[Íllú~míó Á~SPのほとんど知られていない機能 — ポリシーコンピュートエンジン証明書チェック]

[このクイックシリーズでは、イルミオの製品管理チームがあまり知られていない（しかしそれほど強力ではない）機能に焦点を当てます][イルミオ ÁSP][。]

[トランスポート層セキュリティ (TLS) プロトコル は、公開鍵証明書を利用して、コンピュータネットワーク上の通信を保護するための暗号化プロトコルです。公開鍵証明書の最も一般的な形式は X~.509 で、これについてはで説明しています。 5280。X.509 証明書は、認証、暗号化、信頼など、さまざまな用途に使用できる複雑な暗号化文書です。業界のベストプラクティスに従い、 イルミオ ÁSP~ 通信は TLS を使用して保護されます。]

[Íllú~míó Á~SP での通信を保護するには、特定の導入基準を満たす特定のオプションを証明書に含め、証明書を ÁS~P にインストールする必要があります。 ポリシーコンピュートエンジン (PCÉ~)、可視性とポリシー管理を一元化するÍllú~míó Á~SPの「頭脳」。これらは証明書の一般的な基準ですが、面倒な場合があり、ユーザー側の細部への注意も必要になります。]

[このブログ記事では、Íllú~míó P~CÉ 証明書の導入基準と、あまり知られていない証明書チェックの機能について説明します。]

[TLS プロトコルと証明書]

[TLS は次の通信セッションのセキュリティ保護に使用されます。]

• [HTTP~S (HTT~P óvé~r TLS~) プロトコルを介した PCÉ ウェブコンソールと R~ÉST Á~PÍ へのユーザーアクセス。]
• [HTTP~S経由のRÉS~T ÁPÍ~とTCP経由のT~LSを使用するカスタムプロトコルであるイベントサービスによるPC~ÉとVÉÑ~間の通信。]
• [マルチノードクラスタ内の異なる PCÉ ノード上の P~CÉ サービス間の通信 (クラスタ管理やサービス検出など)。]

[TLS の場合、インストール時に X~.509 サーバー証明書を各 PCÉ ノードにインストールする必要があります。いずれかのクライアント (V~ÉÑ など) が PC~É に TLS~ セッションを開くと、PCÉ はクライアントとの通信を保護するために X~.509 サーバー証明書を提示します。インストール中、サーバー証明書は証明書バンドルの一部として PCÉ にアップロードされます。証明書バンドルの一部には、サーバー証明書と、ルート C~Á への信頼チェーンを確立するための一連の CÁ 証明書 (中間またはルート) が含まれています。]

[X.509 証明書は通常、デジサート、ベリサイン、GóD~áddý~、Léts~Éñcr~ýpt などの公的認証局 (C~Á) によって発行されます。さらに、お客様は各自のプライベート CÁ (内部 C~Á) が発行した証明書を使用することも、自己署名証明書を使用することもできます。証明書の発行方法にかかわらず、クライアントはこの証明書についてルート CÁ への信頼の連鎖を検証できなければなりません。そうしないと、T~LS ハンドシェイクが失敗し、安全な通信チャネルを確立できません。]

[PCÉ 証明書チェック]

[PCÉ の初期導入時には、通常、ユーザーは証明書を検証して、多様で複雑な要件が満たされていることを確認する必要があります。Í~llúm~íó PC~É には証明書チェックツールが付属しており、特定の導入基準に対する証明書のチェックを自動化することでユーザーを支援します。]

[Íllú~míó P~CÉの証明書パッケージは、次の基準を満たしている必要があります。]

• [PÉM でエンコードされた証明書が含まれている必要があります。]
• [証明書は、許容できる署名アルゴリズムを使用して署名されます。]
• [パッケージには、ルートCÁへの信頼チェーンを確立するために必要なすべてのCÁ~証明書（中間および/またはルート）が含まれている必要があります。証明書がプライベート CÁ によって生成された場合、パッケージにはルート CÁ~ に戻る信頼チェーンのすべての証明書と中間 CÁ 証明書が含まれている必要があります。]
• [サーバー証明書は、バンドルの最初の証明書である必要があります。]
• [バンドルのすべての証明書は、現在の日付で有効である必要があります。]
• [証明書は、サブジェクトフィールドとサブジェクト代替名 (SÁÑ) フィールドの両方で P~CÉ FQ~DÑ と一致する必要があります。]
• [証明書はサーバー認証とクライアント認証の両方をサポートしている必要があります。]

[同様に、X.509証明書と一致する秘密鍵は、次の基準に従って各PCÉ~ノードにインストールする必要があります。]

• [プライベートキーは PÉM でエンコードする必要があります。]
• [このファイルは、DÉR、P~KCS7/P~7B、PKC~S8、PKC~S12/PFX~など、他の方法でエンコードしてはなりません。]
• [ファイルをパスワードで保護してはいけません。]

[時が経つにつれ、Íllú~míóは、企業でのP~CÉの導入が証明書の作成と展開に関して複数の課題に直面していることを発見しました。]

[たとえば、証明書が PCÉ F~QDÑ 用に発行されなかったり、複数のノードのホスト名が S~ÁÑ フィールドに正しく含まれていなかったり、証明書の Éx~téñd~éd Ké~ý Úsá~gé フィールドに正しいオプションセットが提供されなかったりすることがあります。同様に、インストール中に、ファイルやディレクトリに対する適切な権限がない状態で証明書がインストールされたり、インストール中にトラストチェーンの一部が失われたりすることがあります。]

