クライアントコマンド共通設定項目
設定項目一覧#
クライアントコマンドに共通して指定できる設定項目は以下の通りです。
システム動作環境設定・通信方式関連
| 説明 | 項目名 |
|---|---|
| プロトコルバージョン(2固定) | ProtocolVersion |
| OpenSSLオプションの指定(WebSocket(SSL/TLS)通信時) | WSSOptions |
| OpenSSLのCipher Suites オプション指定(WebSocket(SSL/TLS)通信時、TLS 1.3で使用) | WSSCipherSuites |
| OpenSSLのCipher List オプション指定(WebSocket(SSL/TLS)通信時、TLS 1.2 以前で使用) | WSSCipherList |
通信データ圧縮機能
| 説明 | 項目名 |
|---|---|
| 圧縮レベルの指定 | CompressLevel |
| ヘッダブロックの圧縮設定 | HeaderCompress |
| コンテントブロックの圧縮設定 | ContentCompress |
データフロー制御・帯域制御
| 説明 | 項目名 |
|---|---|
| 受信帯域制限(セッション単位) | MaxReceiveRate |
| 送信帯域制限(セッション単位) | MaxSendRate |
| 受信帯域制限(接続単位) | MaxConnectionReceiveRate |
| 送信帯域制限(接続単位) | MaxConnectionSendRate |
データフロー制御・ファイルロック機能
| 説明 | 項目名 |
|---|---|
| ファイルロック使用設定 | FileLock |
| 獲得試行回数の設定 | FileLockTrials |
| 要求間隔(秒)の設定 | FileLockTrialInterval |
データフロー制御・データバッファ設定
| 説明 | 項目名 |
|---|---|
| バッファメモリ割当サイズ制限 | MaxBufferSize |
| 拡張バッファサイズ設定(HpFP通信使用時) | UDPTransportExtensionBufferSize |
| 送信バッファサイズ設定(TCP通信時) | TCPTransportSocketSendBuffer |
データフロー制御・転送ファイルサイズ制限
| 説明 | 項目名 |
|---|---|
| 受信可能ファイルサイズの最大値設定 | MaxReceiveFileSize |
| 送信可能ファイルサイズの最大値設定 | MaxSendFileSize |
データフロー制御・通信メッセージサイズ制御
| 説明 | 項目名 |
|---|---|
| 転送するヘッダブロックの初期サイズ設定 | InitHeaderBlockSize |
| 転送するコンテントブロックの初期サイズ設定 | InitContentBlockSize |
| ヘッダブロックの拡張可能上限サイズ設定 | MaxHeaderBlockSize |
| コンテントブロックの拡張可能上限サイズ設定 | MaxContentBlockSize |
| 一括で送信できるファイル要求数の最大値設定 | MaxRequestFileEntryAtOnce |
コード変換・通信エンコードネゴシエーション
| 説明 | 項目名 |
|---|---|
| 通信時に使用する文字列エンコーディング方式の設定 | TransportCharEncoding |
コード変換・ホスト文字エンコード対応
| 説明 | 項目名 |
|---|---|
| ホストで使用されている文字列エンコーディング方式の指定 | HostEncoding |
認証
| 説明 | 項目名 |
|---|---|
| LPA(Local Password Authentication)認証設定 | LocalPasswordAuthentication |
| PAM(Pluggable Authenticaton Module)認証設定 | PAMAuthentication |
| 公開鍵認証設定 | PubkeyAuthentication |
| Windows認証設定 | WinLogonUserAuthentication |
| パスワード入力プロンプトの表示回数指定 | NumberOfPasswordPrompts |
| 秘密鍵探索ディレクトリの指定(公開鍵認証) | IdentitySearchDir |
| 秘密鍵ファイルパスの指定(公開鍵認証) | IdentityFile |
| 公開鍵認証優先 | PubkeyAuthenticationPrior |
暗号
| 説明 | 項目名 |
|---|---|
| 通信メッセージ暗号化に使用する暗号方式の設定 | AcceptableCryptMethod |
| 通信データ及びファイルの検証に使用するダイジェスト(ハッシュ)方式の設定 | AcceptableDigestMethod |
| MAC(Message Authentication Code)による通信メッセージ検査無効要求 | DisableDataIntegrityChecking |
| MAC(Message Authentication Code)による通信メッセージ検査無効拒否の受け入れ設定 | AcceptDataIntegrityCheckingOnRejection |
暗号化通信セキュリティネゴシエーション
| 説明 | 項目名 |
|---|---|
| サーバに対するサーバ証明書セキュリティ機能の要求設定 | RequireServerCertificateSecurity |
| サーバ証明書セキュリティダウングレード禁止 | RejectFallbackServerCertificateSecurity |
| サーバ証明書共通名(Common Name)の検査無効化 | IgnoreCertificateCNInvalid |
| サーバ証明書有効期限の検査無効化 | IgnoreCertificateDateInvalid |
| CA証明書の検査無効化 | IgnoreUnknownCA |
| CRL(証明書失効リスト)による証明書失効検査無効化 | IgnoreRevocation |
| サーバ証明書共通名(Common Name)の検査無効化(WebSocket通信(SSL/TLS)時) | WSSIgnoreCertificateCNInvalid |
| サーバ証明書有効期限の検査無効化(WebSocket通信(SSL/TLS)時) | WSSIgnoreCertificateDateInvalid |
| CA証明書の検査無効化(WebSocket通信(SSL/TLS)時) | WSSIgnoreUnknownCA |
| CRL(証明書失効リスト)による証明書失効検査無効化(WebSocket通信(SSL/TLS)時)(予約) | WSSIgnoreRevocation |
| CA(Certificate Authorities)証明書の保管先ファイルパス指定 | CACertificateFile |
| CA(Certificate Authorities)証明書の保管先ディレクトリ指定(予約) | CACertificatePath |
| CRL(証明書失効リスト)の保管先ファイルパス指定 | CARevocationFile |
| CRL(証明書失効リスト)の保管先ディレクトリ指定(予約) | CARevocationPath |
| CA(Certificate Authorities)証明書の保管先ファイルパス指定(WebSocket通信(SSL/TLS)時) | WSSCACertificateFile |
| OCSP(オンライン証明書失効検査)実施の設定 | OCSPRevocationEnabled |
| サーバ認証時のホスト鍵受け入れポリシー設定 | StrictHostKeyChecking |
各種監視機能・タイムアウト制御
| 説明 | 項目名 |
|---|---|
| トランスポートのタイムアウト時間設定 | TransportTimeout |
性能評価機能
| 説明 | 項目名 |
|---|---|
| ディスク詳細測定時の使用ファイルサイズ指定 | DeepDiskBenchmarkFileSize |
| ディスク詳細測定時の空き領域サイズ指定 | DeepDiskBenchmarkFreeSpaceRequired |
| ディスク詳細測定時の使用ブロックサイズセット指定 | DeepDiskBenchmarkBlockSizes |
ログ管理機能
| 説明 | 項目名 |
|---|---|
| アプリケーション診断ログの設定(旧ApplicationLog) | DiagnosticLog |
| アプリケーション診断ログのログレベル設定(旧ApplicationLogLevel) | DiagnosticLogLevel |
| アプリケーション統計ログの取得と設定 | ApplicationStatLog |
| トランスポート統計ログの取得と設定 | TransportStatLog |
| アプリケーション統計ログ セキュリティ関連の詳細情報出力設定 | ApplicationStatLogSecurityEx |
システム動作環境設定・CPUスレッド制限
| 説明 | 項目名 |
|---|---|
| 使用スレッド数の制限(Linux) | MaxConcurrentThread |
システム動作環境設定・通信方式関連#
WSSOptions#
=========================================================================対応OS : Linux / Windows / Mac書式 : WSSOptions <opt_value>-------------------------------------------------------------------------opt_value書式 : ( NONE | <openssl_opt_values> )既定値 : NONE値の範囲 : OpenSSLで規定されるSSL/TLSオプション名のリスト=========================================================================SSL/TLS通信を実行する際に設定するOpenSSLオプションを指定します。指定するオプションの名前は下記URLに規定される名前を使用します。
https://www.openssl.org/docs/man1.1.1/man3/SSL_CTX_set_options.htmlSSL_CTX_set_options
