暗号鍵サーバーに使用される証明書
鍵サーバーを使用して暗号化を有効にする場合、システムと暗号化鍵サーバー間のセキュア通信を確保するために、2 つのタイプの証明書が必要です。
一般に、システムを認証するために鍵サーバーが使用し、システムが鍵サーバーに対して認証する基本方式は証明書です。これらの証明書の交換により、鍵サーバーに保管されている暗号鍵へのアクセスが許可されることが検証されます。システムの認証により、鍵サーバーは確実に、信頼できない利用者に鍵へのアクセス権限を与えなくなります。鍵サーバーの認証により、システムは確実に、信頼できない利用者が保管する機密鍵を要求しなくなります。システムのセキュリティーは、2 つの要因に依存します。第一は、各デバイスが相手を信頼できるように、鍵サーバーとシステムの両方の公開証明書を確実に交換する必要があります。第二は、鍵サーバーとシステムの両方が、証明書に関連付けられている秘密鍵を保護する必要があります。
システムを検証するために鍵サーバーが使用する鍵サーバー証明書には、認証局 (CA) または自己署名証明書がシステムに転送されることが必要です。鍵サーバーは、認証局 (CA) と呼ばれる信頼のおける第三者機関からの証明書を使用するか、鍵サーバーで作成された自己署名証明書を使用するか、または両方のタイプの証明書を使用できます。複数の鍵サーバーが構成され、同じ CA 証明書を使用する場合、すべての鍵サーバーに対応する単一の CA 署名証明書をアップロードしてください。鍵サーバーが自己署名証明書を使用する場合、それらの証明書はシステムに別途アップロードされなければなりません。自己署名証明書は、鍵サーバー用にシステムにインストールされる CA 署名証明書より優先されます。さらに、システム暗号化証明書が、構成された各鍵サーバーにインストールされなければなりません。鍵サーバー管理者は、証明書を受け入れて、鍵サーバーへのアクセスを許可します。また、システム暗号化証明書は、自己署名証明書にするか、または認証局からのものにすることもできます。セキュア通信用にシステム暗号化証明書を構成するには、を選択します。