OCI技術資料 : 証明書サービス概要

Transcript

1. 証明書サービス 概要 OCI Certificates Level 100 Oracle Cloud Infrastructure 技術資料

   2022年2月

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2021, Oracle and/or its affiliates 2

3. • インターネットなどコンピュータ間の通信において、セキュアな通信を実現するためのプロトコル。 • 元々はSSLというプロトコルが利用されていたが、脆弱性が発見されたため、新たに TLS が設計された。 • SSLという名称が広く普及していることから、実際には TLS を使用している場合でも「SSL」や「SSL/TLS」と表記され

   ることも多い。 • 以前は、導入に当たってのコストや、応答速度の低下の懸念があり、導入をしない／一部のみ導入するなどの対応が 行われていたが、SSL化されていないWebサイトが ブラウザ上で警告表示されるようになったり、 SSL化されているWebサイトが 検索サイトで上位に表示されるなどの変更があり、「常時SSL」 が求められるように なった。 “SSL/TLS” とは Copyright © 2021, Oracle and/or its affiliates 3 SSL(Secure Sockets Layer)/ TLS(Transport Layer Security) トップページ サービスメニュー 店舗情報 予約フォーム トップページ サービスメニュー 店舗情報 予約フォーム 情報入力がある ページのみSSL化 常時SSL化

4. 確かな相手と安全に通信するための技術 共通鍵、公開鍵暗号方式などを用いて 通信内容を暗号化することで、第三者に データを盗聴された際のデータ漏洩、悪 用を防ぐ。 ハッシュ関数を用いて、送信対象データを 元にハッシュ値を計算。データ受信者は、 ハッシュ値を検証することで改ざんを検出。 公開鍵認証基盤(PKI)を利用し、なりすまし、 否認を防止。(認証局によって発行された電

   子証明書を元に、正しい通信相手であること を確認） SSL/TLS の機能・役割 Copyright © 2021, Oracle and/or its affiliates 4 通信内容の暗号化 通信相手の認証 改ざんの検出 ?? ！ (1) 「鍵」を用いて データを暗号化 (2) 「鍵」を用いて データを復号 第三者が盗聴してもデータの解読が不可 第三者が改ざんした場合、元のハッシュ値と一致 しなくなり、改ざんの検知が可能 (1) データからハッシュ 値を計算 (2) 取得したデータから ハッシュ値を計算・照合 (1) 電子証明書を要求 (3) 証明書を検証 (2) 電子証明書を送付 認証局に認められた電子証明書とそれに対応する鍵を 持たないため、なりすますことが出来ない

5. 認証局(CA)： 公開鍵とその所有者を証明するための「電子証明書」を発行する機関。 認証局自体も、自身が信頼できる認証局であることを証明するために、より上位の認証局によって認証を受ける。 最上位の認証局を ルート認証局(ルートCA) とよび、そのほかの認証局を中間認証局(中間CA)、下位認証局等とよぶ。 電子証明書(デジタル証明書)： 鍵の所有者を証明する証。(サーバー証明書, クライアント証明書, ルート証明書など)

   電子証明書は、鍵の所有者から提出された CSR (公開鍵 および 組織名や所在地などの情報を含む証明書署名要求) をもとに、認証局の秘密鍵によって 電子署名(デジタル署名) されることで発行される。 自分自身が持つ秘密鍵によって電子署名を行った電子証明書は、自己署名証明書(通称:オレオレ証明書)と呼ばれる。 なお、秘密鍵が漏洩したなどの理由により、既存の電子証明書を失効させる場合には、認証局の CRL (証明書失効リス ト) へ登録する。 認証局(CA)と電子証明書 Copyright © 2021, Oracle and/or its affiliates 5

6. 電子証明書の発行と検証の流れ • セキュリティ強化やリスク分散のため、通常、ルート認証局 から直接サーバー証明書などが発行されることはなく、中間 認証局によって発行される。 • 各電子証明書が信頼される認証局によって発行されてい るかは、その階層構造をたどっていくことで検証が可能。 (具体的には、証明書に含まれる認証局のデジタル署名を、 最上位の認証局に到達できるか否かを検証する。)

   • 厳しい監査基準を満たした信頼されるルート証明書は、 予めOSやブラウザなどにインストールされているため、ユー ザーが個別に認証局を調べることなく利用が可能。 認証局(CA)と電子証明書 Copyright © 2021, Oracle and/or its affiliates 6 ルート認証局 中間認証局 サーバー ルートCAの 秘密鍵 中間CAの 秘密鍵 サーバーの 秘密鍵 ルートCAの 公開鍵 中間CAの 公開鍵 サーバーの 公開鍵 自己署名 ルートCAの デジタル署名 中間CAの デジタル署名 ルート証明書 中間CA証明書 サーバー証明書 検証 検証 証明書発行 (デジタル署名) 証明書発行 (デジタル署名) 1. サーバー証明書は、中間認証局の公開鍵を使用し、デジタル署名 を検証することで正当性の確認が可能 2. 中間認証局の証明書は、ルート認証局の公開鍵を使用し、デジタ ル署名を検証することで正当性の確認が可能

