Login
      目次 x
      Private CAの概念
        • 印刷する
        • PDF
        目次

        Private CAの概念

          • 印刷する
          • PDF
          Article Summary

          Classic/VPC環境で利用できます。

          現代の暗号システムの中で、公開鍵基盤の証明書システムは多方面で活用されています。暗号化通信のHTTPSウェブサービスのための基盤技術であるSSL/TLSは、公開鍵基盤証明書システムの代表的な例です。また、金融サービスや電子決済時の本人認証のための電子署名技術もあります。
          このように多方面で使用されている証明書は、発行や使用において継続して有効性を保証し管理する機能が必須となります。この役割は認証局(Certificate Authority、CA)が担当します。CAは証明書を安全に管理するため様々な標準や勧告事項に関する要求事項を満たし、証明書の発行や照会、失効などに関する様々な機能を提供する必要があります。
          汎用ネットワーク環境で使用される公認証明書とは違い、制限された範囲内ではプライベート証明書を使用した方が効率的でセキュリティ面でも有利です。ネットワーク信頼境界線(Network Trust Boundary)を定義する際にプライベート証明書を用いれば、簡単に信頼境界線内の個体を識別して認証できます。専用仮想ネットワーク内のサーバやIoTデバイスの暗号化されたチャネルでも有効に使用できます。ただし、先に言及したように、証明書を発行して管理するCAは様々な要求事項を満たす必要があるため、プライベート証明書を安全に活用するためにプライベートCAを構築して運用することは多少難しくならざるを得ません。
          しかし、いくら難しい過程であっても、NAVERクラウドプラットフォームのPrivate CAを用いれば、標準に基づいたプライベートCAの構築や運用を高い費用をかけずに安定的に行えます。

          pca-1_en(1)

          Private CAは、手軽に階層的なプライベートCA構造を構築できます。また、CA秘密鍵は、Key Management Serviceを通じて安全に保護されます。プライベート証明書を簡単に発行し失効リストを管理できる機能や、証明書を確認して照会できる様々な機能も提供しています。

          参考情報

          NAVERクラウドプラットフォームで提供する様々なサービスに簡単かつ便利にPrivate CAのプライベート証明書を適用できるように連携させる予定です。

          Private CAのリソース構造

          Private CAの理解に役立つように、Private CAのリソースであるCAの階層構造について説明します。CAの階層構造は、大別してルートCA、プライベート中間CA、プライベート証明書などで構成されています。Private CAでは、作成したCAを管理して運用します。CAリソース構造を図式化して構成項目別に説明すると、以下のとおりです。

          pca-2_en(1)

          • プライベートルートCA: 最上位階層に位置しルートCAの役目を果たすCAであり、中間CA証明書を発行できます。
          • 顧客管理プライベートルートCA:顧客が直接管理するルートCAを利用できます。この場合、Private CAで作成される中間CAの証明書を、顧客所有のルートCAの秘密鍵で署名して登録できます。詳細は、Private CAの使用のプライベートCAの作成で中間CAを直接署名方式で作成する方法をご参照ください。
          • プライベート中間CA:中間階層のCAです。機能はルートCAと変わらないため、CA証明書を署名して下位階層構造を構成できます。
          • プライベート証明書:Private CAで管理されるCAで発行される証明書です。
          参考情報

          Private CAの概念では、認証関連の様々な用語が登場します。理解を深めるために、Private CAの用語を必ずご参照ください。

          Private CAの状態

          Private CAのリソースであるCAは、作成から最終失効まで一連の状態を保ちながら動作します。CAの状態に応じてPrivate CAで使用できる機能も変わります。CAの各状態を図式化して状態別に説明すると、以下のとおりです。

          pca-4_en(1)

          • アクティブ:CAのすべての機能が利用できる正常運用状態です。
          • 非アクティブ:CAの照会機能を除くすべての機能の利用が停止された状態です。発行された証明書に対しては継続して有効性検証を行うことはできますが、新しい証明書の発行を含めCAチェーンのリクエストやCRL、OCSPなどのすべての機能は一時的に使用できません。
          • 登録待ち:直接署名方式で作成されたCAに証明書が登録される前の状態です。作成時点から24時間以内に署名された証明書が登録されないと、CAは自動的に削除されます。
          • 終了:CA証明書の有効期間が終了した状態です。終了したCAは使用できなくなり、ユーザーの確認を経て完全に削除できます。
          • 削除予定:ユーザーにより削除リクエストが届けられ、自動で完全削除されるまでの72時間は待機中の状態です。削除予定はキャンセル可能で、待機時間なしで即削除もできます。
          • 完全削除:Private CAで完全に失効処理された状態です。秘密鍵が完全に削除されたため、復旧できません。

          Private CAの権限管理

          Private CAのリソース構造を体系的に設計してCAの状態を理解した場合でも、徹底したセキュリティに基づいて管理・運用されないと意味がありません。プライベートCAや証明書はセキュリティを維持して安全に運用されるべきであるだけに、Private CAではNAVERクラウドプラットフォームのSub Accountで提供するサブアカウントとPrivate CAの個々のユーザー権限管理機能を活用して管理者とユーザーの権限を設定できます。管理者やユーザーは、設定した権限範囲内でPrivate CAが提供する機能を利用することになります。
          管理者権限はPrivate CA内のCAリソース全体を使用・管理することができ、Sub Accountで設定します。個々のユーザー権限は割り当てられたCAのみ使用・管理することができます。Private CAで [権限管理] ボタンをクリックして設定します。Private CAの権限管理の内容を図式化すると、以下のとおりです。

          pca-3_en(1)

          次の手順

          Private CAを使用するための概念の理解過程をすべて完了しました。Private CAのシナリオに移動してPrivate CAが提供する様々な機能を使用する全手順を学んでみてください。

          この記事は役に立ちましたか?
          What's Next
          Change password!
          Changing your password will log you out immediately. Use the new password to log back in.
          Change profile
          Success!
          First name must have atleast 2 characters. Numbers and special characters are not allowed.
          Last name must have atleast 1 characters. Numbers and special characters are not allowed.
          Enter a valid email
          Enter a valid password
          Your profile has been successfully updated.
          Logout