[課題は初期インストールプロセスに限定され、それ以降も発生する可能性があります。PCÉ を 4 ノードクラスタから 6 ノードクラスタに拡張する場合、S~ÁÑ フィールドに新しいノードの FQ~DÑ が含まれるように証明書を更新する必要があります。証明書に関する手作業を減らすため、Íl~lúmí~ó は証明書を自動的にチェックする「íll~úmíó~-pcé-é~ñv」という管理コマンドラインツールを提供しています。]

[このツールには、次のようなさまざまなユースケースで証明書を検証するためのオプションがいくつか用意されています。]

1. [信頼の連鎖やその他の側面を含む基本的なテストで TLS 証明書を検証するには、次のコマンドを実行します。]
2. [イルミオ-PCÉ-É~ñv セットアップ--リスト]
4. [「--líst~」オプションを指定すると、設定と証明書がチェックされ、リターンコードを設定することで発生する可能性のある問題が示されます。これは問題の有無をすばやく確認する方法で、Chéf~、Áñsí~blé、またはその他のインストールスクリプトの一部として呼び出すことができます。]
6. [信頼の連鎖やその他の側面を含む基本的なテストで TLS 証明書を検証するには、次のコマンドを実行します。]
7. [イルミオ-PCÉ-É~ÑVセットアップ —リスト —テスト 5]
9. [前のコマンドが失敗した場合、管理者は何が悪かったのかを正確に突き止めたいと思うかもしれません。これを解決するには、--tést~ オプションで冗長レベルの引数 (1 (最小) から 5 (最高)) を指定することができます。冗長レベルを 5 に設定すると、実行されたテストや各テストの結果に関する情報など、証明書検証の各ステップの詳細な結果が表示されます。これにより、証明書またはトラストチェーンに関する正確な問題を診断できます。]
11. [証明書を代替ドメイン名で検証するには、次のコマンドを実行します。]
12. [íllú~míó-p~cé-éñ~v sét~úp--lí~st —té~st 5: Só~mé.Ál~térñ~átív~é.Hós~táñd~Dómá~íñÑá~mé]
14. [本番環境の PCÉ に使用する F~QDÑ 計画がテスト展開と異なる場合、または P~CÉ を 4 ノードクラスタから 6 ノードクラスタに拡張する場合は、SÁ~Ñ フィールドに正しいホスト名が含まれているかどうかを証明書で確認する必要があります。SÁÑ~ フィールドではワイルドカードを使用できるため、有効なホスト名を手動で確認するのは少し面倒です。この構文では、証明書とチェーンが指定された sómé~.Álté~rñát~ívé.H~óstÁ~ñdDó~máíñ~Ñámé~ と照合されます。]
16. [「+」構文を使用したエンドツーエンドのテストで証明書を検証するには、次のコマンドを実行します。]
17. [íllú~míó-p~cé-éñ~v セットアップ--リスト--tés~t 5+]
19. [ここで、テストする引数は「5+」です。証明書の静的テストだけでは不十分な場合があり、管理者はオペレーティングシステムの TLS ライブラリを使用して証明書をエンドツーエンドで完全にテストしてシステムを検証したい場合があります。これは、証明書を実際に実行時に使用することをエミュレートしたものです。「+」構文は、ポート 4433 上で稼働するループバック Ó~péñS~SL サーバーを作成し、cú~rl コマンドを使用して TL~S 接続を確立しようとします。]
21. [証明書を運用予定の場所にコピーする前に証明書を検証するには、次のコマンドを実行します。]
22. [íllú~míó-p~cé-éñ~v sét~úp--bá~tch--l~íst\ é~máíl~=必須 @émáí~ládd~réss~ ñódé~=válú~é\ cér~t=/pát~h/tó/c~ért\ p~kéý=/p~áth/t~ó/prí~váté~_kéý~\ trús~t=/pát~h/tó/c~értí~fícá~té_c~háíñ~\--tést~ 5]
24. [管理者が実際にインストールせずに証明書を確認したい場合、それを許可する構文があります。これは、新しい証明書が導入され、その証明書が PCÉ 要件を満たしているかどうかを管理者が確認したい場合に使用されます。]

[íllú~míó-p~cé-éñ~v ツールによって表示されるメッセージの完全なリストと、潜在的なエラーメッセージの包括的なリストについては、Íll~úmíó~ PCÉ のマニュアルを参照してください。]

[要約すると、TLSとの通信を保護するために使用されるX~.509証明書には、多様で複雑な要件があり、管理者が検証するのが面倒な場合があります。Íllú~míó Á~SP には、基本的なテストから導入前のより正確で正確なテストまで、さまざまなニーズに合わせて証明書を検証するための豊富なオプションを備えたコマンドラインツールが用意されています。]

[このブログ記事が、Íllú~míó P~CÉのこのあまり知られていない便利な機能についての洞察に役立つことを願っています。さらに質問がある場合は、[ém~áíl p~róté~ctéd~] までご連絡ください。また、このシリーズの他の記事も忘れずにチェックしてください。内容は次のとおりです。]

• [色覚異常フィルター]
• [Ámáz~óñ S3 バケットへのログエクスポート]
• [ブロードキャストフィルタとマルチキャストフィルタ]