Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

PKI の概要

Junos OS の PKI と PKI 要素について学習し、PKI の利点を理解します。

PKI の概要

PKI は、デジタル証明書を使用してリモート サイトの ID を検証する方法を提供します。PKI は、CA を使用して情報を検証し、デジタル署名します。このプロセスにより、情報も署名も変更できなくなります。情報に署名すると、その情報はデジタル証明書になります。デジタル証明書を受け取るデバイスは、公開鍵暗号で署名を検証して、証明書の情報を検証します。

PKI は、デジタル証明書を管理するための以下のコンポーネントで構成されています。

  • RA: エンティティの ID を検証し、証明書要求を承認し、一意の非対称キーペアを生成します (ユーザーの証明書要求に既に公開キーが含まれている場合を除く)。

  • CA: 要求元のエンティティに対応するデジタル証明書を発行します。

  • CRL: 有効でなくなった証明書を識別します。CA の真正な公開鍵を所有する各エンティティは、発行された証明書を検証できます。

PKI のしくみ

PKIは、公開暗号鍵の配布と識別をサポートしており、ユーザーがインターネットなどのネットワークを介して安全にデータを交換したり、相手の身元を確認したりすることの両方を可能にします。

図 1 は、公開鍵と秘密鍵を使用して 2 人のユーザー間で認証が行われる様子を示しています。

図1:公開鍵基盤

Digital certificate issuance and verification process in PKI. Sender requests certificate; RA verifies request; CA issues Certificate Public Key; sender signs data; recipient verifies signature using Certificate Public Key.
表 1:PKI コンポーネント

PKIの主要コンポーネント

形容

CA

デジタル証明書の作成、登録、検証、および取り消しを行う、信頼できる第三者機関。CA は、ユーザーの ID を保証し、メッセージの暗号化と復号化のために公開キーと秘密キーを発行します。

登録認証機関(RA)

エンティティの ID を検証し、証明書要求を承認し、ユーザーの証明書要求に既に公開キーが含まれていない限り、一意の非対称キー ペアを生成します。

デジタル証明書

VPN ゲートウェイなどのエンティティに関する情報を含む電子ドキュメント。CA は、デジタル証明書に署名して、その信頼性と整合性を確保します。

公開鍵と秘密鍵

公開鍵暗号方式で使用され、同時に生成され、数学的にリンクされた鍵のペア。公開鍵は暗号化に使用され、秘密鍵は復号化に使用されます。これらのキーは、

IKE と PKI

IKE フェーズ 1 のセットアップ中に、証明書は IP アドレス、FQDN、ユーザー FQDN(U-FQDN)、または DN でピアを識別できます。CA は、IKE ID を証明書の SubjectAlternativeName フィールドに追加します。

証明書LCM

次のようなフェーズが含まれます。

  • 公開鍵と秘密鍵の生成

  • ID 情報

  • 登録 (要求と取得)

  • IKE内での使用

  • 証明書の検証と失効の確認

  • 証明書の更新

PKI の利点

  • セキュリティの強化:PKI は、対称暗号化よりも安全な非対称暗号化を使用して、堅牢なセキュリティを提供します。公開鍵と秘密鍵を使用することで、公開鍵で暗号化されたデータは、対応する秘密鍵でのみ復号化できます。
  • 信頼階層:PKI は、CA、RA、および証明書リポジトリを使用して信頼階層を確立します。この階層により、ネットワーク内のすべてのエンティティが、証明書とそれを発行した CA に基づいて相互に信頼できるようになります。
  • データの整合性:PKI によって発行されるデジタル証明書は、送信者とデータ自体の信頼性を検証する方法を提供することで、データの整合性を確保します。この真正性検証により、送信中のデータの改ざんや改ざんを防止します。
  • 拡張性:PKI はスケーラブルで、複数のエンティティを持つ大規模なネットワークで使用できます。X.509や公開鍵暗号標準(PKCS)などのさまざまな標準をサポートしているため、汎用性が高く、さまざまなネットワーク構成に適応できます。
  • 管理の容易さ:PKI の設定にはいくつかの初期設定が必要ですが、デジタル証明書とキーの管理が簡素化されます。これにより、ネットワーク全体の安全な接続の管理と維持が容易になります。

PKI の用語

表 2: 用語
用語の説明
PKI セキュアな暗号化通信とデジタル署名サービスを実現するフレームワーク。
CA デジタル証明書を発行するエンティティー。
デジタル証明書 真正性を検証するために CA が発行するデジタル形式の ID です。
CRLの 有効期限が切れる前に CA によって取り消された証明書のリスト。
在籍 CA からデジタル証明書を要求し、受け取るプロセス。
キーペア 暗号化と復号化に使用される暗号化キー(公開キーと秘密キー)のペア。
ルート証明書 ルート CA によって発行された、証明書チェーンの最上位の証明書。
自己署名証明書 信頼できる CA が作成したのではなく、作成したシステムによって署名された証明書。
秘密キー 非対称暗号化で使用されるキーペアの秘密部分。
公開鍵 非対称暗号化で使用されるキーペアの非シークレット部分。
デジタル署名 デジタル メッセージまたはドキュメントの信憑性を検証するための数学的スキーム。
証明書チェーン 各証明書が後続の CA によって署名される一連の証明書。