Red Hat Summit第3章 SSL インフラストラクチャ
Red Hat Network をご利用頂く方にとって安全性はもっとも重要な関心事となります。 Red Hat Network の長所の1つは各要求をすべて SSL (Secure Sockets Layer) 経由で処理できる点にあります。 このレベルでの安全性を維持するため、 独自のインフラストラクチャ内に Red Hat Network をインストールしている方は、 カスタムの SSL キーと証明書を生成して頂く必要があります。
SSL キーと証明書を手作業で作成し配備する作業はかなり複雑になる可能性があります。 RHN Proxy Server と RHN Satellite Server ではいずれも、 インストール時に独自のプライベート認証局 (CA) に応じた SSL キーと証明書を作成することができます。 また、 これらの作業を行う目的で RHN SSL Maintenance Tool という別のコマンドラインユーティリティもあります。 いずれにしても、 管理しているインフラストラクチャ内の全システムにこれらのキーと証明書を配備しなければなりません。 多くの場合、 こうした SSL キーと証明書の導入は自動化されています。 本章ではこうした作業を行う上で効率的な方法について説明していきます。
本章では SSL については詳しく説明しません。 RHN SSL Maintenance Tool は、 このパブリックキーのインフラストラクチャ (PKI) のセットアップや保守に関連する複雑な部分を見せないよう設計されています。 詳細についてはお近くの書店で購入できる参考書籍などをご覧ください。
3.1. SSL の概要
リンクのコピーリンクがクリップボードにコピーされました!
SSL (Secure Sockets Layer) は、 クライアントとサーバーのアプリケーションが安全に情報を渡すことができるようにするプロトコルです。 SSL ではパブリックキーとプライベートキーの組み合わせ方式を使用してクライアントとサーバー間で行われる通信を暗号化します。 パブリック証明書はアクセス可能な場所に配置しますが、 プライベートキーは安全な場所に保管しておく必要があります。 プライベートキーとその片割れとなるパブリック証明書との数学的な関係 (デジタル署名) によってシステムが動作します。 この関係を介して信頼のできる接続が確立されます。
注記
本書に出現する SSL プライベートキーとパブリック証明書は、 プライベートキーとパブリックキーというようにいずれもキーと表現されていることがあります。 しかし、 SSL についての説明では、 慣例的に SSL キーペア (またはキーセット) の片方となるパブリックキーを SSL パブリック証明書と表現しています。
企業や組織の SSL インフラストラクチャは一般的にこうした SSL キーと証明書によって構成されています。
- 認証局 (CA) の SSL プライベートキーとパブリック証明書 — 一般的には 1 企業または組織に対して 1 組しか生成されません。 パブリック証明書はそのプライベートキーによってデジタル署名されます。 パブリック証明書は全システムに配信されます。
- Web サーバーの SSL プライベートキーとパブリック証明書 — 1 アプリケーションサーバーに対して 1 組になります。 パブリック証明書はそのプライベートキーと認証局 (CA) の SSL プライベートキーの両方によってデジタル署名されます。 中間的な SSL 証明書の要求が発生するため、 Web サーバーのキーセットとよく呼ばれます。 使用用途についてはここでは詳しく説明しません。 Web サーバーの SSL プライベートキー、 パブリック証明書、 そして認証局 (CA) の SSL プライベートキーの 3 つをすべて RHN サーバーに配備します。
事例をあげて概念をわかりやすく視覚化してみます。 たとえば、 RHN Satellite Server 1 台、 RHN Proxy Server 5 台を備えた企業では、 認証局の SSL キーペアを 1 組、 Web サーバーの SSL キーセットを 6 セット生成する必要があります。 認証局の SSL パブリック証明書は全システムに配信され、 すべてのクライアントによって該当の各上位サーバーに接続を確立するため使用されます。 各サーバーにはサーバー独自の SSL キーセットがあります。 このキーセットはサーバーのホスト名に明確に結び付けられ、 そのサーバーの SSL プライベートキーと認証局の SSL のプライベートキーの組み合わせを使って生成されます。 これにより Web サーバーの SSL パブリック証明書とその認証局の SSL キーペア、 サーバーのプライベートキー間でデジタルに検証可能な関連付けが確立されます。 Web サーバーのキーセットは他の Web サーバーとは共有できません。
重要
このシステムの最も重要な部分は認証局の SSL キーペアになります。 このプライベートキーとパブリック証明書から、 管理者は Web サーバーの SSL キーセットを再度生成することができます。 この認証局の SSL キーペアは必ず安全な場所に保管してください。 複数のサーバーで構成される RHN のインフラストラクチャ全体の設定が完了し稼働を開始したら、 このツールもしくはインストーラで生成された SSL のビルドディレクトリを別のメディアにアーカイブし、 認証局のパスワードのメモをとり、 このメディアとパスワードを安全な場所に保管されることを特にお勧めします。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}