Red Hat Summit第3章 SSL インフラストラクチャ
Red Hat Network をご利用頂く方にとって安全性に関わる問題がもっとも重要となります。 Red Hat Network の強みの1つはその1つ1つの要求を SSL (Secure Sockets Layer) 経由で処理できるという点です。 このようなレベルのセキュリティを維持するため、 自社インフラストラクチャ内に Red Hat Network をインストールしている場合カスタムの SSL キーと証明書を生成する必要があります。
SSL キーと証明書の作成及び配備はかなり複雑になります。 RHN Proxy Server と RHN Satellite Server ではいずれもインストール時に独自のプライベートの認証局 (CA) に応じた独自の SSL キーと証明書を構成することができます。 また、 別のコマンドラインユーティリティである RHN SSL Maintenance Tool がこの目的で存在します。 どちらにしても、 これらのキーと証明書を管理しているインフラストラクチャ内の全システムに配備する必要があります。 多くの場合、 SSL キーと証明書の導入は自動化されています。 本章ではこれらの全作業を行う上で効率的な方法について説明していきます。
本章では SSL については詳しくは説明しません。 RHN SSL Maintenance Tool はパブリックキーのインフラストラクチャ (PKI) のセットアップおよび保守に関連する複雑な部分を見せないよう設計されています。 詳細については書店で購入できる参考書をご覧ください。
3.1. SSL の概要
リンクのコピーリンクがクリップボードにコピーされました!
SSL (Secure Sockets Layer) はクライアント/サーバーアプリケーションの情報のやりとりを安全に行わせることができるプロトコルです。 SSL はパブリックキーとプライベートキーの組み合わせシステムを使用してクライアントとサーバー間で行われる通信を暗号化します。 パブリック証明書はアクセス可能な状態にして置き、 プライベートキーは安全ば場所に保管しておく必要があります。 プライベートキーとその片割れとなるパブリック証明書との数学的な関係 (デジタル署名) によってシステムが動作します。 この関係を介して信頼のできる接続が確立されます。
注記
本ガイドでは SSL プライベートキーとパブリック証明書について説明していきます。 技術的にはいずれもキー (パブリックキーとプライベートキー) とみなすことができます。 しかし、 SSL について述べる場合 SSL キーの組み合わせのパブリックの方を SSL パブリック証明書と呼ぶのが慣習となっています。
企業や組織の SSL インフラストラクチャは一般的にこうした SSL キーと証明書によって構成されています。
- 認証局 (CA) の SSL プライベートキーとパブリック証明書 — 一般的には 1 企業または組織に対して 1 組しか生成されません。 パブリック証明書はそのプライベートキーによってデジタル署名されます。 パブリック証明書は全システムに配信されます。
- Web サーバーの SSL プライベートキーとパブリック証明書 — 1 アプリケーションサーバーに対して 1 組になります。 パブリック証明書はそのプライベートキーと CA の SSL プライベートキーの両方によってデジタル署名されます。 Web サーバーのキーセットとよく呼ばれるものです。 生成される仲介的な SSL 証明書のリクエストがあるためです。 使用用途の詳細はここでは重要ではなく、 これら 3 つをすべて RHN サーバーに導入する点が重要となります。
例を示します。 RHN Satellite Server が 1 台と RHN Proxy Server が 5 台あるとします。 CA SSL キーペアを 1 つ、 Web サーバーの SSL キーセットを 6 つ生成します。 CA SSL パブリック証明書は全システムに配信し、 全クライアントによって該当の上部サーバーへの接続確立に使用されます。 各サーバーにはサーバー独自の SSL キーセットがそれぞれあります。 このキーセットはそのサーバーのホスト名に結び付けられその SSL プライベートキーと CA SSL プライベートキーの組み合わせを使って生成されます。 これにより Web サーバーの SSL パブリック証明書とその CA SSL キーペア、 サーバーのプライベートキー間で確認できる関連性をデジタルに確立します。 Web サーバーのキーセットは他の web サーバーとは共有できません。
重要
このシステムの最も重要な部分は CA SSL キーペアになります。 このプライベートキーとパブリック証明書から、 管理者は Web サーバーの SSL キーセットを再度生成することができるようになります。 この CA SSL キーペアは安全な場所に保管して置かなければなりません。 サーバー群で構成する RHN のインフラストラクチャの全体のセットアップを行い稼働を開始したら、 このツールもしくはインストーラで生成された SSL のビルドディレクトリを別のメディアにアーカイブし、 CA パスワードのメモをとったらメディアとパスワードは安全な場所に保管するようにしてください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}