TLS 証明書管理って何？

Transcript

1. TLS証明書管理って何？ HCL Domino V12 の新機能「TLS証明書管理」とは https:// 中野晴幸 Haruyuki Nakano

2. 本スライドの目的 • HCL Domino V12 を使い始める管理者が、新規または既存の SSL/TLS 証明書を Domino でどのように管理できるのかのヒントを提供します

   • 証明書ストア（CertStore.nsf）の詳細な設定方法および CertMgr タスクの操作 方法には触れていません

3. TLS 証明書と管理 そもそも TLS 証明書って何？ 何を管理しなきゃいけないの？

4. TLS 証明書とは • パスポートのようなもの • 所有者のIDに関する情報を提供 • 偽造を防止 • 公的な信頼できる機関により発行されており確認が可能

   • 有償/無償のどちらも存在

5. 【メモ】SSL は TLS の過去バージョン • TLS 証明書は「SSL証明書」や「デジタル証明書」とも呼ばれ ますが、用途は同じものです SSL のバージョンが上がった時に

   TLS と名称を改めました サーバー文書等の SSL という文言も TLS に変わってます

6. TLS 証明書の管理 • TLS 証明書には有効期限があり、使い続けるには更新が必要 • 発行/更新の都度、次の管理の手間が定期的に発生 1. 証明書発行/更新の費用面 2.

   有効期限の管理 3. CSR 等の作成 4. 証明書発行機関（CA）とのやりとり 5. サーバー等への証明書の設置

7. TLS 証明書の管理 • TLS 証明書には有効期限があり、使い続けるには更新が必要 • 発行/更新の都度、次の管理の手間が定期的に発生 1. 証明書発行/更新の費用面 2.

   有効期限の管理 3. CSR 等の作成 4. 証明書発行機関（CA）とのやりとり 5. サーバー等への証明書の設置 証明書のタイプ DV (ドメイン認証) OV (企業認証) EV (Extended Validation) 認証レベル ドメイン所有確認のみ 組織の法的実在性確認 組織の活動実態確認 発行までの時間(例) 最短10分 最短10分 1週間～2週間 価格(例) 年間1,100円(税込) 年間8,800円(税込) 年間16,500円(税込) 暗号強度はどれも同じ

8. TLS 証明書の管理 • TLS 証明書には有効期限があり、使い続けるには更新が必要 • 発行/更新の都度、次の管理の手間が定期的に発生 1. 証明書発行/更新の費用面 2.

   有効期限の管理 3. CSR 等の作成 4. 証明書発行機関（CA）とのやりとり 5. サーバー等への証明書の設置 証明書の数だけ発生

9. 証明書は増えがち • ホスト www.example.com mail.example.com traveler.example.com • ドメイン www.example.com www.example.jp

   www.example.biz • サブドメイン *.child.parent.com *.group.parent.com

10. 管理の手間を軽減する方法（１） ～証明書の数を減らす～ • マルチドメイン 異なるドメイン名を含む FQDN を証明書の SAN (Subject Alternative

    Name) の領域に登録することが可能な証明書 www.acme.com site.acme.jp meeting.acme2022.jp • ワイルドカード ドメイン名（下線部）が同じサーバーで共用可能な証明書 www.acme.com *.acme.com smtp.acme.com ftp.acme.com

11. 管理の手間を軽減する方法（２） ～Certbot～ • TLS 証明書を発行するツール（CA 側の対応必要） • ACME プロトコル •

    定期的な自動実行で証明書更新を自動化 Certbot利用で ２～５が不要になる 可能性あります！

12. 管理の手間を軽減する方法（３） ～Let’s Encrypt～ • Internet Security Research Group (ISRG) が提供する認証局

    • 有効期間90日の証明書を無償で発行 • 証明書タイプはDVのみ • マルチドメイン/ワイルドカードにも対応 • Certbot 対応（HCL Domino V12 含む） Let’s Encrypt利用で １～５が不要になる 可能性あります！

13. 証明書管理の自動化に ついて Let’s Encrypt とか ACME とか

14. Let’s Encrypt • 全ての Web サイトを暗号化することを目指したプロジェクト • TLS証明書を発行可能な認証局のひとつ • 米国の

    ISRG が運営する非営利団体 • スポンサー企業によって支えられている

15. ACME (Automated Certificate Management Environment) • X.509証明書のドメイン検証、インストール、および管理を自 動化するための標準プロトコル (IETF RFC

    8555) • 証明書の自動取得/自動更新のためのプロトコル ACME プロトコルに対応した認証局は Let’s Encrypt 以外に ZeroSSL 等あります

16. チャレンジ • ドメイン名が要求者の制御下にあることを検証する仕組み • チャレンジの種類 • HTTP-01 • DNS-01 •

    TLS-ALPN-01 Let’s Encrypt は HTTP-01, DNS-01 をサポート

17. チャレンジの特徴 HTTP-01 • CA は HTTP で Web サー バーへアクセスして検証

    • FQDN 証明書のみ DNS-01 • CA はホスト名を管理する DNS へアクセスして検証 • ワイルドカード証明書を取得 可能 • 自動化にはDNS プロバイダか らの自動アップデート可能な API 提供が必要

