Slide 1

Slide 1 text

TLS証明書管理って何? HCL Domino V12 の新機能「TLS証明書管理」とは https:// 中野晴幸 Haruyuki Nakano

Slide 2

Slide 2 text

本スライドの目的 • HCL Domino V12 を使い始める管理者が、新規または既存の SSL/TLS 証明書を Domino でどのように管理できるのかのヒントを提供します • 証明書ストア(CertStore.nsf)の詳細な設定方法および CertMgr タスクの操作 方法には触れていません

Slide 3

Slide 3 text

TLS 証明書と管理 そもそも TLS 証明書って何? 何を管理しなきゃいけないの?

Slide 4

Slide 4 text

TLS 証明書とは • パスポートのようなもの • 所有者のIDに関する情報を提供 • 偽造を防止 • 公的な信頼できる機関により発行されており確認が可能 • 有償/無償のどちらも存在

Slide 5

Slide 5 text

【メモ】SSL は TLS の過去バージョン • TLS 証明書は「SSL証明書」や「デジタル証明書」とも呼ばれ ますが、用途は同じものです SSL のバージョンが上がった時に TLS と名称を改めました サーバー文書等の SSL という文言も TLS に変わってます

Slide 6

Slide 6 text

TLS 証明書の管理 • TLS 証明書には有効期限があり、使い続けるには更新が必要 • 発行/更新の都度、次の管理の手間が定期的に発生 1. 証明書発行/更新の費用面 2. 有効期限の管理 3. CSR 等の作成 4. 証明書発行機関(CA)とのやりとり 5. サーバー等への証明書の設置

Slide 7

Slide 7 text

TLS 証明書の管理 • TLS 証明書には有効期限があり、使い続けるには更新が必要 • 発行/更新の都度、次の管理の手間が定期的に発生 1. 証明書発行/更新の費用面 2. 有効期限の管理 3. CSR 等の作成 4. 証明書発行機関(CA)とのやりとり 5. サーバー等への証明書の設置 証明書のタイプ DV (ドメイン認証) OV (企業認証) EV (Extended Validation) 認証レベル ドメイン所有確認のみ 組織の法的実在性確認 組織の活動実態確認 発行までの時間(例) 最短10分 最短10分 1週間~2週間 価格(例) 年間1,100円(税込) 年間8,800円(税込) 年間16,500円(税込) 暗号強度はどれも同じ

Slide 8

Slide 8 text

TLS 証明書の管理 • TLS 証明書には有効期限があり、使い続けるには更新が必要 • 発行/更新の都度、次の管理の手間が定期的に発生 1. 証明書発行/更新の費用面 2. 有効期限の管理 3. CSR 等の作成 4. 証明書発行機関(CA)とのやりとり 5. サーバー等への証明書の設置 証明書の数だけ発生

Slide 9

Slide 9 text

証明書は増えがち • ホスト www.example.com mail.example.com traveler.example.com • ドメイン www.example.com www.example.jp www.example.biz • サブドメイン *.child.parent.com *.group.parent.com

Slide 10

Slide 10 text

管理の手間を軽減する方法(1) ~証明書の数を減らす~ • マルチドメイン 異なるドメイン名を含む FQDN を証明書の SAN (Subject Alternative Name) の領域に登録することが可能な証明書 www.acme.com site.acme.jp meeting.acme2022.jp • ワイルドカード ドメイン名(下線部)が同じサーバーで共用可能な証明書 www.acme.com *.acme.com smtp.acme.com ftp.acme.com

Slide 11

Slide 11 text

管理の手間を軽減する方法(2) ~Certbot~ • TLS 証明書を発行するツール(CA 側の対応必要) • ACME プロトコル • 定期的な自動実行で証明書更新を自動化 Certbot利用で 2~5が不要になる 可能性あります!

Slide 12

Slide 12 text

管理の手間を軽減する方法(3) ~Let’s Encrypt~ • Internet Security Research Group (ISRG) が提供する認証局 • 有効期間90日の証明書を無償で発行 • 証明書タイプはDVのみ • マルチドメイン/ワイルドカードにも対応 • Certbot 対応(HCL Domino V12 含む) Let’s Encrypt利用で 1~5が不要になる 可能性あります!

Slide 13

Slide 13 text

証明書管理の自動化に ついて Let’s Encrypt とか ACME とか

Slide 14

Slide 14 text

Let’s Encrypt • 全ての Web サイトを暗号化することを目指したプロジェクト • TLS証明書を発行可能な認証局のひとつ • 米国の ISRG が運営する非営利団体 • スポンサー企業によって支えられている

Slide 15

Slide 15 text

ACME (Automated Certificate Management Environment) • X.509証明書のドメイン検証、インストール、および管理を自 動化するための標準プロトコル (IETF RFC 8555) • 証明書の自動取得/自動更新のためのプロトコル ACME プロトコルに対応した認証局は Let’s Encrypt 以外に ZeroSSL 等あります

Slide 16

Slide 16 text

チャレンジ • ドメイン名が要求者の制御下にあることを検証する仕組み • チャレンジの種類 • HTTP-01 • DNS-01 • TLS-ALPN-01 Let’s Encrypt は HTTP-01, DNS-01 をサポート

Slide 17

Slide 17 text

チャレンジの特徴 HTTP-01 • CA は HTTP で Web サー バーへアクセスして検証 • FQDN 証明書のみ DNS-01 • CA はホスト名を管理する DNS へアクセスして検証 • ワイルドカード証明書を取得 可能 • 自動化にはDNS プロバイダか らの自動アップデート可能な API 提供が必要