7. • 認証局は、厳格な監査基準を満たし、審査を受けた機関でなくとも、実際には誰でも作成することができる。 • プライベートな認証局によって発行された証明書は、審査を受けたパブリックな認証局が発行する証明書とは異なり、 コストをかけずに取得が可能となる。 • 一方、標準ではブラウザなどから信頼されないため、個別での設定が必要となるなど、煩雑な部分もある。 • プライベート認証局が向いているケースの例： ✓イントラネットなど組織内で利用する場合

   ✓クライアント証明書を利用したい場合 → 後述するOCI証明書サービスでは、このプライベート認証局を作成可能 プライベート認証局(CA)とは Copyright © 2021, Oracle and/or its affiliates 7

8. CAや証明書の作成やライフサイクル管理を実現するマネージド・サービス • Oracle Cloud Infrastructure 証明書サービス（OCI Certificates Service）は、証明書の発行、保管、 管理機能を提供するサービス •

   管理者は手動での証明書の更新や期限管理などの作業から解放される • 証明書（Certificate）、認証局（CA）、CAバンドルのライフサイクルを管理 • CA/証明書/CAバンドルの作成、メタデータ更新、削除、自動更新、有効期間、バージョン管理とローテーション、証明書の 外部からのインポートなど • CA作成にはボールトのHSM非対称キー(公開鍵+秘密鍵)が必要(20個までは無償) • 証明書を必要とするOCIリソースにシームレスに関連付けが可能 • 例：OCI ロード・バランサーからの利用 • 無償で利用可能 • Blog：Automating To A More Secure Connection 証明書サービス（OCI Certificates） Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 8

9. ユーザーの暗号鍵・シークレットをセキュアに集中管理 OCIのストレージサービスはデフォルト暗号化されているが、Vaultを利用することにより、 暗号鍵の管理をデフォルトのOracle管理からユーザー自身で管理することが可能 • 対応する暗号鍵: AES, RSA, ECDSA • 暗号鍵の作成・削除・ローテーション、バージョン管理、バックアップ、モニタリング

   • OCIサービスの各サービスとシームレスに連携 • 鍵のインポート（BYOK）も可能 • クロスリージョン・レプリケーションによるDR対応 FIPS 140-2 Security Level 3 に準拠したHSM、またはソフトウェア・キーを利用 2種類の格納先 • Default Vault : 共有パーティション内で仮想的にユーザーのVaultを提供 • Virtual Private Vault : ユーザー専用に完全分離された専用パーティションとして提供 暗号鍵だけでなく、シークレット (パスワード、証明書、SSHキー、認証トークン)なども Vault内で管理可能 参考 ボールト（Vault） Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 9 Key A Key B 暗号化 暗号化 Secret A コード Block Storage Object Storage File Storage Key Vault ユーザー https://speakerdeck.com/oracle4engineer/oci-vault-ji-neng-gai-yao-tote-zheng

10. HSM保護された非対称キーを準備 認証局(CA)の利用 Copyright – © 2021 Oracle and/or its affiliates.

    All rights reserved. 10 認証局の作成には、ボールトのHSM非対称キー(公開鍵+秘密鍵)が必要となる 選択可能なキーは下記のいずれか • 2048ビットまたは4096ビットのRSAキー • P-384曲線を使ったECDSAキー

11. 認証局の作成、管理 • ルート認証局、もしくは下位認証局を選択 • CA作成に必要なIAMポリシー • 操作ユーザへの権限付与以外に、動的グループへの権限が必要 • resource.type=‘certificateauthority’ を含む動的グループを作

    成し、以下の権限を付与 • CA作成に必要なボールト・キー • ボールトにHSM保護された非対称キーを準備する必要がある。ソフト ウェア保護キーはサポートされない。 (HSMキーは20個までは無償) • 非対称キーとしてはRSA（2048bit/4096bit）もしくはECDSA （NIST_P384）を選択可能。 • CAの有効期間の設定、証明書や下位CAの失効ルール（最大 有効期間）の設定が可能 • CAを削除する際にはデフォルト30日間、最低7日間以降後で スケジュールする必要がある 認証局(CA)の利用 Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 11 Allow dynamic-group <dg名> to use keys in compartment xxx Allow dynamic-group <dg名> to manage objects in compartment xxx

12. 証明書の作成、管理 • 証明書の作成方法：3種類から選択 • 内部CAにより発行 • 証明書サービス内のプライベート認証局で発行 • 内部CAにより発行、外部管理 •

