SSL 証明書の処理

このトピックでは、SSL セキュリティー・プロトコルに使用できる証明書の管理ついて説明します。

SSL は、自己署名証明書と一緒に使用するか、第三者証明機関によって署名された証明書と一緒に使用することができます。SSL の使用には、自己署名証明書の使用が最も単純な方法ですが、この方法では小さなセキュリティー・リスクが発生します。そのリスクは、SSL クライアントと SSL サーバーの間で試みられる最初の接続で、SSL クライアントに SSL サーバーの ID を検証する手段がないために発生します。たとえば、第三者が XClarity Controller Web サーバーの偽名を使用し、実際の XClarity Controller Web サーバーとユーザーの Web ブラウザーの間で送受信されるデータを傍受することが可能です。ブラウザーと XClarity Controller の間の初回接続時に、自己署名証明書がブラウザーの証明書ストアにインポートされると、(初回接続で攻撃により暗号漏えいされなかったことを前提として) その後のすべての通信はそのブラウザーではセキュアです。

より完全なセキュリティーを実現するには、証明機関 (CA) が署名する証明書を使用できます。署名付き証明書を取得するには、「証明書署名要求 (CSR) の生成」を選択する必要があります。「証明書署名要求 (CSR) のダウンロード」を選択して、証明書署名要求 (CSR) を CA に送信し、署名済み証明書を入手します。署名済み証明書を受領したら、「署名済み証明書のインポート」を選択して XClarity Controller にインポートします。

CA の機能は、XClarity Controller の ID を検査することです。証明書には、CA および XClarity Controller のデジタル署名が含まれます。既知の CA が証明書を発行する場合、または CA の証明書が既に Web ブラウザーにインポートされている場合、ブラウザーは証明書を検証することができ、確実に XClarity Controller の Web サーバーを識別できます。

XClarity Controller には、HTTPS サーバー、CIM over HTTPS、およびセキュア LDAP クライアントに使用する証明書が必要です。さらに、セキュア LDAP クライアントには、1 つ以上のトラステッド証明書もインポートする必要があります。トラステッド証明書は、セキュア LDAP クライアントが LDAP サーバーを確実に識別するために使用されます。トラステッド証明書は、LDAP サーバーの証明書に署名した CA の証明書です。LDAP サーバーが自己署名証明書を使用する場合、トラステッド証明書を LDAP サーバー自体の証明書とすることもできます。構成の中で複数の LDAP サーバーを使用する場合は、追加のトラステッド証明書をインポートする必要があります。