セキュア通信の構成
セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
このタスクについて
秘密鍵は、通信を暗号化します。公開鍵は、証明書に含まれており、通信を暗号化解除します。暗号化通信を使用するには、秘密鍵と、その秘密鍵に関連付けられた証明書の両方を作成する必要があります。公開鍵 (証明書) は、通信を読み取るためにのみ使用されるため、誰とでも共有できます。通信の安全性は、身分証明を行う秘密鍵に主に依存しているため、秘密鍵は安全な方法で保管する必要があります。これらの鍵は、秘密鍵によって暗号化されたメッセージが、その秘密鍵に関連付けられた公開鍵でのみ暗号化解除できるように作成されます。公開鍵を受け取った人が、その鍵を使用して通信を暗号化解除できれば、鍵の発行者が間違いなくそのメッセージの発信元であり、メッセージが途中で改ざんされていないことを確認できます。そうでなければ、公開鍵によってメッセージを暗号化解除することはできません。
BigFix Inventory には、デフォルトで自己署名証明書が用意されていますが、これは実稼働環境での使用を想定したものではありません。セキュリティーを向上させるために、ユーザー独自の秘密鍵と、証明書署名要求 (CSR) を作成してください。SCR は、認証局 (CA) から署名を受けると、証明書に変換できます。CA は、要求に署名することにより、公開鍵と証明書を信頼できるものとして認定します。独自のプライベート CA を作成することができるほか、組織の CA を使用することも、国際的なトラステッド CA (Entrust、VeriSign など) を使用することもできます。
秘密鍵と、それに関連付けられた証明書は、BigFix Inventory にアップロードされます。暗号化通信を有効にすると、ご使用のサーバーに接続するすべてのユーザーが、公開鍵を含む証明書を受信します。以降にサーバーから送信されるすべての通信は、秘密鍵を使用して暗号化されます。ユーザーが通信を受信すると、サーバーから取得した証明書を使用して、その通信が暗号化解除されます。証明書によって通信を暗号化解除できれば、サーバーがそのメッセージの発信元であり、そのメッセージが有効であることが確実にわかります。
鍵ペアの要件
- タイプ: RSA または DSA。
- キーの強度: 最大 2048 ビット。この制限は IBM Java ポリシーによるものです。デフォルトのポリシー・ファイルを、対象強度の制限がないものに置き換えれば、より強度の高い鍵を使用できます。詳しくは、こちらを参照してください:IBM SDK ポリシー・ファイル。
- 形式: PEM エンコード形式。openSSL を使用して鍵ペアを作成すると、このエンコード方式が使用されます。他の方法 (Windows の Makecert など) を使用して鍵を作成することもできます。そのような鍵は DER エンコードされているため、BigFix Inventory ではサポートされていません。openSSL を使用するなどして、他のフォーマットを PEM に変換することができます。
- 秘密鍵のフォーマット: PKCS#8 (OpenSSL で使用されます)。pvk フォーマットはサポートされていません。
制限
BigFix Inventory 用に生成された鍵ペアは、秘密鍵がパスワードで保護されていない場合のみ Web レポートに使用できます。
秘密鍵および証明書の構造とフォーマット
- プライベート・キーのフォーマット
-
PEM エンコード形式で、パスワード保護機能なし。秘密鍵 (private.key) が以下の文で囲まれていることを確認します。
-----BEGIN PRIVATE KEY----- <<base64 stringfrom private.key>> -----END PRIVATE KEY----- -
PEM エンコード形式で、パスワード保護機能あり。秘密鍵 (private.key) が以下の文で囲まれていることを確認します。
-----BEGIN ENCRYPTED PRIVATE KEY----- <<base64 stringfrom private.key>> -----END ENCRYPTED PRIVATE KEY-----
-
- X509 証明書のフォーマットPEM エンコード形式。中間証明書およびルート証明書を別個のファイルとして受け取った場合は、結合して単一のファイルにしてください。例えば、1 次証明書ファイル (certificate.crt) と中間証明書ファイル (ca_intermediate.crt) がある場合、以下の順で結合します。
BEGIN CERTIFICATE----- <<primary certificate: base64 stringfrom certificate.crt>> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <<intermediate certificate: base64 stringfrom ca_intermediate.crt>> -----END CERTIFICATE-----中間証明書に加えてルート証明書 (ca_root.crt) を受け取った場合は、以下の順で結合します。BEGIN CERTIFICATE----- <<primary certificate: base64 stringfrom certificate.crt>> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <<intermediate certificate: base64 stringfrom ca_intermediate.crt>> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <<root certificate: base64 stringfrom ca_root.crt>> -----END CERTIFICATE----- - 単一ファイル (秘密鍵と証明書) のフォーマットPEM エンコード形式。このファイルには、以下の順で結合された、秘密鍵と 1 次証明書、または秘密鍵と証明書のチェーンを含めることができます。
- 秘密鍵と 1 次証明書。
-----BEGIN CERTIFICATE----- <<primary certificate: certificate.crt>> -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- <<private key: base64 stringfrom private.key>> -----END PRIVATE KEY----- - 秘密鍵、1 次証明書、および中間証明書。
BEGIN CERTIFICATE----- <<primary certificate: base64 stringfrom certificate.crt>> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <<intermediate certificate: base64 stringfrom ca_intermediate.crt>> -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- <<private key: base64 stringfrom private.key>> -----END PRIVATE KEY----- - 秘密鍵、1 次証明書、中間証明書、およびルート証明書。
BEGIN CERTIFICATE----- <<primary certificate: base64 stringfrom certificate.crt>> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <<intermediate certificate: base64 stringfrom ca_intermediate.crt>> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <<root certificate: base64 stringfrom ca_root.crt>> -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- <<private key: base64 stringfrom private.key>> -----END PRIVATE KEY-----
- 秘密鍵と 1 次証明書。
手順
鍵ペアを作成して暗号化通信を有効化するには、以下のステップを実行します。鍵ペアが既に存在しているか、自己署名証明書を使用する場合は、セキュア通信の有効化に進むことができます。