第5章 TLS と PKI を使用して Red Hat OpenStack デプロイメントを保護する


Red Hat OpenStack Platform は、保護可能な機密データを処理する多くのネットワークとエンドポイントで構成されています。Transport Layer Security (TLS) を使用する場合は、対称キー暗号化でトラフィックを保護します。キーと暗号は TLS ハンドシェイクでネゴシエートされます。これには、認証局 (CA) と呼ばれる仲介者の共有信頼によるサーバーの ID の検証が必要です。

Public Key Infrastructure (PKI) は、認証局を通じてエンティティーを検証するためのフレームワークです。

5.1. 公開鍵基盤 (PKI) のコンポーネント

PKI のコアコンポーネントを次の表に示します。

表5.1 主要な用語
用語定義

エンドエンティティー

デジタル証明書を使用して自身を検証するユーザー、プロセス、またはシステム。

認証局 (CA)

CA は、エンドエンティティーと、エンドエンティティーを検証する依拠当事者の両方によって信頼されるエンティティーです。

依拠当事者

依拠当事者は、エンドエンティティーの検証としてデジタル証明書を受け取り、デジタル証明書を検証する機能を備えています。

デジタル証明書

署名付き公開鍵証明書には、検証可能なエンティティーと公開鍵があり、CA によって発行されます。CA が証明書に署名すると、秘密鍵で暗号化された証明書からメッセージダイジェストが作成されます。CA に関連付けられた公開鍵を使用して、署名を検証できます。X.509 標準は、証明書の定義に使用されます。

Registration Authority (RA)

RA は、CA によって証明書が発行される前に、エンドエンティティーの認証などの管理機能を実行できるオプションの専用機関です。RA がない場合、CA はエンドエンティティーを認証します。

証明書失効リスト (CRL)

CRL は、失効した証明書のシリアル番号のリストです。シリアル番号が取り消された証明書を提示するエンドエンティティーは、PKI モデルでは信頼されません。

CRL 発行者

CA が証明書失効リストの公開を委譲するオプションのシステム。

証明書リポジトリー

エンドエンティティー証明書と証明書失効リストが格納され、クエリーが実行される場所。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.