暗号鍵サーバーに使用される証明書
鍵サーバーを使用して暗号化を有効にする場合、システムと暗号化鍵サーバー間のセキュア通信を確保するために、2 つのタイプの証明書が必要です。
証明書は、鍵サーバーではシステムの認証に使用され、システムでは鍵サーバーに対する認証に使用される基本的な方法です。これらの証明書を交換することで、鍵サーバーに保管されている暗号鍵へのアクセスが許可されるかどうかが確認されます。鍵サーバーは、システムの認証を行うことで、信頼されない利用者に鍵サーバーへのアクセスを付与しません。システムは、鍵サーバーの認証を行うことで、信頼されない利用者によって機密の鍵を保管するよう要求することがありません。システムのセキュリティーは 2 つの要因に依存します。 第 1 に、各デバイスが相互を信頼できるように、鍵サーバーとシステムのパブリック証明書がセキュアに交換される必要があります。第 2 に、鍵サーバーとシステムは、証明書に関連付けられた秘密鍵をセキュアに保つ必要があります。
鍵サーバーを検証するためにシステムで使用される鍵サーバー証明書は、システムに転送され、インストールされなければなりません。鍵サーバーをシステムに追加する際には、信頼のおける第三者機関によって署名された証明書、または自己署名証明書のいずれかを使用できます。複数の鍵サーバーを追加する場合は、これらの証明書を組み合わせて使用できます。自己署名証明書と CA 署名証明書を組み合わせてインストールする場合、システムにインストールされる自己署名鍵サーバー証明書は、システムにインストールされる CA 署名鍵サーバー証明書よりも優先されます。
すべての鍵サーバーが、同じ認証局によって署名される証明書を使用する場合、CA 証明書を鍵サーバーのエンドポイントにインストールする (例えば、mkkeyserver -sslcert …) のではなく、鍵サーバー・タイプの設定でインストールする (例えば、chkeyserverisklm -sslcert …) ことをお勧めします。鍵サーバー・タイプの設定の CA 証明書を使用するのは、鍵サーバーのエンドポイントにインストールされた証明書がない場合に鍵サーバーに接続するときのみです。鍵サーバーごとに個別の自己署名証明書を使用する場合、証明書は、各鍵サーバー・エンドポイントに対してインストールされます。信頼チェーンに含まれている鍵サーバー証明書を使用する場合は、鍵サーバーの証明書チェーンの使用を参照してください。
複数の鍵サーバーが同じシステムに含まれ、鍵と証明書を相互に複製するように構成されている場合、鍵サーバー証明書はすべての鍵サーバーにコピーされます。 システムは、同じサーバー証明書を持つすべての鍵サーバーに接続できます。さらに、各構成済み鍵サーバーにシステムの証明書をインストールすることも必要です。 鍵サーバーの管理者は、そのシステム証明書を受け入れて鍵サーバーへのアクセスを認可します。セキュア通信用にシステム証明書を構成するには、を選択します。
鍵サーバーの証明書チェーンの使用
システムが、署名付き証明書チェーンを使用する鍵サーバーで SSL を使用して認証するには、システムには複数の証明書のインストールが必要です。証明書チェーン内のすべての証明書 (サーバー証明書そのもの、つまり、リーフ証明書は除く) をインストールする必要があります。例えば、鍵サーバー X の証明書が認証局 Y によって署名され、認証局 Y の証明書がルート認証局 Z によって署名される場合、システムでは、鍵サーバー X と正常に通信するために証明書 X と証明書 Y がシステム上にインストールされる必要があります。この証明書をインストールするために、鍵サーバーの証明書を除く、証明書のフル・チェーンが含まれている単一の証明書ファイルを作成します。このファイル内の最初の証明書は CA 証明書です。これは、証明書チェーンのリーフ (鍵サーバー証明書) に署名するのに使用された証明書です。このファイル内の最後の証明書はルート CA 証明書です。 ファイルの最初の証明書とルート証明書との間に、中間 CA 証明書がすべて順に指定されます。複数の中間証明書がある場合、リーフからルートの順にこれらの証明書を組み込んでください。
結果として生じる証明書ファイルでは、ファイルの一番上に最初のリーフ証明書があり、その後に後続の中間 CA 証明書が 1 つずつ順に続く必要があります。最後に、ルート CA 証明書がファイルの一番下にあります。その結果作成されるファイルには、証明書ごとに PEM データのみが含まれ、コメントなどの他のものはファイルから削除されます。ファイル内の各証明書は改行で区切られ、各証明書はヘッダー「-----BEGIN CERTIFICATE-----」で始まり、「-----END CERTIFICATE-----」で終わります。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----