セキュリティの基本
保管中のデータ
X8.11 以降、すべてのソフトウェア インストールには一意の信頼できるルートが使用されるようになっています。それぞれの Expressway システムには、そのシステムにローカルなデータを暗号化するために使用される一意のキーがあります。これにより、保管中のデータのセキュリティが次のように強化されます。
-
X8.11 より前のバージョンを X8.11 以降にアップグレードすると、新しいキーが作成されます。最初の再起動時に、このキーを使用してすべてのデータが暗号化されます。
-
このシステムから取得したデータを復号できるのは、このキーのみです。ほかの Expressway キーでは、このシステムのデータを復号することはできません。
-
キーは UI 上で公開される事も、ローカルでもリモートでもログは記録されません。
TLS および証明書
クライアントとサーバ間の接続で TLS 暗号化を正常に機能させるためには以下が必要です。
-
サーバには、アイデンティティを検証する認証局(CA)によって署名された証明書がインストールされている必要があります。
-
クライアントはサーバが使用する証明書に署名した CA を信頼する必要があります。
Expressway では、TLS 接続で、クライアントまたはサーバとして Expressway を表すことができる証明書をインストールすることができます。Expressway は、HTTPS 経由のクライアント接続(通常は Web ブラウザから)を認証することもできます。また、LDAP サーバおよび HTTPS クライアント証明書の検証に使用される CA の証明書失効リスト(CRL)をアップロードすることができます。Expressway は、サーバ証明書署名要求(CSR)を生成することができます。そのため、これを行う外部メカニズムを使用する必要はありません。
(注) |
セキュアな通信(HTTPS および SIP/TLS)のために、Expressway のデフォルトの証明書を、信頼できる CA が生成した証明書に置き換えることを推奨します。 |
接続先 |
Expressway の役割 |
---|---|
エンドポイント |
TLS サーバ |
LDAP サーバ |
クライアント |
2 つの Expressway システム間 |
どちらかの Expressway がクライアントになる可能性があります。もう一方の Expressway は TLS サーバです。 |
HTTPS 経由 |
Web ブラウザはクライアントです。Expressway はサーバです。 |
(注) |
また、TLS 用に LDAP サーバが正しく設定されていることを検証するためにサードパーティの LDAP ブラウザを使用することが推奨されます。 |
TLS は設定が難しい場合があります。たとえば、LDAP サーバで使用する場合は、TLS との接続を保護する前に、システムが TCP 上で正しく動作することを確認することをお勧めします。
注意 |
証明書は RFC に準拠している必要があります。CA 証明書または CRL の期限は、CA によって署名された証明書が拒否される可能性があるため許可されません。 |
証明書および CRL ファイルは、Web インターフェイスを介して管理され、CLI を使用してインストールすることはできません。