Menu Close

2.2.3. プライベート認証局

CA ソフトウェアパッケージの選択

システムの証明書の署名に対して責任を持つ場合は、プライベート CA を設定してください。プライベート CA を設定するには、証明書の作成および署名を行うユーティリティーを提供するソフトウェアパッケージへのアクセスが必要です。このタイプのパッケージはいくつか利用可能です。

OpenSSL ソフトウェアパッケージ

プライベート CA を設定できるソフトウェアパッケージの 1 つに、OpenSSL (http://www.openssl.org) があります。OpenSSL パッケージには、証明書を生成および署名する基本的なコマンドラインユーティリティーが含まれています。OpenSSL コマンドラインユーティリティーの完全なドキュメントは、http://www.openssl.org/docs から入手できます。

OpenSSL を使用したプライベート CA の設定

プライベート CA を設定するには、「独自の証明書の作成」 の手順を参照してください。

プライベート認証局のホストの選択

ホストの選択は、プライベート CA のセットアップにおける重要なステップです。CA ホストに関連付けられたセキュリティーのレベルは、CA が署名した証明書に関連付けられた信頼レベルを決定します。

Red Hat Fuse アプリケーションの開発およびテストに使用する CA を設定する場合は、アプリケーション開発者がアクセスできる任意のホストを使用してください。ただし、CA 証明書と秘密鍵を作成する場合は、セキュリティーが重要なアプリケーションが実行されているホストで CA 秘密鍵を使用可能にしないでください。

セキュリティー上の予防措置

デプロイするアプリケーションの証明書に署名するように CA を設定する場合は、可能な限り CA ホストのセキュリティーを保護します。たとえば、CA のセキュリティーを保護するには、以下の予防措置をとります。

  • CA をネットワークに接続しないでください。
  • CA へのすべてのアクセスを、信頼できるユーザーの限られたセットに制限します。
  • RF シールドを使用して、CA を無線周波数の監視から保護します。