タグ: 暗号化

カテゴリー
2021年 AWS Azure SaaS クラウド コンピューター サーバレス 技術一般 証明書

オンラインで簡単に証明書を発行する方法


にほんブログ村

アプリケーションのテストを行う時、サーバ証明書が必要になることがあると思います。私の場合ですと、インターネット上のアプリケーション(SaaS)の代理証明書が欲しいケースが多いです。

CA 局を持っていれば、そのサーバーで、証明書の発行もサインもしてしまえば良いのですが、たまにしか使わない証明書発行のために、わざわざ CA 局のサーバーを構築するのも手間です。

そんな時に、オンラインで発行してくれるサイトを見つけました。CertificateTool.com というサイトです。

必要となる各種証明書を発行できます。

もちろん、暗号化のビット数も選べます。

証明書の中に含める属性だって、自由に追加・削除可能です。

Subject Alternative Names (SAN) を追加してみました。

Certificate Signing Request (SCR) もでき、その際のハッシュのアルゴリズムも選べます。

SCR なのか、自己署名なのかの選択も可能です。

今回は、SHA256のハッシュで、自己署名、期間は1年で作成してみます。

Submit ボタンを押せば完了です。

できました。非常にお手軽です。ダウンロードの画面に移動するので、そこから必要となる証明書をダウンロードできるようになります。

プライベートキーはテキストベースで入手も可能です。

証明書も、テキストベース、PEM などのファイル形式でも入手可能です。以下の形式をサポートしてます。

  • PEM Certificate
  • PKCS#12 Certificate and Key
  • PKCS#7 Certificate(s)

CSR もできるから、ここで発行した証明書を、自社のCA局でサインして使うことだってできちゃいます。

Office 365 のような SaaS サービスで使用されているサーバー証明書が欲しい場合、代理証明書としてのサーバー証明書を作成します。要は、実際に Office 365 で使用されている証明書と同じ内容のサーバ証明書を自分で作成し、自分のCA局でサインするのです。

代理証明書を作成する上で必要な情報は、「CN」や「SAN」になります。Microsoft がウェブ上で公開している情報もありますが、実際に Office 365 にアクセスし、通信の中で飛んでくる証明書をパケットから抜き出して内容を確認することが一番確実です。

具体的には、Outlook を使って Exchange Online に通信し、その時のパケットキャプチャーを取得することです。

実際の手順を紹介していますので、こちらをご参照ください。

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 認定資格

AWS を学ぶ(19)AWS の暗号化サービス

KMS と CloudHSM

機密性の高いデータを扱う際には、暗号化が必要となります。まず、鍵管理サービスです。AWS の鍵管理サービスは 2 種類あります。

  • KMS: Key Management Service
  • CloudHSM: Cloud Hardware Security Module

KMS は、AWS が管理するマネージドサービスです。

CloudHSM は、AWS 内に専用のハードウェアを用意し、これを利用して鍵管理するサービスです。

この2つのサービスの違いは、信頼の起点(Roots of Trust)です。ユーザー自身なのか、AWS に任せるのか、です。

KMS

KMS には、以下の 3 つの API が用意されています。

  • Encrypt: ユーザーデータ暗号化のための API で、4KB までの平文データをサポート
  • Decrypt: ユーザーデータ復号化のための API
  • GenerateDataKey: ユーザーデータの暗号化に利用するカスタマーデータキーを生成
マスターキーとデータキー

KMS では、2 つの鍵を管理しています。

  • マスターキー: Customer Master Key (CMK)
  • データキー: Customer Data Key (CDK)

CMK は、データキー (CDK) を暗号化するために使用される鍵です。ユーザーデータの暗号化には使用されません。

CDK は、ユーザーデータを暗号化するために使用される鍵です。通常は AWS で暗号化されて保存されいますので、ユーザーデータの暗号化や復号化を行う度に、CDK を復号化して使用します。

つまり、CDK でユーザーデータを暗号化し、CMK を使って、 CDK をさらに暗号化します。この手法は、エンベロープ暗号化と呼ばれています。

CloudHSM

CloudHSM は、専用のハードウェアを使用する為、初期コストも月次の固定費も必要となります。大規模なシステム向けや、特定の規制、法令に準拠したい場合に使用されます。

CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理できます。

上記の様に、CMK とCDK があり、2 段階の鍵構造になっています。この理由は、セキュリティーの向上のためです。

データキーは、S3、EBS、Redshift など、暗号化の対象ごとに作成します。これにより、万が一、鍵の漏洩があった際にも、そのリスク範囲を限定することができます。

そして、データキーをマスターキーで暗号化することにより、実際の運用で使用する機会の多いデータを保護します。マスターキーを集中管理することにより、全体としてのセキュリティーを高めています

クライアントサイドとサーバーサイドの暗号化

暗号化は、クライアントサイドで行うのか、サーバーサイドで行うのかも、常用なポイントとなります。

クライアントサイドの暗号化

クライアントサイドの暗号化は、ユーザー側の処理で行います。AWS が提供するSDKを利用するケースが多いです。EC2やLambdaなどでプログラムで暗号化して、S3などにアップロードするというケースも、クライアントサイドの暗号化となります。

クライアントサイドの暗号化の利点は、暗号化れたデータが転送されますので、経路が暗号化されていなくても、ユーザーデータを保護できるという点です。

クライアント側暗号化には、AES 256 ビットが使用できます。

クライアント側のマスターキーと暗号化されていないデータが AWS に送信されることありません。暗号化キーを安全に管理することが重要です。キーを紛失した場合、データを復号することはできません。

AWS オフィシャルサイト

サーバサイドの暗号化

サーバーサイドの暗号化は、AWS内で行います。サーバーサイドの暗号化は限定されていて、S3などの一部のサービスのみで提供されています。

サーバー側の暗号化は、保管時のデータ暗号化に関するものです。  S3 は、ディスクに書き込まれるときにデータをオブジェクトレベルで暗号化し、ユーザーがデータにアクセスする時に復号します。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)