-
ProselfでTLS1.3を用いたhttps接続を可能にするための方法を教えてください。 以下のサーバー側条件を満たす場合にご案内する手順を実施することで、TLS1.3による接続が可能となります。
-
サーバー条件
-
Proself Ver5.20以上が必要となります。
なお、Proself Ver5.31以上を新規インストールした場合は最初からTLS1.3が利用可能であるため、以下記載の手順実施は必要ありません。
-
JDK11.0.1以上、またはJDK 8u261以上が必要です。
-
Proself Ver5.20以上が必要となります。
-
ブラウザ条件
- Microsoft Edge 79以上
- Google Chrome 70以上
- Firefox 63以上
- Safari 12.1.1以上
※Safariについては公式情報不明につき弊社で確認の取れたバージョンになっております。
-
適用手順
-
Proselfのサービスを停止します。
-
Proselfインストールフォルダ/conf/server.xml を編集して保存します。
※編集前に「server.xml.yyyymmdd」のようなファイル名でバックアップを取得してください。
-
Ver5.50以上の場合
【編集前】
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"【編集後】(赤字の記述を追加します)
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
>
<SSLHostConfig sslProtocol="TLS" protocols="+TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
certificateVerification="none"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
>
<SSLHostConfig sslProtocol="TLS" protocols="+TLSv1+TLSv1.1+TLSv1.2+TLSv1.3"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384"
certificateVerification="none"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
※上記のようにprotocols="~"の部分に「+TLSv1.3」を、ciphers="~"の部分に「, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384」を追加します。
-
Ver5.50未満の場合
【編集前】
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"【編集後】(赤字の記述を追加します)
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,TLSv1.3"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
※上記のようにsslEnabledProtocols="~"の部分に「,TLSv1.3」を、ciphers="~"の部分に「, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384」を追加します。
-
Ver5.50以上の場合
-
Proselfのサービスを起動します。
-
WebブラウザでProselfにアクセスして正常に表示できることを確認します。
※Google ChromeやFirefoxの場合、Webブラウザの開発者ツールで「Security」「暗号化」という名前のタブ選択の際、接続時のプロトコルに「TLS1.3」と表示されていればTLS1.3で接続されております。
-
Proselfのサービスを停止します。
(最終更新日:2024/01/10) -
サーバー条件