--例:WSSOptions SSL_OP_NO_COMPRESSION:SSL_OP_NO_SSLv3--WSSCipherSuites#
=========================================================================対応OS : Linux / Windows / Mac書式 : WSSCipherSuites <cs_value>-------------------------------------------------------------------------cs_value書式 : ( NONE | <openssl_cipher_suite_values> )既定値 : NONE値の範囲 : OpenSSLで規定されるCipher Suitesパラメータのリスト=========================================================================SSL/TLS通信を実行する際に設定するOpenSSLのCipher Suitesオプションを指定します(TLS 1.3で使用されます)。指定するオプションの名前は下記URLに規定される名前を使用します。
https://www.openssl.org/docs/man1.1.1/man1/ciphers.htmlciphers
"TLS v1.3 cipher suites"で定められた暗号スイート(Cipher Suite)名。
--例:WSSCipherSuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256--WSSCipherList#
=========================================================================対応OS : Linux / Windows / Mac書式 : WSSCipherList <clist_value>-------------------------------------------------------------------------clist_value書式 : ( NONE | <openssl_cipher_list> )既定値 : NONE値の範囲 : OpenSSLで規定されるCipher Listパラメータ=========================================================================SSL/TLS通信を実行する際に設定するOpenSSLのCipher Listオプションを指定します(TLS 1.2もしくはそれ以前で使用されます)。指定するオプションの名前は下記URLに規定される名前を使用します。
https://www.openssl.org/docs/man1.1.1/man1/ciphers.htmlciphers
"CIPHER LIST FORMAT"及び"CIPHER STRINGS"で定められた書式の暗号リスト(Cipher List)。
--例:WSSCipherList RC4-MD5:RC4-SHA:AES128-SHA:AES256-SHA:HIGH:!DSS:!aNULL--通信データ圧縮機能#
CompressLevel#
=========================================================================対応OS : Linux / Windows / Mac書式 : CompressLevel <compress-level>-------------------------------------------------------------------------compress-level既定値 : -1値の範囲 : -1, 0 - 9=========================================================================通信メッセージを圧縮するレベルを指定します。
--例:CompressLevel 9---1を指定した場合、内部的にレベル6が選択されます。
0を指定した場合、圧縮は行いません。
HeaderCompress#
=========================================================================対応OS : Linux / Windows / Mac書式 : HeaderCompress <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================ファイルを転送する際形成されるデータブロックのうち、ファイル要求などのメッセージを複数含むヘッダブロック部分を圧縮するか設定します。hcpコマンドやhsyncコマンドの「z, compress」オプションで圧縮して送信する際、適用します。
--例:HeaderCompress no--ContentCompress#
=========================================================================対応OS : Linux / Windows / Mac書式 : ContentCompress <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================ファイルを転送する際形成されるデータブロックのうち、ファイルのデータを複数含むコンテントブロック部分を圧縮するか設定します。hcpコマンドやhsyncコマンドの「z, compress」オプションで圧縮して送信する際、適用します。
--例:ContentCompress no--データフロー制御・帯域制御#
MaxReceiveRate#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxReceiveRate <bandwidth>-------------------------------------------------------------------------bandwidth既定値 : 100Gbit値の範囲 : 符号なし倍長整数=========================================================================トランスポート受信帯域のシェーピング(制限)を設定します(セッション単位)。
--例:MaxReceiveRate 1Gbit--MaxSendRate#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxSendRate <bandwidth>-------------------------------------------------------------------------bandwidth既定値 : 100Gbit値の範囲 : 符号なし倍長整数=========================================================================トランスポート送信帯域のシェーピング(制限)を設定します(セッション単位)。
--例:MaxSendRate 1Gbit--MaxConnectionReceiveRate#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxConnectionReceiveRate <bandwidth>-------------------------------------------------------------------------bandwidth既定値 : 100Gbit値の範囲 : 符号なし倍長整数=========================================================================トランスポート受信帯域のシェーピング(制限)を設定します(接続単位)。
--例:MaxConnectionReceiveRate 1Gbit--MaxConnectionSendRate#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxConnectionSendRate <bandwidth>-------------------------------------------------------------------------bandwidth既定値 : 100Gbit値の範囲 : 符号なし倍長整数=========================================================================トランスポート送信帯域のシェーピング(制限)を設定します(接続単位)。
--例:MaxConnectionSendRate 1Gbit--データフロー制御・ファイルロック機能#
FileLock#
hcpd設定項目参照
FileLockTrials#
hcpd設定項目参照
FileLockTrialInterval#
hcpd設定項目参照
データフロー制御・データバッファ設定#
MaxBufferSize#
=========================================================================対応OS : Linux / Windows書式 : MaxBufferSize <max-buf-size>-------------------------------------------------------------------------max-buf-size既定値 : 1GB値の範囲 : 符号なし倍長整数=========================================================================ファイルのデータ処理に使用できる最大のメモリバッファサイズを設定します。
--例:MaxBufferSize 1GB--UDPTransportExtensionBufferSize#