18. 証明書のタイプ 価格は表の下へ行くほど高額 組織の実在性確認が DV は不要だが OV, EV は必要 Let’s Encrypt

    は DV のみサポート 略称 法的実体の確認 DV Domain Varidation なし OV Organization Validation あり EV Extend Validation あり（厳密）

19. Certbot • ACME プロトコルとDNSプロバイダ間のやりとりを仲介するソ フトウェア • Dominoでは Certbot の役割を CertMgr

    タスクが担う

20. Dominoの証明書管理の 昔と今

21. Certificate Requests は非サポートに https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0075066

22. OpenSSL + KYRTool • OpenSSL • 鍵作成、CSR発行、証明書の内容確認のためのツール • 別途インストール必要 •

    KYRTool • キーリングファイルの作成や各種証明書の格納のためのツール • HCL Domino V11 以降はプログラムディレクトリに存在 • どちらもコマンド操作が前提 • 証明書をファイルで扱うため一括管理しづらい

23. 証明書ストア + CertMgr タスク • 証明書ストア • TLS証明書と関連文書を保管・管理 • TLS証明書のホスト名や認証期限、SANなどを一覧表示

    • CertMgr タスク • 証明書ストアの作成 • 証明書のステータス変更 • 証明書の自動発行

24. 証明書の格納場所 キーリングファイル keyring.kyr V11 以前 TLS証明書文書 証明書ストア (CertStore.nsf) キーリングファイル keyring.kyr

    V12 以降 and / or

25. 格納場所の指定（サーバー文書） キーリングファイル使用 証明書ストア使用

26. 証明書の操作 コマンド OpenSSL ＋ KYRTool V11 以前 GUI CertStore.nsf +

    CertMgr コマンド OpenSSL ＋ KYRTool V12 以降 and / or

27. 証明書の発行/更新 手動 V11 以前 自動 手動 V12 以降 and /

    or

28. 証明書の移行 連携するアプリケーションの対応は？ 既存証明書はインポート可能？ 自動化可能？

29. 移行できない証明書 • キーリングファイルや .pem や .p12 のファイルを要求するアプリ ケーションを使用している • HCL

    Sametime • PROTON タスク（AppDev Pack） ※ただし、Domino 12.0.1 では、証明書ストアからの証明書のエクス ポート機能あり。証明書ストアでTLS証明書の作成時にエクスポート 可能なキーを作成しておけば、後からエクスポートして使用すること が可能

30. 移行が必要なケース • X.509 証明書ベースのクライアント認証が失敗する場合 Domino V12 で X.509 証明書ベースのクライアント認証が失敗する場合がある https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0093367

31. キーリングファイルとの共存は可能 • キーリングファイルも継続利用が可能 • 複数の証明書の一部をこれまでのキーリングファイル、残りを 証明書ストアへ移行、といった併用も可能

32. 既存証明書の移行 • 証明書ストアへの既存証明書のインポート

33. インポート後も”手動”で管理可能 “手動”とは言え インポート後は OpenSSLとKYRTool を 使用しません

34. 自動化にあたり確認検討すること • 必要な証明書のタイプ DV（ドメイン認証）、OV（組織認証）、EV • CA（認証局） ACMEプロトコル対応状況 発行可能な証明書タイプ ※Let’s EncryptはDVのみサポート

    • ワイルドカード証明書の要否 DNS-01チャレンジのみ対応 • DNSプロバイダ 自動化対応 ※DNS-01チャレンジに必要

35. ACME「チャレンジ」の使い分け • HTTP-01 チャレンジ 証明書のホスト名を持つ Domino サーバーが既存 社外から HTTP で

    Domino サーバーへアクセス可能 • DNS-01 チャレンジ 存在しない Domino サーバーの証明書を取得したい CA から Domino サーバーへアクセス不可 ワイルドカード証明書を取得したい

36. まとめ

37. V12 証明書管理のメリット • 証明書を「TLS 証明書」文書に保管する • 証明書の配布が容易（同一 Domino ドメイン内で複製可能） •

    証明書更新時に HTTP タスクの再起動が不要になる • 証明書一覧があり、ホスト名や期限の順に並び替え可能 • 認証局を Let’s Encrypt へ切り替える • 証明書の発行/更新にかかる費用がかからない • ワイルドカード証明書、マルチドメイン証明書の利用も可能 • 証明書の期限管理が不要 • 秘密鍵や CSR 作成のためのコマンド操作が不要 • 認証局とのやり取りの自動化

38. 【参考】TLS 証明書の一覧

39. V12 証明書管理機能まとめ • TLS 証明書を文書内で保管、一覧表示可能 • Let’s Encrypt を標準サポート（自動化） •

    証明書ごとに自動 or 手動を選択可能 • キーリングファイルや .pem ファイル等をインポート可能 • 証明書ストアは同一 Domino ドメイン内で複製可能 • HTTP タスクは証明書更新後の再起動が不要

40. スライドの終わり