいのですがどのように変更すればいいでしょうか。またおすすめの暗号スイートがあれば教えてください。

以下手順を実施することで変更することが可能です。
変更内容を反映するにはProselfの再起動が必要ですのでご注意ください。

【設定ファイル】
  • Windows OSの場合
    Proselfインストールフォルダ\conf\server.xml
  • Linux OSの場合
    Proselfインストールフォルダ/conf/server.xml

※Proselfインストールフォルダの確認方法については以下のFAQをご参照ください。
https://www.proself.jp/support/faq433/
【変更手順】
  1. Proselfをインストールしたサーバーにログインします。
  2. 【設定ファイル】のバックアップを取得します。
    ※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
  3. 【設定ファイル】内92行目付近の、「ciphers="~"」部分に許可する暗号スイートを「,(カンマ)」区切りで記載して下さい。
    また、弊社がおすすめする暗号スイートとしては以下内容となります。
    ciphers="TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"
    ※CHACHA20_POLY1305が含まれた暗号スイートに関してはJDK11のみ利用可能です。
    JDK11対応のProselfのバージョンについては以下をご参照ください。
    https://www.proself.jp/support/faq454/
  4. Proselfを再起動します。
  5. Webブラウザ及びクライアントソフトウェアからProselfにhttpsから始まるURLでアクセスできることを確認します。

以上で変更作業は完了です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq368/

(最終更新日:2024/01/10)




[V5] 社外とSSL-VPNルーターで接続していますが、社内にProselfをインストールしたサーバーを置き、社外からSSL-VPNルーター経由で接続できますか。(社外から接続するとき、1箇所になるようにしたいため)

はい、接続できます。
実際に利用されているお客様もいらっしゃいます。
ただし、設定等につきましては弊社サポート対象外となっておりますのでご了承ください。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq219/

(最終更新日:2024/01/10)




[V5] セキュリティ監査ツールをProselfに対して実施した結果、HTTP PUT、HTTP DELETEのメソッドが有効になっているとの指摘を受けました。HTTP PUT、HTTP DELETE のメソッドは無効になっていますか。

PUT/DELETEメソッドは有効になっています。
この2つはWebDAVで使用するため無効にはできません。

ただしシステム全体でWebDAVクライアントソフトウェアからの接続を拒否する設定は可能です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq317/

(最終更新日:2024/01/10)




[V5] HTTP接続を無効にしてHTTPS接続のみ可能とすることはできますか。

はい、以下の手順を実施すればHTTPS接続のみ可能となります。

  1. Proselfのサービスを停止します。
  2. Proselfインストールフォルダ/conf/server.xml のバックアップを取得します。
    ※バックアップファイル名は server.xml.yyyymmdd 等とし、末尾が.xmlとならないようにします。(yyyymmddは日付形式)
  3. Proselfインストールフォルダ/conf/server.xml の67行目から70行目までをコメントアウトします。
    <編集前>
    <Connector port="80" protocol="HTTP/1.1"
    maxThreads="150"
    connectionTimeout="60000"
    disableUploadTimeout="true" URIEncoding="UTF-8"/>
    <編集後>
    <!--
    <Connector port="80" protocol="HTTP/1.1"
    maxThreads="150"
    connectionTimeout="60000"
    disableUploadTimeout="true" URIEncoding="UTF-8"/>
    -->
    <!---->で挟むことによりコメントアウトできます。
  4. Proselfのサービスを起動します。

※上記の他、HTTPからアクセスがあった場合にHTTPSへリダイレクトさせる方法もございます。
詳細については以下FAQをご参照ください。
https://www.proself.jp/support/faq331/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq427/

(最終更新日:2024/01/10)




[V5] ProselfでTLS1.3を用いたhttps接続を可能にするための方法を教えてください。

以下のサーバー側条件を満たす場合にご案内する手順を実施することで、TLS1.3による接続が可能となります。

  • サーバー条件
    • Proself Ver5.20以上が必要となります。
      なお、Proself Ver5.31以上を新規インストールした場合は最初からTLS1.3が利用可能であるため、以下記載の手順実施は必要ありません。
    • JDK11.0.1以上、またはJDK 8u261以上が必要です。
  • ブラウザ条件
    • Microsoft Edge 79以上
    • Google Chrome 70以上
    • Firefox 63以上
    • Safari 12.1.1以上
    ※Safariについては公式情報不明につき弊社で確認の取れたバージョンになっております。
  • 適用手順
    1. Proselfのサービスを停止します。
    2. Proselfインストールフォルダ/conf/server.xml を編集して保存します。
      ※編集前に「server.xml.yyyymmdd」のようなファイル名でバックアップを取得してください。
      • Ver5.50以上の場合
        【編集前】
        <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
        maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
        >
        <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1+TLSv1.1+TLSv1.2"
        ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
        certificateVerification="none"
        truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
        【編集後】(赤字の記述を追加します)
        <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
        maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
        >
        <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1+TLSv1.1+TLSv1.2+TLSv1.3"
        ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384"
        certificateVerification="none"
        truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
        ※上記のようにprotocols="~"の部分に「+TLSv1.3」を、ciphers="~"の部分に「, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384」を追加します。
      • Ver5.50未満の場合
        【編集前】
        <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
        maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
        clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
        ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
        keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
        truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
        【編集後】(赤字の記述を追加します)
        <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
        clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,TLSv1.3"
        ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384"
        keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
        truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
        ※上記のようにsslEnabledProtocols="~"の部分に「,TLSv1.3」を、ciphers="~"の部分に「, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384」を追加します。
    3. Proselfのサービスを起動します。
    4. WebブラウザでProselfにアクセスして正常に表示できることを確認します。
      ※Google ChromeやFirefoxの場合、Webブラウザの開発者ツールで「Security」「暗号化」という名前のタブ選択の際、接続時のプロトコルに「TLS1.3」と表示されていればTLS1.3で接続されております。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq404/