=========================================================================対応OS : Linux / Windows / Mac書式 : UDPTransportExtensionBufferSize <ext-buf-size>-------------------------------------------------------------------------ext-buf-size既定値 : 2GB値の範囲 : 符号なし倍長整数 (バイト単位)=========================================================================HpFP(UDP)トランスポートで使用する拡張バッファのサイズを指定します。
HpFPセッションでは、遅延やロス及び通信量の増加などに伴い通信用のバッファを指定されたサイズ(UDPListenAddressのhpfp_sndbuf及びhpfp_rcvbuf)に拡張します。この拡張するバッファの合計容量を指定された値で制限します。
0を指定した場合は、この制限を行いません。
また、バッファの初期サイズ(拡張される前のバッファのサイズ)は1MBです。
--例:UDPTransportExtensionBufferSize 4GB--TCPTransportSocketSendBuffer#
=========================================================================対応OS : Linux / Windows / Mac書式 : TCPTransportSocketSendBuffer <snd-buf-size>-------------------------------------------------------------------------snd-buf-size書式 : <decimal_number>[[(T|G|M|K)]B]既定値 : 0値の範囲 : 符号なし倍長整数 (バイト単位)=========================================================================TCP通信で指定する送信バッファのサイズ(バイト単位)を設定します。0を指定すると未指定となります。
100G環境などでTCP通信性能のチューニングが必要な場合などに使用します。通常は変更する必要はありません。
--例:TCPTransportSocketSendBuffer 128MB--データフロー制御・転送ファイルサイズ制限#
MaxReceiveFileSize#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxReceiveFileSize <file-size>-------------------------------------------------------------------------file-size既定値 : 8EB - 1B (符号付倍長整数最大値。制限なし)値の範囲 : 符号付き倍長整数=========================================================================受信を許可する最大のファイルサイズを設定します。
--例:MaxReceiveFileSize 1GB--MaxSendFileSize#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxSendFileSize <file-size>-------------------------------------------------------------------------file-size既定値 : 8EB - 1B (符号付倍長整数最大値。制限なし)値の範囲 : 符号付き倍長整数=========================================================================送信を許可する最大のファイルサイズを設定します。
--例:MaxSendFileSize 1GB--データフロー制御・通信メッセージサイズ制御#
InitHeaderBlockSize#
=========================================================================対応OS : Linux / Windows / Mac書式 : InitHeaderBlockSize <block-size>-------------------------------------------------------------------------block-size既定値 : 50KB値の範囲 : 符号なし倍長整数=========================================================================初期ヘッダブロックのサイズを設定します。
--例:InitHeaderBlockSize 10KB--ファイル要求などのメッセージを複数含むヘッダブロックが形成可能な上限のサイズを与えます。このオプションは通信開始直後に適用されます。
InitContentBlockSize#
=========================================================================対応OS : Linux / Windows / Mac書式 : InitContentBlockSize <block-size>-------------------------------------------------------------------------block-size既定値 : 1MB値の範囲 : 符号なし倍長整数=========================================================================初期コンテントブロックのサイズを設定します。
--例:InitContentBlockSize 2MB--ファイルのデータを複数含むコンテントブロックが形成可能な上限のサイズを与えます。このオプションは通信開始直後に適用されます。
MaxHeaderBlockSize#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxHeaderBlockSize <block-size>-------------------------------------------------------------------------block-size既定値 : 50KB値の範囲 : 符号なし倍長整数=========================================================================ヘッダブロックのサイズを拡張する最大のサイズを設定します。
--例:MaxHeaderBlockSize 100KB--通信を開始すると消費帯域を評価して形成可能なヘッダブロックのサイズを増減させます。本オプションは、このサイズを増加させることができる上限値を与えます。
MaxContentBlockSize#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxContentBlockSize <block-size>-------------------------------------------------------------------------block-size既定値 : 1MB値の範囲 : 符号なし倍長整数=========================================================================コンテントブロックのサイズを拡張する最大のサイズを設定します。
10Gbpsを超える環境などで通信性能が頭打ちになった場合などに、InitContentBlockSizeと併せて変更すると性能が改善する場合があります。
--例:MaxContentBlockSize 4MB--通信を開始すると消費帯域を評価して形成可能なコンテントブロックのサイズを増減させます。本オプションは、このサイズを増加させることができる上限値を与えます。
MaxRequestFileEntryAtOnce#
=========================================================================対応OS : Linux / Windows / Mac書式 : MaxRequestFileEntryAtOnce <max-file-req-at-once>-------------------------------------------------------------------------max-file-req-at-once既定値 : 50値の範囲 : 符号付き整数=========================================================================ファイル要求の一括送信を許可する最大の数を設定します。
--例:MaxRequestFileEntryAtOnce 1000--コード変換・通信エンコードネゴシエーション#
TransportCharEncoding#
=========================================================================対応OS : Linux / Windows / Mac書式 : TransportCharEncoding <encodings>-------------------------------------------------------------------------encodings書式 : <encoding>[ ...]既定値 : UTF8-------------------------------------------------------------------------encoding値の範囲 : US-ASCII, UTF8, UTF16, UTF32=========================================================================トランスポートで使用する文字列のエンコーディング方式を指定します。
--例:TransportCharEncoding UTF8 UTF16 US-ASCII--サーバとの間で交換するファイルパスなどの文字列に適用されます。どのエンコーディングが使用されるかは、サーバの設定と併せて評価し、一致したエンコーディングを使用します。
コード変換・ホスト文字エンコード対応#
HostEncoding#
