暗号鍵サーバーに使用される証明書
鍵サーバーを使用して暗号化を有効にする場合、システムと暗号化鍵サーバー間のセキュア通信を確保するために、2 つのタイプの証明書が必要です。
一般に、証明書は、鍵サーバーではシステムの認証に使用され、システムでは鍵サーバーに対する認証に使用される基本的な方法です。これらの証明書を交換することで、鍵サーバーに保管されている暗号鍵へのアクセスが許可されるかどうかが確認されます。鍵サーバーは、システムの認証を行うことで、信頼されない利用者に鍵サーバーへのアクセスを付与しません。システムは、鍵サーバーの認証を行うことで、信頼されない利用者によって機密の鍵を保管するよう要求することがありません。システムのセキュリティーは、2 つの要因に依存します。第 1 に、各デバイスが相互を信頼できるように、鍵サーバーとシステムのパブリック証明書がセキュアに交換される必要があります。第 2 に、鍵サーバーとシステムは、証明書に関連付けられた秘密鍵をセキュアに保つ必要があります。
システムを検証するために鍵サーバーが使用する鍵サーバー証明書には、認証局 (CA) または自己署名証明書がシステムに転送されることが必要です。鍵サーバーは、信頼のおける第三者機関からの証明書、自己署名証明書、あるいはそれらの証明書の組み合わせを使用することができます。IBM Security Key Lifecycle Manager サーバーで自動複製が構成されている場合、この証明書は、1 次鍵サーバーからすべての 2 次鍵サーバーにコピーされます。すべての IBM Security Key Lifecycle Manager インスタンスが、同じ鍵サーバー証明書を使用してセキュア接続経由で接続されます。IBM Security Key Lifecycle Manager で複製が使用されている場合、1 つの鍵サーバー証明書のみをインストールする必要があります。IBM Security Key Lifecycle Manager は、この単一の証明書を使用して、相互に鍵を複製します。 自己署名証明書は、鍵サーバー用にシステムにインストールされる CA 署名証明書より優先されます。さらに、システム暗号化証明書が、構成された各鍵サーバーにインストールされなければなりません。鍵サーバーの管理者は、その証明書を受け入れて鍵サーバーへのアクセスを認可します。 IBM Security Key Lifecycle Manager で自動複製が構成されている場合、システム証明書は、1 次鍵サーバーにコピーされ、その他の構成済み鍵サーバーに自動的に配布されます。システムの暗号化証明書には、自己署名証明書を使用することも、認証局から取得した証明書を使用することもできます。 セキュア通信用にシステム暗号化証明書を構成するには、を選択します。