第3章 TLS と PKI を使用して Red Hat OpenStack デプロイメントを保護する

Red Hat OpenStack Platform は、保護可能な機密データを処理する多くのネットワークとエンドポイントで設定されています。Transport Layer Security (TLS) を使用する場合は、対称キー暗号化でトラフィックを保護します。キーと暗号は TLS ハンドシェイクでネゴシエートされます。これには、認証局 (CA) と呼ばれる仲介者の共有信頼によるサーバーの ID の検証が必要です。

Public Key Infrastructure (PKI) は、認証局を通じてエンティティーを検証するためのフレームワークです。

3.1. 公開鍵基盤 (PKI) のコンポーネント

PKI のコアコンポーネントを次の表に示します。

表3.1 主要な用語

用語定義

エンドエンティティー

デジタル証明書を使用して自身を検証するユーザー、プロセス、またはシステム。

認証局 (CA)

CA は、エンドエンティティーと、エンドエンティティーを検証する依拠当事者の両方によって信頼されるエンティティーです。

依拠当事者

依拠当事者は、エンドエンティティーの検証としてデジタル証明書を受け取り、デジタル証明書を検証する機能を備えています。

デジタル証明書

署名付き公開鍵証明書には、検証可能なエンティティーと公開鍵があり、CA によって発行されます。CA が証明書に署名すると、秘密鍵で暗号化された証明書からメッセージダイジェストが作成されます。CA に関連付けられた公開鍵を使用して、署名を検証できます。X.509 標準は、証明書の定義に使用されます。

Registration Authority (RA)

RA は、CA によって証明書が発行される前に、エンドエンティティーの認証などの管理機能を実行できるオプションの専用機関です。RA がない場合、CA はエンドエンティティーを認証します。

証明書失効リスト (CRL)

CRL は、失効した証明書のシリアル番号のリストです。シリアル番号が取り消された証明書を提示するエンドエンティティーは、PKI モデルでは信頼されません。

CRL 発行者

CA が証明書失効リストの公開を委譲するオプションのシステム。

証明書リポジトリー

エンドエンティティー証明書と証明書失効リストが格納され、クエリーが実行される場所。