    証明書サービス内のプライベート認証局で発行し、外部で管理 • インポート • 3rd partyのパブリック認証局もしくはプライベート認証局で発行された証明書 をインポート • 証明書のプロファイル：利用用途に応じて4つから選択 • TLSサーバーまたはクライアント • TLSサーバー • TLSクライアント • TLSコード署名 • キー・アルゴリズム • RSA(2048/4096)、ECDSA(P256/P384)から選択 • 有効期間や自動更新ルールの設定 • 証明書を削除する際にはデフォルト30日間、最低1日間以降 後でスケジュールする必要がある 証明書(Certificates)の利用 Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 12

13. 証明書のコピーまたはダウンロード • 証明書のコピーまたはダウンロードは、対象の証明書 バージョンのアクション・メニュー（トリコロン）から、 「コンテンツの表示」でアクセスが可能。 • 秘密鍵については、コンソールからの表示または ダウンロードはできないため、CLI等を利用。 ⁻ 証明書バージョンの内容の表示：

    https://docs.oracle.com/en- us/iaas/Content/certificates/managing- certificates.htm#viewing_certificate_version_bundle_cli ⁻ 証明書および証明書チェーンの取得： ⁻ 秘密鍵の取得： 証明書(Certificates)の利用 Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 13 oci certificates certificate-bundle get --certificate-id <certificate_OCID> --version-number <certificate_version_number> oci certificates certificate-bundle get --certificate-id <certificate_OCID> --bundle-type <bundle_type>

14. • サードパーティの認証局(CA)によって発行された証明書を、OCI の証明書サービスへ インポートすることが可能 • インポートがサポートされる証明書のキー・サイズは下記の通り • RSA2048 • RSA4096

    • ECDSA_P256 • ECDSA_P384 • インポート時に行われる証明書チェーンの検証内容 ✓ 証明書の共通名(Common Name/CN) が null でないこと ✓ 証明書チェーンにルートCAを含むすべてのCA証明書が含まれていること ✓ 基本制約エクステンションでは、isCA ビットが true が設定されていること ✓ 基本制約エクステンションでは、パス長が指定されている場合、 証明書チェーン階層内の中間証明書の数がそれを超えない ようになっていること ✓ 拡張鍵用途エクステンションを指定している場合は、KEY_CERT_SIGN が設定されていること 証明書のインポート Copyright – © 2021 Oracle and/or its affiliates. All rights reserved. 14

15. フレキシブル・ロード・バランサ • リスナー作成時、もしくはリスナーの編集時にあらかじめ作成された証明書サービスの証明書を選択可能 クラウド・ガード • 証明書サービスに対するディテクタ・ルールが追加 ほかのOCIサービスとの連携 Copyright – ©

    2021 Oracle and/or its affiliates. All rights reserved. 15

16. 証明書失効リスト(CRL)の公開 Copyright – © 2021 Oracle and/or its affiliates. All

    rights reserved. 16 • さまざまな理由で、信頼できるリソースとして 証明書 または 認証局(CA) を無効にする場合、証明書または認証局 (CA) の取消しが可能。 • 証明書または認証局(CA)の特定のバージョンを取消すには、証明書失効リスト (CRL) を発行して公開する。 • CRLには、有効期限より前に失効した X.509証明書 が含まれる。 • OCI の証明書サービスで証明書等を失効させる場合、CRLを格納できる 独自の専用の Oracle Cloud Infrastructure オブジェクト・ストレージのバケットが必要 となる。 • 設定可能な失効理由： • UNSPECIFIED • KEY_COMPROMISE • CA_COMPROMISE • AFFILIATION_CHANGED • SUPERSEDED • CESSATION_OF_OPERATION • PRIVILEGE_WITHDRAWN • AA_COMPROMISE Oracle Cloud Infrastructure Object Storage CRLの発行 Certificates

17. 証明書サービスの制限 Copyright – © 2021 Oracle and/or its affiliates. All

    rights reserved. 17 • 証明書サービスの主なサービス制限は下記の通り。 • その他の制限については、OCI ドキュメントを参照： https://docs.oracle.com/en-us/iaas/Content/General/Concepts/servicelimits.htm#Limits サービス制限 認証局 100 証明書 5000 CAバンドル 25 ※スコープはテナンシ単位

18. このレッスンでは、次のことを学習しました • OCIの証明書サービスは、証明書の発行、保管、管理機能を実現するマネージド・サービス • 証明書を必要とするOCIリソースにシームレスに関連付けが可能で、無償で利用が可能 まとめ Copyright © 2021, Oracle

    and/or its affiliates 18

19. 日本語マニュアル – 証明書サービス • https://docs.oracle.com/en-us/iaas/Content/certificates/home.htm 証明書サービスのトラブルシューティング • https://docs.oracle.com/en-us/iaas/Content/certificates/troubleshooting.htm 証明書サービス 関連の技術情報

    Copyright © 2021, Oracle and/or its affiliates 19

20. Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -

    APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2021, Oracle and/or its affiliates 20

21. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2021, Oracle and/or its affiliates 21

22. Thank you Copyright © 2021, Oracle and/or its affiliates 22

23. None

24. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.