メインコンテンツまでスキップ

証明書の仕組み

証明書は、インターネットでのセキュアな通信のためにオンライン・エンティティー (Web サイトやサーバーなど) を識別するデジタル・ファイルです。

証明書は、指定されたサーバーとクライアントの間でのみ、Web 通信が非公開かつ改ざんされずに暗号化された形式で送信されることを保証します。System Manager を使用すると、ホスト管理システム上のブラウザー (クライアントとして機能) およびストレージ・システム上のコントローラー (サーバーとして機能) 間の証明書を管理することができます。

証明書は、信頼できる機関が署名したものと自己署名のものがあります。「署名」は、誰かが所有者の身元を検証したことと、デバイスが信頼できるものであると判断したことを意味します。ストレージ・アレイには、各コントローラーで自動生成された自己署名証明書が付属しています。自己署名証明書をそのまま使用することも、コントローラーおよびホスト・システム間の接続のセキュリティーを高めるために CA 署名済み証明書を取得することもできます。
CA 署名済み証明書の方がセキュリティー保護が強化されますが (たとえば、Man-in-the-Middle 攻撃を防止できます)、大規模なネットワークを使用している場合はかなり費用がかかる可能性もあります。対照的に、自己署名証明書の方がセキュリティーが低くなりますが、無料です。そのため、自己署名証明書は、運用環境ではなく社内のテスト環境で最もよく使用されます。

署名済み証明書

署名済み証明書は、信頼できる第三者組織である証明機関 (CA) によって検証されます。署名済み証明書には、エンティティー (通常はサーバーまたは Web サイト) の所有者に関する詳細、証明書の発行日と有効期限、エンティティーの有効ドメイン、文字と数字で構成されるデジタル署名が含まれます。

ブラウザーを開き、Web アドレスを入力すると、システムはバックグラウンドで証明書確認プロセスを実行し、有効な CA 署名済み証明書を持つ Web サイトに接続しているかどうかを判別します。通常、署名済み証明書で保護されているサイトには、アドレスに南京錠のアイコンと https が付いています。CA 署名済み証明書を持たない Web サイトに接続しようとすると、サイトがセキュアでないことを示す警告がブラウザーに表示されます。

CA は、申請プロセス中に申請者の身元を確認するための手順を実行します。また、CA は申請者の登録企業に電子メールを送信して、企業のアドレスを確認し、HTTP または DNS の検証を実行することがあります。申請プロセスが完了すると、CA はホスト管理システムにロードするためにデジタル・ファイルを送信します。通常、これらのファイルには、次のような信頼のチェーンが含まれます。
  • ルート – 階層の最上位にあるルート証明書には、他の証明書の署名に使用される秘密鍵が含まれています。ルートは、特定の CA 組織を識別します。すべてのネットワーク・デバイスで同じ CA を使用する場合、必要なルート証明書は 1 つだけです。
  • 中間 – ルートから分岐した証明書は中間証明書です。CA は、保護されたルートとサーバー証明書の間の仲介者として機能する 1 つ以上の中間証明書を発行します。
  • サーバー – チェーンの最下位にあるサーバー証明書は、Web サイトやその他のデバイスなど、特定のエンティティーを示します。ストレージ・アレイ内の各コントローラーは、個別のサーバー証明書を必要とします。

自己署名証明書

ストレージ・アレイ内の各コントローラーには、事前にインストールされた自己署名証明書が含まれています。自己署名証明書は、CA 署名済み証明書に似ていますが、第三者ではなくエンティティーの所有者によって検証される点が異なります。CA 署名済み証明書と同様、自己署名証明書にも独自の秘密鍵が含まれているため、サーバーとクライアント間でデータを暗号化し、HTTPS 接続経由で送信することができます。ただし、自己署名証明書は CA 署名済み証明書と同じ信頼チェーンを使用しません。

自己署名証明書は、ブラウザーによって「信頼」されません。自己署名証明書のみを持つ Web サイトに接続しようとするたびに、警告メッセージがブラウザーに表示されます。Web サイトにアクセスには警告メッセージのリンクをクリックする必要があります。これにより、実質的に自己署名証明書を受け入れます。

キー管理サーバーによって使用される証明書

ドライブ・セキュリティー機能を持つ外部キー管理サーバーを使用している場合、サーバーとコントローラー間の認証のために証明書を管理することもできます。