サポートコンソール開発者トライアルの開始お問い合わせ

第3章 SSL インフラストラクチャー

Red Hat Network のお客様にとって、セキュリティー上の懸念が最重要事項です。Red Hat Network の強みの 1 つは、すべての要求を Secure Sockets Layer (SSL) を介して処理できることです。このレベルのセキュリティーを維持するには、インフラストラクチャー内に Red Hat Network をインストールするお客様は、カスタム SSL キーと証明書を生成する必要があります。
SSL キーと証明書の手動作成とデプロイは、非常に複雑になる可能性があります。RHN Proxy Server と RHN Satellite Server では、共にインストール中に独自のプライベート認証局 (CA) に基づいて独自の SSL キーと証明書を作成できます。さらに、この目的のために、別のコマンドラインユーティリティーである Red Hat Network SSLMaintenanceTool が存在します。いずれにせよ、これらのキーと証明書は、管理対象インフラストラクチャー内のすべてのシステムにデプロイする必要があります。多くの場合、これらの SSL キーと証明書のデプロイは自動化されています。本章では、これらすべてのタスクを実行するための効率的な方法について説明します。
本章では SSL について詳しく説明しないことに注意してください。Red Hat Network SSL Maintenance Tool は、この公開鍵インフラストラクチャー (PKI) のセットアップとメンテナンスに伴う複雑な操作の多くを省くように設計されました。利用できる優れた参考資料が多数あるので、詳細については、これらのいくつかを参照してください。

3.1. SSL の概要

SSL (Secure Sockets Layer) は、クライアント/サーバーアプリケーションが情報を安全に渡すことのできるプロトコルです。SSL は、公開鍵と秘密鍵のペアによるシステムを使用して、クライアントとサーバー間で受け渡しされる通信を暗号化します。公開証明書はアクセス可能なままにしておくことができますが、秘密鍵は保護する必要があります。秘密鍵とそのペアとなる公開証明書の間の数学的な関係 (デジタル署名) により、このシステムが機能します。この関係を通じて、信頼の接続が確立されます。
注記
本ドキュメント全体を通して、SSL 秘密鍵と公開証明書について説明します。技術的には、両方をキー (公開鍵と秘密鍵) と呼ぶことができます。ただし、SSL について説明する場合、SSL キーペア (またはキーセット) のパブリック側を SSL 公開証明書と呼ぶのが慣例です。
組織の SSL インフラストラクチャーは、通常、以下の SSL キーと証明書で構成されます。
  • 認証局 (CA) の SSL 秘密鍵と公開証明書: 通常は、1 組織につき 1 セットのみが生成されます。公開証明書は、その秘密鍵によりデジタル署名されます。公開証明書はすべてのシステムに配布されます。
  • Web サーバーの SSL 秘密鍵と公開証明書: 1 アプリケーションサーバーにつき 1 セット。公開証明書は、その秘密鍵と CA の SSL 秘密鍵の両方によりデジタル署名されます。多くの場合、Web サーバーのキー セット と呼ばれます。これは、生成される中間 SSL 証明書要求があるためです。これが何に使用されるかの詳細は、ここでは重要ではありません。3 つすべてが RHN Server にデプロイされます。
シナリオは次のとおりです。1 つの RHN Satellite Server と 5 つの RHN Proxy Server がある場合に、1 つの CA SSL キーペアと 6 つの Web サーバー SSL キーセットを生成します。CA の SSL 公開証明書はすべてのシステムに配布され、すべてのクライアントがそれぞれのアップストリームサーバーへの接続を確立するのに使用されます。それぞれのサーバーには、厳密にそのサーバーのホスト名に関連付けられ、専用の SSL 秘密鍵と CA の SSL 秘密鍵を組み合わせて使用して生成された独自の SSL キーセットがあります。これにより、Web サーバーの SSL 公開証明書と CA の SSL キーペアおよびサーバーの秘密鍵との間にデジタル検証可能な関連が確立されます。Web サーバーのキーセットを他の Web サーバーと共有することはできません。
重要
このシステムの最も重要な部分は、CA の SSL キーペアです。管理者は、その秘密鍵と公開証明書から、任意の Web サーバーの SSL キーセットを再生成できます。この CA の SSL キーペアを保護する必要があります。サーバーの RHN インフラストラクチャー全体がセットアップされ動作状態になったら、このツールやインストーラーによって生成された SSL ビルドディレクトリーを別のメディアにアーカイブし、CA パスワードを書き留めて、メディアおよびパスワードを安全な場所に保管することを強くお勧めします。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.