Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

PKI の概要

Junos OSのPKIとPKI要素について学習し、PKIのメリットを理解します。

PKIの概要

PKI は、デジタル証明書を使用してリモートサイトの ID を検証する方法を提供します。PKIは、CAを使用して情報を検証し、デジタル署名します。このプロセスにより、情報も署名も変更できなくなります。情報に署名すると、その情報はデジタル証明書になります。デジタル証明書を受信するデバイスは、公開鍵暗号で署名を検証することで証明書の情報を検証します。

PKI は、デジタル証明書を管理するための以下のコンポーネントで構成されています。

  • RA:エンティティのIDを検証し、証明書要求を承認し、一意の非対称キーペアを生成します(ユーザーの証明書要求にすでに公開鍵が含まれている場合を除く)。

  • CA: 要求元エンティティに対応するデジタル証明書を発行します。

  • CRL:無効になった証明書を特定します。CAの本物の公開キーを持つ各エンティティは、発行された証明書を検証できます。

PKIの仕組み

PKIは、公開暗号化鍵の配布と識別に対応しており、インターネットなどのネットワーク上で安全にデータを交換し、相手の身元を確認することができます。

図1は、公開鍵と秘密鍵を使用した2人のユーザー間で認証がどのように行われるかを示しています。

図1:公開カギ基盤

Digital certificate issuance and verification process in PKI. Sender requests certificate; RA verifies request; CA issues Certificate Public Key; sender signs data; recipient verifies signature using Certificate Public Key.
表1:PKIコンポーネント

PKI 主要コンポーネント

説明

CA

デジタル証明書の作成、登録、検証、失効を行う信頼できるサードパーティ組織。CA はユーザーの身元を保証し、メッセージの暗号化と復号化のための公開鍵と秘密鍵を発行します。

登録機関(RA)

エンティティのIDを検証し、証明書要求を承認し、ユーザーの証明書要求にすでに公開鍵が含まれていない限り、一意の非対称キーペアを生成します。

デジタル証明書

VPNゲートウェイなど、エンティティに関する情報を含む電子ドキュメント。CA はデジタル証明書に署名して、その信頼性と完全性を確認します。

公開鍵と秘密鍵

公開鍵暗号で使用される鍵のペアで、同時に生成され、数学的にリンクされます。公開キーは暗号化に使用され、秘密キーは復号化に使用されます。これらのキーは次のとおりです

IKE と PKI

IKEフェーズ1の設定中、証明書はIPアドレス、FQDN、ユーザーFQDN(U-FQDN)、またはDNによってピアを識別できます。CA によって、証明書の SubjectAlternativeName フィールドに IKE ID が追加されます。

証明書LCM

次のようなフェーズが含まれます。

  • 公開鍵と秘密鍵の生成

  • アイデンティティ情報

  • 登録(要求と取得)

  • IKE内での使用

  • 証明書の検証と失効チェック

  • 証明書の更新

PKIのメリット

  • セキュリティ の強化: PKI は、対称暗号よりも安全な非対称暗号を使用して、堅牢なセキュリティを提供します。公開鍵と秘密鍵を使用することで、公開鍵で暗号化されたデータは、対応する秘密鍵でのみ復号化できます。
  • 信頼階層:PKIは、CA、RA、証明書リポジトリを使用して信頼階層を確立します。この階層により、ネットワーク内のすべてのエンティティが、証明書と証明書を発行した CA に基づいて相互に信頼し合うことができます。
  • データの整合性:PKIによって発行されるデジタル証明書は、送信者とデータ自体の信頼性を検証する方法を提供することで、データの整合性を保証します。この真正性検証により、送信中のデータの改ざんや改ざんが防止されます。
  • 拡張性:PKI は拡張性があり、複数のエンティティを持つ大規模なネットワークで使用できます。X.509 や公開鍵暗号標準 (PKCS) などのさまざまな標準をサポートしているため、多用途でさまざまなネットワーク構成に適応できます。
  • 管理のしやすさ:PKI の設定にはある程度の初期設定が必要ですが、デジタル証明書とキーの管理が簡素化されます。これにより、ネットワーク全体のセキュアな接続の管理と維持が容易になります。

PKI の用語

表2:用語
用語 の説明
PKI セキュアで暗号化された通信とデジタル署名サービスを可能にするフレームワークです。
CA デジタル証明書を発行するエンティティ。
デジタル証明書 真正性を検証するために CA によって発行されるデジタル形式の ID です。
CRL 有効期限が切れる前に CA によって失効した証明書のリスト。
登録 CAにデジタル証明書を要求および受信するプロセス。
キーペア 暗号化と復号化に使用される暗号鍵(パブリックキーとプライベートキー)のペア。
ルート証明書 ルート CA によって発行された、証明書チェーンの最上位の証明書。
自己署名証明書 信頼できるCAが作成されるのではなく、システムが作成するときに署名された証明書。
プライベートキー 非対称暗号化で使用されるキーペアのシークレット部分。
公開キー 非対称暗号化で使用されるキーペアの非秘密部分。
デジタル署名 デジタルメッセージまたはドキュメントの信頼性を検証するための数学的スキーム。
証明書チェーン 各証明書が後続の CA によって署名される一連の証明書。