A.2. 認証局
A.2.1. 認証局の概要
CA は、証明書を生成および管理するツールセットと、生成されたすべての証明書が含まれるデータベースで設定されます。システムを設定する際には、要件に十分に安全である適切な CA を選択することが重要です。
使用できる CA には、以下の 2 つのタイプがあります。
A.2.2. 商用認証局
署名証明書
利用可能な商用 CA が複数存在します。商用 CA を使用して証明書に署名するメカニズムは、選択した CA によって異なります。
商用 CA の利点
商用 CA の利点は、多くの場合、多数のユーザーが信頼していることです。お使いのアプリケーションが組織外のシステムで使用できるように設計されている場合は、商用 CA を使用して証明書に署名します。アプリケーションが内部ネットワーク内で使用されている場合には、プライベート CA が適切である可能性があります。
CA を選択するための基準
商用 CA を選択する前に、以下の基準を考慮してください。
- 商用 CA の証明書署名ポリシーとは
- アプリケーションは内部ネットワークでのみ利用できるように設計されているか ?
- プライベート CA の設定にかかる時間は、商用 CA にサブスクライブするコストと比較してどうでしょうか。
A.2.3. プライベート認証局
CA ソフトウェアパッケージの選択
システムの証明書の署名を行う責任がある場合は、プライベート CA を設定します。プライベート CA を設定するには、証明書を作成および署名するためのユーティリティーを提供するソフトウェアパッケージへのアクセスが必要です。このタイプのパッケージが複数利用可能です。
OpenSSL ソフトウェアパッケージ
プライベート CA の設定を可能にするソフトウェアパッケージの 1 つが OpenSSL http://www.openssl.org です。OpenSSL パッケージには、証明書を生成および署名するための基本的なコマンドラインユーティリティーが含まれています。OpenSSL コマンドラインユーティリティーの完全なドキュメントは、http://www.openssl.org/docs から入手できます。
OpenSSL を使用したプライベート CA の設定
プライベート CA を設定するには、「独自の証明書の作成」 の手順を参照してください。
プライベート認証局のホストの選択
プライベート CA を設定する上では、ホストの選択が重要な手順になります。CA ホストに関連付けられるセキュリティーのレベルは、CA によって署名された証明書に関連する信頼レベルを決定します。
Red Hat Fuse アプリケーションの開発およびテストで使用する CA を設定する場合は、アプリケーション開発者がアクセスできるホストを使用します。ただし、CA 証明書と秘密鍵を作成する場合は、セキュリティーが重要なアプリケーションを実行するホストで CA 秘密鍵を利用できるようにしないでください。
セキュリティーの予防措置
デプロイするアプリケーションの証明書に署名するために CA を設定する場合は、CA ホストをできるだけセキュアにします。たとえば、CA を保護するには、以下の点に注意してください。
- CA をネットワークに接続しないでください。
- CA へのアクセスを、信頼できるユーザーの制限されたセットに制限します。
- RF-shield を使用して、ラジオボタン頻度から CA を保護します。