【Tomcat】設定ファイル server.xml ~ Connector / Special Features 編~


■ 特殊な特徴 / Special Features

* SSLサポート / SSL Support - BIO, NIO and NIO2

secure

 * リクエストがSSL通信かどうかをチェック

clientAuth

 * クライアントに対して、クライアント証明書の提示を求めたい場合、trueを設定する

keystoreFile

 * 作成したキーストアファイルを指定

keystorePass

 * キーストアのパスワード

sslProtocol

 * 使用される暗号化/復号化プロトコル

SSLEnabled

 * SSLトラフィックが利用できるよう設定(SSLを有効にする)
 * デフォルト値は、 false

sslProtocol

 * 使用する SSL プロトコルのバージョンを指定
 * デフォルト値は、 TLS

sslEnabledProtocols

 * SSL 実装の一覧に挙げられ、サポートされるプロトコルだけが有効にする

ciphers

http://www.jajakarta.org/tomcat/tomcat5.0/ja/docs/tomcat-docs/ssl-howto.html
が参考になる

 * 使用を許可する暗号化方式

 * 複数指定する場合は、「カンマ(,)」or「コロン(:)」で区切る
  + カンマの場合
   => ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,...
  + コロンの場合
   => ciphers="HIGH:!aNULL:!eNULL:...

 * デフォルトは「HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5」
   (Tomcat5だと「利用可能な暗号化方式をすべて許可」)

 * 設定値は以下の関連記事の「openssl が使用する暗号方式の設定変更」を参照のこと。
   (Opensslのciphersと同じ? 「!」は、その暗号方式を使わせない)
http://blogs.yahoo.co.jp/dk521123/35255385.html

useServerCipherSuitesOrder

 * true : サーバ側の暗号の優先順位に無理やり合わせる(ciphers属性の設定値による?)
 * Java8以降で利用可能
   => Java8から、JSSEにおいてサーバ側での暗号形式選択が可能となったため。Java7未満では利用不可
     (以下の記事はとても参考になる。ためになる。Java1.7まではクライアント主導で暗号形式を決めてたのね)
http://www.scutum.jp/information/waf_tech_blog/2015/04/waf-blog-042.html


関連記事

設定ファイル server.xml ~ Connector / Attributes 編~

http://blogs.yahoo.co.jp/dk521123/34658624.html

設定ファイル server.xml ~ Valve 編~

https://blogs.yahoo.co.jp/dk521123/37348697.html

Tomcat のスレッド制御 ~ Connectorタグ / Executorタグ ~

https://blogs.yahoo.co.jp/dk521123/37307732.html

TomcatSSL通信 ~簡易版~

* SSLを有効にさせ方が載っている
http://blogs.yahoo.co.jp/dk521123/31967584.html

Tomcat でPOODLE SSLv3脆弱性対策をする

* 「sslProtocol」「sslEnabledProtocols」が載っている
http://blogs.yahoo.co.jp/dk521123/34209930.html