Slide 18

Slide 18 text

証明書のタイプ 価格は表の下へ行くほど高額 組織の実在性確認が DV は不要だが OV, EV は必要 Let’s Encrypt は DV のみサポート 略称 法的実体の確認 DV Domain Varidation なし OV Organization Validation あり EV Extend Validation あり(厳密)

Slide 19

Slide 19 text

Certbot • ACME プロトコルとDNSプロバイダ間のやりとりを仲介するソ フトウェア • Dominoでは Certbot の役割を CertMgr タスクが担う

Slide 20

Slide 20 text

Dominoの証明書管理の 昔と今

Slide 21

Slide 21 text

Certificate Requests は非サポートに https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0075066

Slide 22

Slide 22 text

OpenSSL + KYRTool • OpenSSL • 鍵作成、CSR発行、証明書の内容確認のためのツール • 別途インストール必要 • KYRTool • キーリングファイルの作成や各種証明書の格納のためのツール • HCL Domino V11 以降はプログラムディレクトリに存在 • どちらもコマンド操作が前提 • 証明書をファイルで扱うため一括管理しづらい

Slide 23

Slide 23 text

証明書ストア + CertMgr タスク • 証明書ストア • TLS証明書と関連文書を保管・管理 • TLS証明書のホスト名や認証期限、SANなどを一覧表示 • CertMgr タスク • 証明書ストアの作成 • 証明書のステータス変更 • 証明書の自動発行

Slide 24

Slide 24 text

証明書の格納場所 キーリングファイル keyring.kyr V11 以前 TLS証明書文書 証明書ストア (CertStore.nsf) キーリングファイル keyring.kyr V12 以降 and / or

Slide 25

Slide 25 text

格納場所の指定(サーバー文書) キーリングファイル使用 証明書ストア使用

Slide 26

Slide 26 text

証明書の操作 コマンド OpenSSL + KYRTool V11 以前 GUI CertStore.nsf + CertMgr コマンド OpenSSL + KYRTool V12 以降 and / or

Slide 27

Slide 27 text

証明書の発行/更新 手動 V11 以前 自動 手動 V12 以降 and / or

Slide 28

Slide 28 text

証明書の移行 連携するアプリケーションの対応は? 既存証明書はインポート可能? 自動化可能?

Slide 29

Slide 29 text

移行できない証明書 • キーリングファイルや .pem や .p12 のファイルを要求するアプリ ケーションを使用している • HCL Sametime • PROTON タスク(AppDev Pack) ※ただし、Domino 12.0.1 では、証明書ストアからの証明書のエクス ポート機能あり。証明書ストアでTLS証明書の作成時にエクスポート 可能なキーを作成しておけば、後からエクスポートして使用すること が可能

Slide 30

Slide 30 text

移行が必要なケース • X.509 証明書ベースのクライアント認証が失敗する場合 Domino V12 で X.509 証明書ベースのクライアント認証が失敗する場合がある https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0093367

Slide 31

Slide 31 text

キーリングファイルとの共存は可能 • キーリングファイルも継続利用が可能 • 複数の証明書の一部をこれまでのキーリングファイル、残りを 証明書ストアへ移行、といった併用も可能

Slide 32

Slide 32 text

既存証明書の移行 • 証明書ストアへの既存証明書のインポート

Slide 33

Slide 33 text

インポート後も”手動”で管理可能 “手動”とは言え インポート後は OpenSSLとKYRTool を 使用しません

Slide 34

Slide 34 text

自動化にあたり確認検討すること • 必要な証明書のタイプ DV(ドメイン認証)、OV(組織認証)、EV • CA(認証局) ACMEプロトコル対応状況 発行可能な証明書タイプ ※Let’s EncryptはDVのみサポート • ワイルドカード証明書の要否 DNS-01チャレンジのみ対応 • DNSプロバイダ 自動化対応 ※DNS-01チャレンジに必要

Slide 35

Slide 35 text

ACME「チャレンジ」の使い分け • HTTP-01 チャレンジ 証明書のホスト名を持つ Domino サーバーが既存 社外から HTTP で Domino サーバーへアクセス可能 • DNS-01 チャレンジ 存在しない Domino サーバーの証明書を取得したい CA から Domino サーバーへアクセス不可 ワイルドカード証明書を取得したい

Slide 36

Slide 36 text

まとめ

Slide 37

Slide 37 text

V12 証明書管理のメリット • 証明書を「TLS 証明書」文書に保管する • 証明書の配布が容易(同一 Domino ドメイン内で複製可能) • 証明書更新時に HTTP タスクの再起動が不要になる • 証明書一覧があり、ホスト名や期限の順に並び替え可能 • 認証局を Let’s Encrypt へ切り替える • 証明書の発行/更新にかかる費用がかからない • ワイルドカード証明書、マルチドメイン証明書の利用も可能 • 証明書の期限管理が不要 • 秘密鍵や CSR 作成のためのコマンド操作が不要 • 認証局とのやり取りの自動化

Slide 38

Slide 38 text

【参考】TLS 証明書の一覧

Slide 39

Slide 39 text

V12 証明書管理機能まとめ • TLS 証明書を文書内で保管、一覧表示可能 • Let’s Encrypt を標準サポート(自動化) • 証明書ごとに自動 or 手動を選択可能 • キーリングファイルや .pem ファイル等をインポート可能 • 証明書ストアは同一 Domino ドメイン内で複製可能 • HTTP タスクは証明書更新後の再起動が不要

Slide 40

Slide 40 text

スライドの終わり