=========================================================================対応OS : Linux / Windows / Mac書式 : HostEncoding <encoding>-------------------------------------------------------------------------encoding既定値 : UTF-8 (Linux / Mac) CP932 (Windows)値の範囲 : システムかつエンコーディング変換ライブラリでサポートされるエンコーディング名(プラットホーム依存)=========================================================================ホストで使用されている文字列エンコーディングを指定します。
--例:HostEncoding EUC-JP--認証#
LocalPasswordAuthentication#
=========================================================================対応OS : Linux / Windows / Mac書式 : LocalPasswordAuthentication <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================LPA認証の設定を行います。noを指定した場合、サーバから認証を要求された際にLPA認証を行いません。
--例:LocalPasswordAuthentication no--PAMAuthentication#
=========================================================================対応OS : Linux / Windows / Mac書式 : PAMAuthentication <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================PAM認証の設定を行います。noを指定した場合、サーバから認証を要求された際にPAM認証を行いません。
--例:PAMAuthentication no--PubkeyAuthentication#
=========================================================================対応OS : Linux / Windows / Mac書式 : PubkeyAuthentication <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================公開鍵認証の設定を行います。noを指定した場合、サーバから認証を要求された際に公開鍵認証を行いません。
--例:PubkeyAuthentication no--WinLogonUserAuthentication#
=========================================================================対応OS : Linux / Windows / Mac書式 : WinLogonUserAuthentication <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================Windows認証の設定を行います。noを指定した場合、サーバから認証を要求された際にWindows認証を行いません。
--例:WinLogonUserAuthentication no--NumberOfPasswordPrompts#
=========================================================================対応OS : Linux / Windows / Mac書式 : NumberOfPasswordPrompts <num-prompts>-------------------------------------------------------------------------num-prompts既定値 : 3値の範囲 : 符号あり整数値=========================================================================パスワード認証(PAM/WLU/LPA)や公開鍵認証の秘密鍵を復号の際にパスワード(パスフレーズ)を入力するために表示するプロンプトの回数を指定します。それぞれの認証において指定された回数試行して成功しなかった場合は、次の認証へ進みます。
--例:NumberOfPasswordPrompts 2--IdentitySearchDir#
=========================================================================対応OS : Linux / Windows / Mac書式 : IdentitySearchDir <flag-available>-------------------------------------------------------------------------flag-available既定値 : /etc/hcp/keys (Linux) C:/ProgramData/Clealink/HCP Tools/keys (Windows) /usr/local/etc/hcp/keys (Mac)値の範囲 : ファイルシステムのパス文字列=========================================================================公開鍵認証で使用するユーザの秘密鍵を特定するために探索するディレクトリを指定します。
--例:IdentitySearchDir /etc/hcp/keys--指定されたディレクトリで次の様なファイル名を秘密鍵が保管されたファイルと見做して探索します。
<ユーザ名>.keyこのユーザ名は、接続先のサーバのユーザ名(-uオプションで指定するユーザ名もしくはログインプロンプトで入力するユーザ名)ではなく、ローカルコンピュータのユーザ名が使用されます。ローカルコンピュータのユーザ名がサーバのユーザ名と異なる場合はご注意ください。
Linux版ではファイルパーミッションの検査が行われ、グループ(Group)とその他(Other)にアクセス権(読書、実行)が設定されている場合は、警告を表示してそのファイルはスキップされます。
秘密鍵と同じディレクトリに次の拡張子を持つ同じユーザ名のファイルが存在する場合は、クライアント証明書と見做して認証を行います。
- crt
- cer
秘密鍵の書式は次の形式をサポートします。
- PEM 形式
- OpenSSH v1 形式
- PuTTY v2/v3 形式
証明書はPEM形式をサポートします。
鍵アルゴリズムは次のアルゴリズムをサポートします。
- RSA (1024bits - 4096bits)
- ECDSA nistp256, nistp384, nistp521
- Ed25519
クライアントホスト上で鍵エージェント(ssh-agent, pageant)が動作している場合は、本設定により検出された次の形式の秘密鍵を対象にパスフレーズレス認証を行うことができます。
- OpenSSH v1 形式の秘密鍵
- PuTTY v2/v3 形式の秘密鍵
Linux/macOS環境においてssh-agentを、Windows環境ではpageant(Windows版のssh-agentは非対応)を利用します。
旧名PrivateKeySearchDirも使用できます。
IdentityFile#
=========================================================================対応OS : Linux / Windows / Mac書式 : IdentityFile <file-path>-------------------------------------------------------------------------file-path既定値 :(Linux / Mac) ~/.ssh/id_rsa ~/.ssh/id_ecdsa ~/.ssh/id_ed25519 ~/.hcp/id_rsa ~/.hcp/id_ecdsa ~/.hcp/id_ed25519(Windows) ~/_hcp/id_rsa ~/_hcp/id_ecdsa ~/_hcp/id_ed25519値の範囲 : 単一のユーザディレクトリを表すパス表記(~、チルダ)を含むファイルパス=========================================================================公開鍵認証で使用するユーザの秘密鍵を特定するために探索するユーザホームディレクトリ内の鍵保管ファイルのパスを指定します。
--例:IdentityFile ~/.hcp/id_rsa--Linux版ではファイルパーミッションの検査が行われ、グループ(Group)とその他(Other)にアクセス権(読書、実行)が設定されている場合は、警告を表示してそのファイルはスキップされます。
特定したファイルに次の拡張子が付加されたファイルが存在する場合は、クライアント証明書と見做して認証を行います。
- crt
- cer
秘密鍵の書式は次の形式をサポートします。
- PEM 形式
- OpenSSH v1 形式
- PuTTY v2/v3 形式
証明書はPEM形式をサポートします。
鍵アルゴリズムは次のアルゴリズムをサポートします。
- RSA (1024bits - 4096bits)
- ECDSA nistp256, nistp384, nistp521
- Ed25519
ssh_configでサポートされているTOKENSについては、%d, %i, %r, %uに対応しています。
https://man7.org/linux/man-pages/man5/ssh_config.5.htmlTOKENS - IdentityFile本設定を複数指定する場合は、次のように記述します。
IdentityFile ~/.hcp/id_mykey1IdentityFile ~/.hcp/id_mykey2IdentityFile ~/.hcp/id_mykey3一つの設定項目に複数のパスを記述することはできません。
