Application Delivery Management

SSL証明書の管理

機密情報または機密情報の処理を必要とする組織または個々の Web サイトには、SSL 証明書が必要です。Web サーバー上の SSL 証明書は、接続しているクライアントに対する Web サーバーの信頼性を保証するのに役立ちます。これは、ウェブサイトのアイデンティティを認証するだけでなく、セッション全体の暗号化のために後で使用されるセッションキーを生成するのに役立ちます。

SSL トランザクションの一部であるセキュアソケットレイヤー (SSL) 証明書は、企業 (ドメイン) または個人を識別するデジタルデータフォーム (X509) です。この証明書には、サーバーとの安全なトランザクションを開始しようとするすべてのクライアントが確認できる公開キーコンポーネントが含まれます。対応する秘密キーは、Citrix Application Delivery Controller(ADC)アプライアンスに安全に配置され、非対称キー(または公開キー)の暗号化と復号化を完了するために使用されます。

NetScaler Application Delivery Management(ADM)は、SSL証明書のインストール、更新、削除、リンク、ダウンロードを自動化するための統合コンソールを提供します。これは、ウェブサイトや顧客の信頼の評判を維持するのに役立ちます。NetScaler ADM では、証明書管理のあらゆる側面が合理化されるようになりました。統合コンソールを使用して、組織の IT ポリシーに従って、推奨される発行者、キー強度、プロトコル、およびアルゴリズムを確実にするための自動化されたポリシーを構成できます。そうすることで、未使用の証明書や有効期限が近い証明書について監視し続けることができます。

SSL証明書およびキーは、次のいずれかの方法で入手できます。

  • Verisign などの承認された認証局 (CA) から

  • NetScalerアプライアンス上で新しいSSL証明書とキーを生成する

エンタープライズ SSL ポリシー設定

すべての企業には独自の SSL ポリシーがあり、すべての SSL 証明書が遵守する必要がある要件を定義します。セキュリティは、すべての企業ユーザーにとって常に最優先事項の1つであり、したがって、SSL設定は重要な役割を果たしています。

たとえば、ABC Company では、すべての証明書の最小キー強度が 2,048 ビット以上であることが義務付けられています。証明書は、信頼された CA または発行者によって承認されている必要があります。管理者は、証明書が会社のポリシーに準拠していることを確認するために、このようなすべての SSL パラメータをチェックする必要があります。各証明書を手動で検証するのは面倒な作業です。このシナリオを克服するために、NetScaler ADMはエンタープライズSSLポリシー設定を構成し、「推奨しない」タグが付いた非準拠証明書を表示します。

SSL ダッシュボードで、非対応 (非推奨) 証明書の概要を表示できます。

SSL ポリシー設定

「推奨しない」証明書は、さまざまなパラメータに基づいて分類され、関連するコンポーネントで表示できます。

NetScaler ADM証明書の仕組み

SSLダッシュボードでは、異なるNetScaler ADCインスタンスにインストールされているすべてのSSL証明書が視覚的に表示されます。SSLダッシュボードには、NetScaler ADCインスタンスにインストールされている各証明書について、次の情報が表示されます。これは、以下に基づいて分類されます。

  • 自己署名対CA署名付き。自己署名と CA 署名付きのセクションでは、証明書を自己署名証明書と CA 署名証明書に分離できます。

  • 署名アルゴリズム。このセクションでは、暗号化に使用される署名アルゴリズムに基づいて SSL 証明書を分離します。

  • 使用法。このセクションでは、使用済み証明書と未使用の証明書に基づいて SSL 証明書を分離します。未使用の証明書は、仮想サーバーにバインドされない可能性があるため、特別な注意が必要です。

  • 発行者。このセクションでは、証明書の発行者に基づいて SSL 証明書を分離します。

  • [キーの強度]。このセクションでは、秘密キーのキー強度に基づいて SSL 証明書を分離します。

  • 上位 10 インスタンス。このセクションでは、インストールされているSSL証明書の数に基づいて、上位10個のNetScaler ADCインスタンスの詳細について説明します。

SSL ダッシュボード

SSL 証明書管理のユースケース

次のユースケースでは、SSL証明書を使用して複数のNetScaler ADCインスタンス間で証明書を管理および監視する方法について説明します。

SSL 証明書をインストールする

たとえば、複数のNetScaler ADCインスタンスがあり、その上に必要なSSL証明書を展開する必要があります。NetScaler ADMは、複数のNetScaler ADCインスタンスにSSL証明書を1回の試行で展開するための統合コンソールを提供します。

たとえば、1つ以上のNetScaler ADCインスタンスにSSL証明書をインストールするとします。この方法では、各NetScaler ADCインスタンスへのSSL証明書のインストールの手動介入を最小限に抑えることができます。1つ以上のNetScaler ADCインスタンス間でSSL証明書の一括インストールを実行できます。

