Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

3.2. 公開鍵インフラストラクチャー

公開鍵インフラストラクチャー (PKI) は、暗号化アルゴリズム、暗号モード、およびデータおよび認証のセキュリティーを保護するプロトコルを提供するフレームワークです。この環境は、システムおよびプロセスのセットで構成され、企業のアイデンティティーを検証中にトラフィックを暗号化して送信できるようにします。ここで説明される PKI プロファイルは、PKIX のワーキンググループによって開発された Internet Engineering Task Force (IETF) のパブリックキーインフラストラクチャー (PKIX) プロファイルです。PKI のコアコンポーネントは次のとおりです。

  • デジタル証明書: 署名済みの公開鍵証明書は、エンティティーの実行中のデータ、その公開鍵、他の属性と異なる属性を持つデータ構造です。これらの証明書は認証局 (CA) により発行されます。証明書は信頼できる CA によって署名されるため、エンティティーに関連付けられた公開鍵はそのエンティティーに関連付けられることが保証されます。これらの証明書を定義するために使用される最も一般的な標準は X.509 標準です。現在の標準である X.509 v3 は RFC5280 で詳細に記載されており、RFC6818 で更新されます。証明書は、CAs により発行され、オンラインエンティティーのアイデンティティーを証明します。CA は、証明書からメッセージダイジェストを作成し、その秘密鍵でダイジェストを暗号化することで、証明書をデジタル署名します。
  • 終了エンティティー: 証明書の発行先であるユーザー、プロセス、またはシステムエンドエンティティーは、承認のためにその証明書リクエストを Registration Authority (RA) に送信します。承認されると、RA は要求を認証局 (CA) に転送します。認証局は要求を検証し、情報が正しく、証明書が生成され、署名されているかを検証します。その後、この署名済み証明書は証明書リポジトリーに送信されます。
  • RP (relying party): デジタル署名した証明書を受信するエンドポイントです。証明書に記載されている公開鍵への参照と参照されます。RP は、チェーンの証明書を検証する位置にし、これが CRL に存在しないことを確認し、証明書の期限切れ日を確認できる必要があります。
  • 認証局 (CA): CA は、エンドユーザーと、認証ポリシー、管理処理、および証明書の発行に関する証明書に依存する信頼できるエンティティーです。
  • RA (REgistration Authority): CA が特定の管理機能を委譲するオプションのシステムです。これには、CA が証明書を発行する前の、エンドエンティティーの認証などの機能が含まれます。
  • 証明書失効リスト (Certificate Revocation List、CRL): 証明書失効リスト (CRL) は、失効した証明書シリアル番号の一覧です。これらの証明書を表示するエンティティーは、PKI モデルでは信頼できません。たとえば、鍵が不正アクセスし、CA 侵害などの理由によって失効が発生することがあります。
  • CRL 発行者: CA が証明書失効リストの公開を委譲するオプションのシステム。
  • 証明書リポジトリー: エンドエンティティー証明書および証明書失効リストが保存され、クエリーされる場所 (証明書バンドルと呼ばれることもあります)。

API エンドポイント用の TLS の使用を含め、セキュリティーで公開鍵インフラストラクチャー (PKI) を使用してすべてのサービスを強化することが強く推奨されます。これらの問題すべてを解決するには、暗号化またはメッセージの署名だけでは不可能です。さらに、ホスト自体は強化され、ポリシー、名前空間、およびその他のコントロールを実装して、プライベートの認証情報および鍵を保護する必要があります。ただし、キー管理および保護の課題は、これらの制御の必要性が低くなったり、それらの重要度が低下することはありません。