(最終更新日:2024/01/10)




[V5] [O] Proself Mail ProxyオプションとProselfのウイルススキャン連携機能を使用しています。メール送信時に添付ファイルにウイルスが含まれており、添付ファイルアップロード時にウイルス検知した場合どのような通知がされるのでしょうか。

アップロードを行ったクライアントに対して
ウイルスが混入している旨のメッセージが含まれたステータス
「550 The mail may contain a computer virus.」が返されます。

・クライアントがメーラーの場合
上記エラーが何らかの形で画面に表示されます。

・クライアントがMTAの場合
mailer-deamonから送信者に対して上記メッセージが含まれたメールが送信されます。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq318/

(最終更新日:2024/01/10)




[V5] [O] Proself本体で使用しているSSL証明書をSAML認証オプションのSAML証明書としても使用することは可能ですか。

はい、SAML認証オプションVer5.22以降より以下手順を実施することで使用可能となります。
※Ver5.21以前をお使いの場合は最新バージョンへアップデートしてください。

  1. 管理者ユーザーでProselfにログインして管理画面に移動します。
  2. メニューより SAML 設定 - SP証明書設定 の順で画面を移動します。
  3. SSL証明書の複製 のところにある「実行」ボタンをクリックすると確認ダイアログが表示されますので「インポート」をクリックします。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq410/

(最終更新日:2023/11/22)




[V5] Proselfに認証局のSSL証明書を用いることは可能でしょうか。

はい、可能です。
Proselfの管理画面にある「SSL証明書設定」よりSSL証明書をインポート可能です。
なお、上記設定に際しては、Proself上で生成したCSRを認証局に申請して送られてきたSSL証明書を用いる必要がありますのでご注意ください。

Proself上で生成したCSRを申請せずに発行されたSSL証明書適用に関する情報については、以下URLをご参照ください。
https://www.proself.jp/support/faq276/
https://www.proself.jp/support/faq362/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq222/

(最終更新日:2023/11/22)




[V5] [GW] HTTPS通信で使用する秘密鍵の抽出は可能でしょうか。

ProselfではSSL証明書、中間証明書、秘密鍵一式をJKS形式のキーストアファイル(keystore.ssl)に格納しているため秘密鍵のみを取得することはできませんが、本キーストアファイルをpkcs12形式にコンバート後、そのpkcs12形式ファイルよりopensslコマンド等で秘密鍵を抽出することは可能です。

しかしながら、秘密鍵の抽出については弊社サポートの範疇を超える内容であるため、お客様の自己責任にてお願い申し上げます

弊社よりご案内できるのは、以下に記載するProselfのキーストアファイル(JKS形式)をpkcs12形式にコンバートするための手順までとなりますため、秘密鍵の抽出手順につきましてはお客様ご自身でお調べいただきますようお願い申し上げます。

なお、以下手順はProselfをインストールしているサーバー上で実施ください。

  1. 以下ファイルを任意のフォルダにコピーします。
    Proselfインストールフォルダ(※)/conf/keystore.ssl
    ※Proselfインストールフォルダの確認方法は以下をご参照ください。
    https://www.proself.jp/support/faq433/
  2. コマンドライン上で以下コマンドを実行します。
    # cd {1.でkeystore.sslをコピーしたフォルダ}

    # keytool -importkeystore -srckeystore keystore.ssl -destkeystore mystore.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit -srcalias tomcat -destalias tomcat -srckeypass changeit -destkeypass changeit -noprompt
  3. 2.のコマンド実行後、コマンドを実行したフォルダ内に「mystore.p12」ファイルが作成されますので、opensslコマンド等を用いてこちらのファイルから秘密鍵を抽出ください。

以上で完了です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq468/

(最終更新日:2023/11/22)




[V5] [GW] [O] Proselfにおいてウイルスチェックから除外対象とすべきフォルダについて教えてください。

以下のフォルダを除外対象としてください。

  • 最低限除外すべきフォルダ
    • Proselfストアフォルダ/logdb
    • Proselfインストールフォルダ/work (Mail Proxyオプション利用時のみ)
  • 除外推奨フォルダ
    • Proselfインストールフォルダ/logs
    • Proselfストアフォルダ/work (※)
    ※以下FAQの手順でウイルススキャン連携機能と組み合わせている場合は、必ずスキャン対象にしてください。
    https://www.proself.jp/support/faq353/

なお、Proselfインストールフォルダやストアフォルダそのものをウイルスチェックの除外対象とすることはセキュリティの観点から強くお勧めいたしません。

※Proselfインストールフォルダを確認する方法は以下のFAQをご参照ください。
https://www.proself.jp/support/faq433/
※Proselfストアフォルダを確認する方法は以下のFAQをご参照ください。
https://www.proself.jp/support/faq434/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq445/

(最終更新日:2023/11/22)



11件目から20件目までを表示

1 2 3