SSL証明書の概要を取得するには、 NetScaler ADMにログオンし、[ インフラストラクチャ] > [SSL ダッシュボード] の順に移動します。

証明書の有効期限の通知設定

このユースケースでは、複数のNetScaler ADCインスタンスに複数の証明書が存在する可能性があり、各証明書の有効期限を追跡するオーバーヘッドになります。各証明書を手動で追跡し、有効期限が切れる前に更新するのは面倒な作業です。このようなシナリオを回避するには、構成済みの電子メール、ポケットベル、Slack、またはServiceNowプロファイルに通知またはアラートを送信するようにNetScaler ADMを構成できます。この方法では、証明書の有効期限を遅らし、有効期限の前に証明書を更新することができます。

たとえば、有効期限が近づいている証明書を追跡するのを忘れることがあります。また、証明書の有効期限が切れると、サービスの停止が発生するため、多くのアプリケーションがユーザーに影響を及ぼす可能性があります。ADM 証明書の有効期限通知設定を使用すると、このような予期しないシナリオを回避できます。

SSL ダッシュボードで概要を表示し、有効期限が近づいている証明書を追跡できます

任意の期間で期限切れになる証明書のレポートを表示するには、タイルをクリックすると、そのウィンドウで期限切れになる証明書の詳細を確認できます。

SSL 証明書の有効期限

証明書の更新

これで、NetScaler ADMから証明書を更新できます。既存の証明書を更新するか、次の内容に基づいて証明書を作成できます。

既存の証明書を更新する

このユースケースでは、認証局 (CA) から更新された証明書を受け取ったら、既存の証明書を更新する必要があります。NetScaler ADCインスタンスにログインすることなく、NetScaler ADMから既存の証明書を更新できるようになりました。

たとえば、既存の証明書にいくつかの変更や変更がある可能性があります。CA は、更新された証明書を発行します。NetScaler ADCアプライアンスに移動する代わりに、NetScaler ADMからSSL証明書を更新できるようになりました。

証明書を更新するには、NetScaler ADM にログオンし、[ インフラストラクチャ] > [SSL ダッシュボード] に移動します。

更新する証明書を選択し、[ 更新] をクリックします。

NetScaler ADMから選択した証明書の関連フィールドを更新するオプションがあります。

SSL 証明書の更新ページ

証明書署名要求の作成

SSL 証明書の 1 つが組織のポリシーに準拠していないユースケースを想像してください。証明機関から新しい証明書を取得したい。NetScaler ADMから証明書署名要求(CSR)を生成できるようになりました。CSR と公開鍵を CA に送信して SSL 証明書を取得できます。

CSR を決定して作成するには、目的の証明書を選択し、[ Create CSR] をクリックします。

公開キーまたは秘密キーの値ペアが必要です。キーをアップロードするには、[ Choose File ] をクリックし、リストから選択します。キーを作成するには、[ キーがありません] オプションを選択し、 関連するパラメータを指定します。

キーペア CSR の作成

CSRを作成するには、共通名、組織名、都市、国、州、組織単位、電子メール ID など、選択したキーの詳細を指定します。

CSRキーの詳細

SSL証明書のリンクとリンク解除

複数の SSL 証明書を相互にバインドして、証明書バンドルを作成できます。証明書を別の証明書に関連付けるとき、1番目の証明書の発行者が2番目の証明書のドメインと一致しなければなりません。

証明書のリンクとリンク解除

監査ログ

監査ログは、NetScaler ADMによって生成されるテキストログファイルのコレクションです。NetScaler ADMを使用して特定のNetScaler ADCアプライアンスに追加、変更、および変更されたSSL証明書の履歴が表示されます。監査ログには、NetScaler ADCアプライアンスのIPアドレス、ステータス、開始時刻、および特定の操作の終了時刻も表示されます。

この例では、特定の証明書に対して一定の期間に行われた変更を確認することができます。また、デバイスログとコマンドログに証明書の変更履歴を表示するオプションがあります。

SSL証明書の情報を調べるには、 SSLダッシュボードで、「 監査ログ」をクリックします。アプリケーションの概要には、[開始時刻] と [終了時刻] の SSL 証明書ステータスが含まれます。

SSL 監査証跡

特定のSSL証明書のNetScaler ADCアプライアンスの情報を特定するには、該当する証明書のチェックボックスをオンにします。[ デバイスログ] をクリックします。

デバイスログの監査証跡

コマンドの種類とメッセージを表示するには、[ Command Log] をクリックします。

コマンドログの監査証跡

SSL証明書の管理