SSL証明書

SUSE Managerでは、SSL証明書を使用して、クライアントが正しいサーバに登録されていることを確認します。

SSLを使用してSUSE Managerサーバに登録するすべてのクライアントは、サーバ証明書に対して検証することにより、適切なサーバに接続していることを確認します。 このプロセスはSSLハンドシェークと呼ばれます。

SSLハンドシェーク中に、クライアントはサーバ証明書のホスト名が予期しているホスト名と一致することを確認します。 クライアントは、サーバ証明書が信頼できるかどうかも確認する必要があります。

認証局(CA)は、他の証明書に署名するために使用される証明書です。 証明書が有効であるとみなされ、クライアントが証明書と正常に照合できるようにするには、すべての証明書が認証局(CA)によって署名されている必要があります。

SSL認証が正しく機能するためには、クライアントがルートCAを信頼する必要があります。 これは、ルートCAがすべてのクライアントにインストールされる必要があることを意味します。

SSL認証のデフォルトの方法は、SUSE Managerで自己署名証明書を使用することです。 この場合、SUSE Managerはすべての証明書を生成し、ルートCAはサーバ証明書に直接署名しています。

別の方法は、中間CAを使用する方法です。 この場合、ルートCAは中間CAに署名します。 中間CAは任意の数の他の中間CAに署名することができ、最後のCAはサーバ証明書に署名します。 これはチェーン証明書と呼ばれます。

チェーン証明書で中間CAを使用している場合は、ルートCAがクライアントにインストールされ、サーバ証明書がサーバにインストールされます。 SSLハンドシェーク中に、クライアントはルートCAとサーバ証明書の間の中間証明書のチェーン全体を検証できる必要があります。そのため、クライアントはすべての中間証明書にアクセスできる必要があります。

これを実現するには、主に2つの方法があります。 以前のバージョンのSUSE Managerでは、デフォルトですべての中間CAがクライアントにインストールされます。 ただし、サーバ上でサービスを設定してクライアントに提供することも可能です。 この場合、SSLハンドシェーク中に、サーバはサーバ証明書とすべての中間CAを提示します。 このメカニズムは現在、新しいデフォルト設定として使用されています。

デフォルトでは、SUSE Managerは中間CAなしの自己署名証明書を使用します。 セキュリティを強化するために、サードパーティのCAを手配して証明書に署名できます。 サードパーティのCAは、証明書に含まれる情報が正しいことを確認するためにチェックを実行します。 通常、このサービスには年会費がかかります。 サードパーティのCAを使用すると、証明書のスプーフィングが難しくなり、インストールに対する保護が強化されます。 サードパーティのCAによって署名された証明書がある場合は、SUSE Managerのインストール環境にインポートできます。

このマニュアルでは、SSL証明書の使用について2つのステップで説明します。

  1. SUSE Managerツールを使用して自己署名証明書を作成する方法

  2. SUSE Managerサーバまたはプロキシに証明書を配備する方法

証明書が独自のPKIや外部PKIなどのサードパーティのインスタンスによって提供されている場合は、ステップ1をスキップできます。