証明書とキー
TLS 証明書とキーは、Multicloud Defense Gateway によってプロキシシナリオで使用されます。入力(リバースプロキシ)の場合、ユーザーは Multicloud Defense Gateway を介してアプリケーションにアクセスし、サービス用に設定された証明書を提示します。出力(転送プロキシ)の場合、外部ホストの証明書が定義された証明書によって偽装され、署名されます。ゲートウェイインスタンスは、それ自体が認証局として動作する必要があります。これは、クライアントが接続を開始している外部 Web サイト用にローカルで生成された偽装証明書に署名するために、関連付けられた秘密キーを持つ独自の自己署名証明書が必要であることを意味します。偽装サーバー証明書は、実際の外部サーバーの証明書に似ており、クライアントが固有の Web サイトに接続するために TLS Hello 要求を発行するときに、継続的に生成されます。
証明書本文は Multicloud Defense Controller にインポートされます。秘密キーは、次の方法で提供できます。
-
秘密キーのコンテンツをインポートします。
-
AWS シークレットマネージャに保存し、シークレット名を指定します。
-
AWS KMS に保存し、暗号テキストのコンテンツを提供します。
-
GCP シークレットマネージャに保存し、シークレット名を指定します。
-
Azure Key Vault とシークレットに保存し、Key Vault とシークレットの名前を指定します。
テスト用に Multicloud Defense Controllerで自己署名証明書を生成することもできます。これは、ローカル ファイル システムから秘密キーのコンテンツをインポートする場合と同様です。
![]() (注) |
証明書を作成した後で編集することはできません 。既存の証明書を置き換える必要がある場合は、新しい証明書を作成し、新しい証明書を参照するように復号プロファイルを編集してから、古い証明書を削除する必要があります。 証明書と秘密キーをインポートするときに、Multicloud Defense Controller/UI は不一致があるかどうかを検出できます。ただし、他のインポートメソッドを使用する場合に、秘密キーがクラウド サービス プロバイダー内に保存されていると、Multicloud Defense Controller/UI は不一致があるかどうかを検出できません。これは、秘密キーの秘密が維持され、クラウド サービス プロバイダー内にとどまることを保証する設計によるものです。Multicloud Defense Gateway が秘密キーを必要とする場合は、アクセスして使用します。また、不一致がある場合はエラーが生成されます。 |
証明書のインポート
手順
|
ステップ 1 |
に移動します。 |
|
ステップ 2 |
[作成(Create)] をクリックします。 |
|
ステップ 3 |
[方法(Method)] のプロンプトが表示されたら、[証明書と秘密キーのインポート(Import your Certificate and Private Key)] を選択します。 |
|
ステップ 4 |
[証明書本文(Certificate Body)] に証明書ファイルの内容をコピーします。これには、証明書とチェーンを含めることができます。 |
|
ステップ 5 |
[証明書の秘密キー(Certificate Private Key)] に秘密キーの内容をコピーします。 |
|
ステップ 6 |
(任意)証明書とチェーンが異なるファイルにある場合は、[証明書チェーン(Certificate Chain)] にチェーンをインポートします。 |
|
ステップ 7 |
[保存(Save)] をクリックします。 |
AWS:KMS
手順
|
ステップ 1 |
に移動します。 |
|
ステップ 2 |
[作成(Create)] をクリックします。 |
|
ステップ 3 |
[メソッド(Method)] で、[AWS - KMSのインポート(Import AWS - KMS)] を選択します。 |
|
ステップ 4 |
クラウドアカウントおよびリージョンを選択します。 |
|
ステップ 5 |
[証明書本文(Certificate Body)] に証明書ファイルの内容をコピーします。これには、証明書とチェーンを含めることができます。 |
|
ステップ 6 |
[Private Key Cipher Text] に AWS KMS で暗号化された暗号テキストをコピーします。AWS KMS で暗号化された暗号テキストを生成するには、「AWS KMS - 暗号化された秘密キー」を参照してください 。 |
|
ステップ 7 |
[保存(Save)] をクリックします。 |
AWS KMS - 暗号化された秘密キー
次のコマンドを活用して、ローカルファイル privatekey.pem に保存されている秘密キーを暗号化します。
aws kms encrypt --key-id 12345678-1234-1234-1234-12345678900 \
--plaintext fileb://privatekey.pem \
--output text --query CiphertextBlob > encrypted-cipher-text.txt
encrypted-cipher-text.txt のコンテンツをコピーし、Multicloud Defense Controller AWS - KMS オプションを使用する際に、秘密キーのコンテンツとして指定します。
詳細については、「AWS KMS 暗号化のヘルプ」を参照してください。
AWS:Secrets Manager
手順
|
ステップ 1 |
に移動します。 |
|
ステップ 2 |
[作成(Create)] をクリックします。 |
|
ステップ 3 |
[メソッド(Method)] で、[AWS - シークレットのインポート(Import AWS - Secret)] を選択します。 |
|
ステップ 4 |
クラウドアカウントおよびリージョンを選択します。 |
|
ステップ 5 |
[証明書本文(Certificate Body)] に証明書ファイルの内容をコピーします。これには、証明書とチェーンを含めることができます。 |
|
ステップ 6 |
秘密キーが保存されているシークレット名を入力します。秘密キーの内容は、AWS Secrets Manager で [その他のタイプのシークレット(Other type of Secrets)]、[プレーンテキスト(Plain Text)] として保存する必要があります。 |
|
ステップ 7 |
[保存(Save)] をクリックします。 |
Azure Key Vault
手順
|
ステップ 1 |
に移動します。 |
|
ステップ 2 |
[作成(Create)] をクリックします。 |
|
ステップ 3 |
[Method] で、[Import Azure - Key Vault Secret] を選択します。 |
|
ステップ 4 |
クラウドアカウントおよびリージョンを選択します。 |
|
ステップ 5 |
[証明書本文(Certificate Body)] に証明書ファイルの内容をコピーします。これには、証明書とチェーンを含めることができます。 |
|
ステップ 6 |
秘密キーが保存されている Key Vault 名とシークレット名を入力します。 |
|
ステップ 7 |
[保存(Save)] をクリックします。 |
GCP:Secret Manager
手順
|
ステップ 1 |
に移動します。 |
|
ステップ 2 |
[Create] をクリックします。 |
|
ステップ 3 |
[Method] で、[Import GCP - Secret] を選択します。 |
|
ステップ 4 |
クラウドアカウントを選択します。 |
|
ステップ 5 |
シークレット名(フルパス)とシークレットのバージョンを入力します。 |
|
ステップ 6 |
[証明書本文(Certificate Body)] に証明書ファイルの内容をコピーします。これには、証明書とチェーンを含めることができます。 |
|
ステップ 7 |
[保存(Save)] をクリックします。 |

フィードバック