クライアントホスト上で鍵エージェント(ssh-agent, pageant)が動作している場合は、本設定により検出された次の形式の秘密鍵を対象にパスフレーズレス認証を行うことができます。
- OpenSSH v1 形式の秘密鍵
- PuTTY v2/v3 形式の秘密鍵
Linux/macOS環境においてssh-agentを、Windows環境ではpageant(Windows版のssh-agentは非対応)を利用します。
旧名PrivateKeyFileも使用できます。
PubkeyAuthenticationPrior#
=========================================================================対応OS : Linux / Windows / Mac書式 : PubkeyAuthenticationPrior <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================公開鍵認証を優先して実行するか指定します。
yesの場合、まず秘密鍵の探索とロードを試みます。秘密鍵が暗号化されている場合は、都度復号するためのパスワードの入力が要求されます。最初にロードに成功した秘密鍵を使用して公開鍵認証を行います(その他の秘密鍵は無視されます)。秘密鍵がロードできなかった場合は、パスワード認証が行われます。
noの場合は、従来の認証動作を行います。パスワードが未入力の場合は入力が要求され、全ての認証方式が試行されます。
--例:PubkeyAuthenticationPrior no--暗号#
AcceptableCryptMethod#
=========================================================================対応OS : Linux / Windows / Mac書式 : AcceptableCryptMethod <method-names>-------------------------------------------------------------------------method-names書式 : <method-name>[ ...]既定値 : AES256/GCM AES256/CTR/VMAC AES256/CBC AES128/CBC-------------------------------------------------------------------------method-name値の範囲 : PLAIN, AES128/CBC, AES192/CBC, AES256/CBC, AES128/CBC/HMAC,AES192/CBC/HMAC, AES256/CBC/HMAC, AES128/CBC/VMAC, AES192/CBC/VMAC,AES256/CBC/VMAC, AES128/CBC/VMAC64, AES192/CBC/VMAC64, AES256/CBC/VMAC64,AES128/CTR/HMAC, AES192/CTR/HMAC, AES256/CTR/HMAC, AES128/CTR/VMAC,AES192/CTR/VMAC, AES256/CTR/VMAC, AES128/CTR/VMAC64, AES192/CTR/VMAC64,AES256/CTR/VMAC64, AES128/GCM, AES192/GCM, AES256/GCM=========================================================================暗号アルゴリズムを設定します。
AES128/CBCと指定した場合は、AES128/CBC/HMACと解釈されます(これらは同一のアルゴリズムです。AES192/CBC及びAES256/CBCについても同様)。
新たに追加したアルゴリズム(CTR/GCMモード、VMACモードを含むアルゴリズム)に対応していないバージョンと通信する場合は、これらの新しいアルゴリズムは接続時のネゴシエーションで無視されます(エラーとはなりません)。
1Gbpsを超える回線では、CTR/VMACもしくはGCMが推奨されます(AES256/GCM, AES256/CTR/VMACなど)。 一般的に1Gbpsを超える回線では、CBCやHMACを使用すると暗号通信が性能のボトルネックとなることがあります(AES256/CTR/HMAC, AES256/CBC/HMACなど)。また、VMAC64モードを使用すると検査ビットが64ビットとなりVMACモードの128ビットより小さくなります(性能が向上する要因になりますがデータ検査の安全性は低下します)。
--例:AcceptableCryptMethod AES256/CBC PLAIN--サーバとの間で通信するメッセージの暗号化に使用されます。どのアルゴリズムが使用されるかは、サーバの設定と併せて評価し、一致したアルゴリズムを使用します。
AcceptableDigestMethod#
=========================================================================対応OS : Linux / Windows / Mac書式 : AcceptableDigestMethod <method-names>-------------------------------------------------------------------------method-names書式 : <method-name>[ ...]既定値 : XXH3 SHA256 SHA160-------------------------------------------------------------------------method-name値の範囲 : NONE, SHA160, SHA224, SHA256, SHA384, SHA512, MD5, MM32, MM128,XXH3, XXH128, XXH64, XXH32=========================================================================通信データ及びファイルの検証に使用するダイジェスト(ハッシュ)方式を設定します。
--例:AcceptableDigestMethod SHA256 SHA160 NONE--サーバとの間で通信するメッセージ、ファイルやそのデータブロックの検証に使用されます。どのアルゴリズムが使用されるかは、サーバの設定と併せて評価し、一致したアルゴリズムを使用します。
また、データ検査にHMACを使用する暗号通信(AES256/CBC/HMACなど)を行う場合、安全性の低いアルゴリズム(MD5, MM32, MM128, XXH3, XXH128, XXH64, XXH32)は、指定されなかったものとして扱われます。
MM32およびMM128は廃止されました(設定互換性のため値の定義は残されています)。代わりにXXH3を使用してください。
DisableDataIntegrityChecking#
=========================================================================対応OS : Linux / Windows / Mac書式 : DisableDataIntegrityChecking <flag-available>-------------------------------------------------------------------------flag-available既定値 : no値の範囲 : yes, no=========================================================================サーバとの間で暗号化通信を行う場合に、MACによる通信メッセージの検査(データ完全性検査)を無効にする(省略する)ことをサーバに要求するか設定します。
yesを指定すると、サーバが許可した場合に通信メッセージの検査を行わない暗号化通信を行います。サーバが拒否した場合は、後述の設定項目AcceptDataIntegrityCheckingOnRejection の設定に従って動作します。
通常はno(デフォルト)で使用してください。前述の通信メッセージの検査が省略されることを理解したうえでご利用ください。通常、暗号通信のパフォーマンス向上の目的で使用します。
--例:DisableDataIntegrityChecking yes--AcceptDataIntegrityCheckingOnRejection#
=========================================================================対応OS : Linux / Windows / Mac書式 : AcceptDataIntegrityCheckingOnRejection <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================サーバとの間で暗号化通信を行う場合に、MACによる通信メッセージの検査を無効にする(省略する)要求が拒否された場合に、通信を継続か中断するか設定します。
yesを指定すると、通信メッセージの検査を行って通信を継続します。noを指定すると、通信を中断してアプリケーションを終了します。
--例:AcceptDataIntegrityCheckingOnRejection no--暗号化通信セキュリティネゴシエーション#
RequireServerCertificateSecurity#
=========================================================================対応OS : Linux / Windows / Mac書式 : RequireServerCertificateSecurity <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================サーバに対してサーバ証明書セキュリティ機能によるセキュリティ通信を要求するか設定します。yesを指定した場合、サーバが同機能を使用する通信を設定していない場合、接続を拒否します。
--例:RequireServerCertificateSecurity no--RejectFallbackServerCertificateSecurity#
