Red Hat Summit第3章 SSL インフラストラクチャー
Red Hat Satellite を使用するお客様にとって安全性は最重要の関心事となります。Red Hat Satellite の長所の 1 つは各要求をすべて SSL (Secure Sockets Layer) プロトコルを使用して処理できる点にあります。このレベルでの安全性を維持するために、独自のインフラストラクチャー内に Red Hat Satellite をインストールしている場合は、カスタムの SSL キーと証明書を生成する必要があります。
SSL キーと証明書を手作業で作成し配備する作業はかなり複雑になる可能性があります。Red Hat Proxy Server と Red Hat Satellite Server ではいずれも、インストール時に独自のプライベート認証機関 (CA) に基づく SSL キーと証明書を作成することができます。また、 これらの作業のための Red Hat Satellite SSL Maintenance Tool という別のコマンドラインユーティリティーもあります。いずれにしても、管理しているインフラストラクチャー内の全システムにこれらのキーと証明書を配備する必要があります。多くの場合、こうした SSL キーと証明書の導入は自動化されています。本章ではこうした作業を行う上で効率的な方法について説明していきます。
注記
本章では SSL については詳しく説明していません。Red Hat Satellite SSL Maintenance Tool は、 このパブリックキーのインフラストラクチャー (PKI) のセットアップや保守に関連する複雑な部分を表示しないように設計されています。詳細については Red Hat Enterprise Linux 『導入ガイド』 の関連セクションを参照してください。
3.1. SSL の概要
SSL は、クライアントとサーバーのアプリケーションが安全に情報を受け渡しできるようにするプロトコルです。SSL ではパブリックキーとプライベートキーの組み合わせ方式を使用してクライアントとサーバー間で行われる通信を暗号化します。パブリック証明書はアクセス可能な場所に配置しますが、プライベートキーは安全な場所に保管しておく必要があります。プライベートキーとそのペアとなるパブリック証明書との厳密な関係 (デジタル署名) によってこのシステムが動作します。この関係により、信頼できる接続が確立されます。
注記
本書内の SSL プライベートキーとパブリック証明書は、プライベートキーとパブリックキーというようにいずれもキーと表現されていることがあります。しかし、SSL についての説明では、 慣例的に SSL キーペア (またはキーセット) のペアとなるパブリックキーを SSL パブリック証明書と呼んでいます。
組織の SSL インフラストラクチャは一般的に以下に挙げる SSL キーと証明書で構成されています。
- 認証機関 (CA) の SSL プライベートキーとパブリック証明書: 通常、1 組織に対して 1 組しか生成されません。パブリック証明書はそのプライベートキーによってデジタル署名されます。パブリック証明書はすべてのシステムに配布されます。
- Web サーバーの SSL プライベートキーとパブリック証明書: アプリケーションサーバー 1 台に対して 1 組になります。パブリック証明書はそのプライベートキーと認証機関 (CA) の SSL プライベートキーの両方によってデジタル署名されます。中間的な SSL 証明書の要求が発生するため、Web サーバーのキー セット とよく呼ばれます。この使用目的の詳細はここでは重要ではありせん。Web サーバーの SSL プライベートキー、パブリック証明書、そして認証機関 (CA) の SSL プライベートキーの 3 つすべてを Red Hat Satellite サーバーに配備します。
以下のシナリオで概念をわかりやすく視覚化してみます。例えば、Red Hat Satellite Server 1 台、 Red Hat Proxy Server 5 台を備えた企業では、 認証機関の SSL キーペア 1 組と Web サーバーの SSL キー 6 セットを生成する必要があります。認証機関の SSL パブリック証明書は全システムに配信され、すべてのクライアントによって各アップストリームサーバーへの接続を確立するため使用されます。各サーバーにはサーバー独自の SSL キーセットがあり、このキーセットはサーバーのホスト名に明確に関連付けられ、そのサーバーの SSL プライベートキーと認証局の SSL プライベートキーの組み合わせを使って生成されます。これにより Web サーバーの SSL パブリック証明書と認証機関の SSL キーペア、サーバーのプライベートキーとの間でデジタル的に検証可能な関連付けが確立されます。Web サーバーのキーセットは他の Web サーバーとは共有できません。
重要
このシステムの最も重要な部分は認証機関の SSL キーペアになります。このプライベートキーとパブリック証明書から、管理者はどの Web サーバーの SSL キーセットも再生成することができます。この認証機関の SSL キーペアは必ず安全な場所に保管してください。複数のサーバーで構成される Red Hat Satellite のインフラストラクチャー全体の設定が完了し稼働を開始したら、このツールもしくはインストーラで生成された SSL のビルドディレクトリーを別のメディアにアーカイブし、認証機関のパスワードを書き留め、このメディアとパスワードを安全な場所に保管することを強く推奨します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}