=========================================================================対応OS : Linux / Windows / Mac書式 : RejectFallbackServerCertificateSecurity <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================サーバ証明書セキュリティ機能を使用したセキュリティ通信を確立できない場合に、安全でない通信(平文通信)にフォールバックする動作を禁止します。
--例:RejectFallbackServerCertificateSecurity no--IgnoreCertificateCNInvalid#
=========================================================================対応OS : Linux / Windows / Mac書式 : IgnoreCertificateCNInvalid <flag-available>-------------------------------------------------------------------------flag-available既定値 : no 値の範囲 : yes, no=========================================================================サーバ証明書の共通名(Common Name)の検査を無効にする設定を行います。yesを指定すると、サーバ証明書の検証を行う際に証明書の共通名が接続に指定したアドレス(もしくはホスト名)と一致するかどうかの確認を行いません。
--例:IgnoreCertificateCNInvalid yes--IgnoreCertificateDateInvalid#
=========================================================================対応OS : Linux / Windows / Mac書式 : IgnoreCertificateDateInvalid <flag-available>-------------------------------------------------------------------------flag-available既定値 : no値の範囲 : yes, no=========================================================================証明書の有効期間の検査を無効にする設定を行います。yesを指定すると、証明書の検証を行う際に証明書の有効期間(NotBefore及びNotAfter)の検査を行いません。
--例:IgnoreCertificateDateInvalid yes--IgnoreUnknownCA#
=========================================================================対応OS : Linux / Windows / Mac書式 : IgnoreUnknownCA <flag-available>-------------------------------------------------------------------------flag-available既定値 : no値の範囲 : yes, no=========================================================================CA証明書の検査を無効にする設定を行います。yesを指定すると、サーバ証明書の中間証明書およびルート証明書に関する検証を行いません。
--例:IgnoreUnknownCA yes--IgnoreRevocation#
=========================================================================対応OS : Linux / Windows / Mac書式 : IgnoreRevocation <flag-available>-------------------------------------------------------------------------flag-available既定値 : no値の範囲 : yes, no=========================================================================証明書失効検査(CRL検査)を無効にする設定を行います。yesを指定すると、証明書の失効状態の確認を行いません。
--例:IgnoreRevocation yes--WSSIgnoreCertificateCNInvalid#
=========================================================================対応OS : Linux / Windows / Mac書式 : WSSIgnoreCertificateCNInvalid <flag-available>-------------------------------------------------------------------------flag-available既定値 : no 値の範囲 : yes, no=========================================================================WebSocket通信時(SSL/TLS)にサーバ証明書の共通名(Common Name)の検査を無効にする設定を行います。yesを指定すると、サーバ証明書の検証を行う際に証明書の共通名が接続に指定したアドレス(もしくはホスト名)と一致するかどうかの確認を行いません。
--例:WSSIgnoreCertificateCNInvalid yes--WSSIgnoreCertificateDateInvalid#
=========================================================================対応OS : Linux / Windows / Mac書式 : WSSIgnoreCertificateDateInvalid <flag-available>-------------------------------------------------------------------------flag-available既定値 : no値の範囲 : yes, no=========================================================================WebSocket通信時(SSL/TLS)に証明書の有効期間の検査を無効にする設定を行います。yesを指定すると、証明書の検証を行う際に証明書の有効期間(NotBefore及びNotAfter)の検査を行いません。
--例:WSSIgnoreCertificateDateInvalid yes--WSSIgnoreUnknownCA#
=========================================================================対応OS : Linux / Windows / Mac書式 : WSSIgnoreUnknownCA <flag-available>-------------------------------------------------------------------------flag-available既定値 : no値の範囲 : yes, no=========================================================================WebSocket通信時(SSL/TLS)にCA証明書の検査を無効にする設定を行います。yesを指定すると、サーバ証明書の中間証明書およびルート証明書に関する検証を行いません。
--例:WSSIgnoreUnknownCA yes--CACertificateFile#
=========================================================================対応OS : Linux / Windows / Mac書式 : CACertificateFile <file-path>-------------------------------------------------------------------------file-path既定値 : /etc/hcp/cacert.pem (Linux) C:/ProgramData/Clealink/HCP Tools/cacert.pem (Windows) /usr/local/etc/hcp/cacert.pem (Mac)値の範囲 : ファイルシステムのパス文字列=========================================================================サーバ証明書の検証に使用するCA証明書(中間証明書含む)が保管されているファイルのパスを指定します。
--例:CACertificateFile /etc/hcp/cacert.pem--PEM形式の証明書をサポートします。
CACertificatePath (予約)#
=========================================================================対応OS : Linux / Windows / Mac書式 : CACertificatePath <dir-path>-------------------------------------------------------------------------dir-path既定値 : yes /etc/ssl (Linux) C:/ProgramData/Clealink/HCP Tools/ssl (Windows) /usr/local/etc/ssl (Mac)値の範囲 : ファイルシステムのパス文字列=========================================================================サーバ証明書の検証に使用するCA証明書(中間証明書含む)が保管されているディレクトリのパスを指定します。
--例:CACertificatePath /etc/ssl--PEM形式の証明書をサポートします。
CARevocationFile#
=========================================================================対応OS : Linux / Windows / Mac書式 : CARevocationFile <file-path>-------------------------------------------------------------------------file-path既定値 : yes /etc/hcp/crl.pem (Linux) C:/ProgramData/Clealink/HCP Tools/crl.pem (Windows) /usr/local/etc/hcp/crl.pem (Mac)値の範囲 : ファイルシステムのパス文字列=========================================================================サーバ証明書の検証に使用する失効リスト(CRL)が保管されているファイルを指定します。
--例:CARevocationFile /etc/hcp/crl.pem--PEM形式の失効リスト(CRL)をサポートします。
CARevocationPath (予約)#
=========================================================================対応OS : Linux / Windows / Mac書式 : CARevocationPath <dir-path>-------------------------------------------------------------------------dir-path既定値 : yes /etc/ssl (Linux) C:/ProgramData/Clealink/HCP Tools/ssl (Windows) /usr/local/etc/ssl (Mac)値の範囲 : ファイルシステムのパス文字列=========================================================================サーバ証明書の検証に使用する失効リスト(CRL)が保管されているディレクトリを指定します。
--例:CARevocationPath /etc/ssl--PEM形式の失効リスト(CRL)をサポートします。
WSSCACertificateFile#
=========================================================================対応OS : Linux / Windows / Mac書式 : WSSCACertificateFile <file-path>-------------------------------------------------------------------------file-path既定値 : なし値の範囲 : ファイルシステムのパス文字列=========================================================================WebSocket通信時(SSL/TLS)にサーバ証明書の検証に使用するCA証明書(中間証明書含む)が保管されているファイルのパスを指定します。省略された場合は、WebSocket通信ライブラリが既定で検出するCA証明書が使用されます。
--例:WSSCACertificateFile /etc/hcp/cacert.pem--OpenSSLツールで出力できるPEM形式の証明書をサポートします。
OCSPRevocationEnabled#
=========================================================================対応OS : Linux / Windows / Mac書式 : OCSPRevocationEnabled <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================サーバ証明書の検証に使用するOCSP(オンライン証明書失効検査プロトコル)を設定します。yesを指定すると有効にします。
--例:OCSPRevocationEnabled no--StrictHostKeyChecking#
=========================================================================対応OS : Linux / Windows / Mac書式 : StrictHostKeyChecking <switch>-------------------------------------------------------------------------switch既定値 : ask値の範囲 : ask, yes, no=========================================================================サーバ認証時に適用する、ホスト鍵の受け入れポリシーを指定します。
askを指定すると、未知の鍵を受信した場合に受け入れるかどうか確認を行います。
yesを指定すると、受信した鍵が未知の場合は処理を中断します。
noを指定すると、受信した鍵が未知の場合に確認を行わずに受け入れて処理を継続します。
--例:StrictHostKeyChecking no--各種監視機能・タイムアウト制御#
TransportTimeout#
hcpd設定項目参照
性能評価機能#
DeepDiskBenchmarkFileSize#
=========================================================================対応OS : Linux書式 : DeepDiskBenchmarkFileSize <file-size>-------------------------------------------------------------------------file-size既定値 : 16GB 値の範囲 : 符号あり倍長整数=========================================================================run-host-benchmarkオプションで実行するディスクの詳細測定において使用するファイルサイズを指定します。
--例:DeepDiskBenchmarkFileSize 32GB--DeepDiskBenchmarkFreeSpaceRequired#
=========================================================================対応OS : Linux書式 : DeepDiskBenchmarkFreeSpaceRequired <free-space-size>-------------------------------------------------------------------------free-space-size既定値 : 32GB 値の範囲 : 符号なし倍長整数=========================================================================run-host-benchmarkオプションで実行するディスクの詳細測定において必要とするディスクの空き領域のサイズを指定します。
--例:DeepDiskBenchmarkFreeSpaceRequired 64GB--DeepDiskBenchmarkBlockSizes#
=========================================================================対応OS : Linux書式 : DeepDiskBenchmarkBlockSizes <block-size-set-desc>-------------------------------------------------------------------------block-size-set-desc既定値 : 16KB 32KB 64KB 128KB 256KB 512KB 1MB 2MB値の範囲 : スペース区切りのブロックサイズ指定の組合=========================================================================run-host-benchmarkオプションで実行するディスクの詳細測定において使用するブロックサイズのセット(組)を指定します。
--例:DeepDiskBenchmarkBlockSizes 64KB 256KB 512KB 1MB--ログ管理機能#
DiagnosticLog#
=========================================================================対応OS : Linux / Windows / Mac書式 : DiagnosticLog <log-level>[ <flag-available>][ <log-rotation-conf>][ <log-path>]-------------------------------------------------------------------------log-level既定値 : INFO値の範囲 : EMERG, ALERT, CRIT, ERR, WARNING, INFO, DEBUG-------------------------------------------------------------------------flag-available既定値 : no値の範囲 : yes, no-------------------------------------------------------------------------log-rotation-conf書式 : ( FileSize <file-size> <backups> | DatePattern <date-pattern> )-------------------------------------------------------------------------file-size既定値 : なし値の範囲 : 符号あり倍長整数-------------------------------------------------------------------------backups既定値 : なし値の範囲 : 符号なし整数-------------------------------------------------------------------------date-pattern既定値 : なし値の範囲 : yyyy-MM, yyyy-MM-dd, yyyy-MM-dd-HH, yyyy-MM-dd-HH-mm-------------------------------------------------------------------------log-path既定値 : なし値の範囲 : ファイルシステムのパス文字列=========================================================================アプリケーションの診断ログ設定を行います。診断ログにはエラーの詳細など調査用の情報を含む内容が記録されます。
log-levelは、ログのレベルを指定します。
flag-availableにyesを指定するとログを出力します。
log-rotation-confは、ログのローテーションを指定します。SystemLogで設定するローテーションと同様の動作を行います。但し、定期的なローテーションは行いません。
log-pathは、ログのパスを指定します。コマンドラインパラメータの-lとともに設定した場合は、コマンドラインパラメータの指定が適用されます。
--例1:DiagnosticLog WARNING FileSize 10MB 10例2:DiagnosticLog WARNING DatePattern yyyy-MM-dd例3:DiagnosticLog WARNING // DiagnosticLogLevelに同じ--旧名ApplicationLogも使用可能です。
DiagnosticLogLevel#
=========================================================================対応OS : Linux / Windows / Mac書式 : DiagnosticLogLevel <log-level>-------------------------------------------------------------------------log-level既定値 : INFO値の範囲 : EMERG, ALERT, CRIT, ERR, WARNING, INFO, DEBUG=========================================================================アプリケーションの診断ログレベルを設定します。
DiagnosticLogと共に記述した場合は、ログレベルの値のみ上書きされます。
--例:DiagnosticLogLevel WARNING--旧名ApplicationLogLevelも使用可能です。
ApplicationStatLog#
=========================================================================対応OS : Linux / Windows / Mac書式 : ApplicationStatLog <flag-available>[ <log-rotation-conf>]-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no-------------------------------------------------------------------------log-rotation-conf書式 : ( FileSize <file-size> <backups> | DatePattern <date-pattern> )-------------------------------------------------------------------------file-size既定値 : なし値の範囲 : 符号あり倍長整数-------------------------------------------------------------------------backups既定値 : なし値の範囲 : 符号なし整数-------------------------------------------------------------------------date-pattern既定値 : なし値の範囲 : yyyy-MM, yyyy-MM-dd, yyyy-MM-dd-HH, yyyy-MM-dd-HH-mm=========================================================================アプリケーション統計を設定します。
flag-availableにyesを指定するとアプリケーションの統計情報を出力します。
log-rotation-confは、出力のローテーションを指定します。hcpdの設定項目ApplicationStatLogと同様の動作を行います。
--例1:ApplicationStatLog no例2:ApplicationStatLog yes FileSize 10MB 10例3:ApplicationStatLog yes DatePattern yyyy-MM-dd--TransportStatLog#
=========================================================================対応OS : Linux / Windows / Mac書式 : TransportStatLog <flag-available>[ <log-rotation-conf>]-------------------------------------------------------------------------flag-available既定値 : no値の範囲 : yes, no-------------------------------------------------------------------------log-rotation-conf書式 : ( FileSize <file-size> <backups> | DatePattern <date-pattern> )-------------------------------------------------------------------------file-size既定値 : なし値の範囲 : 符号あり倍長整数-------------------------------------------------------------------------backups既定値 : なし値の範囲 : 符号なし整数-------------------------------------------------------------------------date-pattern既定値 : なし値の範囲 : yyyy-MM, yyyy-MM-dd, yyyy-MM-dd-HH, yyyy-MM-dd-HH-mm=========================================================================トランスポート統計を設定します。
flag-availableにyesを指定するとトランスポートの統計情報を出力します。
log-rotation-confは、出力のローテーションを指定します。hcpdの設定項目TransportStatLogと同様の動作を行います。
FileSizeとDatePatternでそれぞれ統計ログの基準パスとして指定されたパスをもとに次の様にローテーションが行われます。
// FileSizeの場合<指定されたパス>.transport.tcp<指定されたパス>.transport.tcp.1<指定されたパス>.transport.tcp.2...<指定されたパス>.transport.tcp.n// DatePatternの場合<指定されたパス>.transport.tcp<指定されたパス>.transport.tcp.2019-12-10<指定されたパス>.transport.tcp.2019-12-09...ローテーションされたファイルに統計情報のヘッダは含まれません。
--例1:TransportStatLog yes例2:TransportStatLog yes FileSize 10MB 10例3:TransportStatLog yes DatePattern yyyy-MM-dd--ApplicationStatLogSecurityEx#
=========================================================================対応OS : Linux / Windows / Mac書式 : ApplicationStatLogSecurityEx <flag-available>-------------------------------------------------------------------------flag-available既定値 : yes値の範囲 : yes, no=========================================================================アプリケーション統計ログでセキュリティに関する詳細情報を出力するか設定します。
--例:ApplicationStatLogSecurityEx no--システム動作環境設定・CPUスレッド制限#
MaxConcurrentThread#
=========================================================================対応OS : Linux書式 : MaxConcurrentThread <max-threads>-------------------------------------------------------------------------max-threads既定値 : 0値の範囲 : 符号付整数=========================================================================スレッド数制限を設定します。