Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

トラステッド プラットフォーム モジュールの概要

概要 トラステッド プラットフォーム モジュール (TPM)、TPM ベースの証明書の使用方法、および利点について説明します。

トラステッド プラットフォーム モジュール (TPM) は、デバイスが最適に動作していることを確認するハードウェア コンポーネントです。これは、暗号化キーやデジタル証明書などの重要なセキュリティアーティファクトの安全なストレージメカニズムとして機能します。

TPM ベースの証明書

Junos OSリリース24.2R1以降、SRX1600、SRX2300、およびSRX4300シリーズのファイアウォールでTPMベースの証明書を使用できるようになりました。

ファイアウォールは、TPM ベースの証明書を使用して、デバイスを安全に識別します。ファイアウォールには、TPM 上に構築された idev-id 証明書が書き込まれています。idev-id証明書には、ファイアウォールのJNPRシリアル番号とモデルが記載されており、ファイアウォールがジュニパーの施設で製造されたことを証明できます。したがって、TPM証明書は、ジュニパーデバイスがその身元を証明するための安全な方法です。

TPM ベースの証明書の利点

  • 信頼を提供します。安全でないデジタル世界で高度なセキュリティを確立するのに役立ちます。

  • 機密性を提供します。送信されたデータは暗号化され、サーバーとクライアントにのみ表示されます。

  • 整合性を提供します。転送中にデータが変更されていないことを確認します。

従来のSSL / TLS証明書はどのように機能しますか?

Secure Sockets Layer(SSL)は、暗号化を可能にするプロトコルです。これは、クライアントとサーバー間の通信をセキュリティで保護して認証するのに役立ちます。また、電子メール、VoIP、およびその他の通信をセキュリティで保護されていないネットワーク経由で保護することもできます。SSL は、トランスポート層セキュリティ (TLS) とも呼ばれます。

セキュリティで保護されていないHTTP接続では、ハッカーはクライアントとサーバー間のメッセージを簡単に傍受できます。SSL証明書は、公開鍵と秘密鍵のペアシステムを使用してHTTPSプロトコルを開始します。したがって、SSL証明書を使用すると、ユーザーとクライアントが接続するための安全な接続が可能になります。SSL/TLSは以下を通じて機能します。

  • TLS ハンドシェイクで始まるセキュリティで保護された通信。2 つの通信当事者は、セキュリティで保護された接続を開き、公開キーを交換します。
  • TLS ハンドシェイク中に、2 つのパーティがセッション キーを生成します。セッション キーは、TLS ハンドシェイク後のすべての通信を暗号化および復号化します。
  • 異なるセッションキーは、新しいセッションごとに通信を暗号化します。
  • TLSは、サーバー側のユーザー、またはユーザーが操作しているWebサイトが、本人であることを保証します。
  • また、TLS は、メッセージ認証コード (MAC) が送信に含まれているため、データが変更されていないことを保証します。

署名されたSSL証明書がWebサイトを保護すると、組織が信頼できるサードパーティとのIDを確認および認証したことが証明されます。ブラウザーが CA を信頼すると、ブラウザーはその組織の ID も信頼するようになります。

WebサイトにSSLがインストールされているかどうかを確認する最も簡単な方法は、WebサイトのURLが「HTTPS:」で始まるかどうかを確認することです。Web サイトに SSL 証明書がサーバーにインストールされている場合は、アドレス バーの南京錠のアイコンをクリックして証明書情報を表示します。

ファイアウォールが PKI を使用して TPM ベースの証明書を管理する方法

Juniper ATP Cloudを使用して高度なアンチマルウェア検出(AAMWD)などのアプリケーションを使用する場合、TPMベースの証明書を構成証明に使用して、アプリケーションがデバイスの正当性を検証できるようにすることができます。ファイアウォールは、PKID プロセスを使用して TPM ベースの証明書を管理します。TPM ベースの証明書に PKID プロセスを使用する場合は、次の点に注意してください。

  • ファイアウォールは、デバイスの起動時と再起動時の操作中に、PKID プロセスを使用して TPM ベースの証明書を読み込みます。

  • デバイスは、デバイスのローカル証明書リストから、TPM ベースの証明書 ID ( idev-id 証明書 ID と呼ばれる) に対して証明書と秘密キー ハンドルを読み込みます。TPM ベースの証明書 ID ( idev-id) を表示するには、 show security pki node-local local-certificate certificate-id idev-id コマンドを使用します。

  • idev-id証明書 ID の確認にコマンド request security pki node-local local-certificate verify certificate-id idev-id を使用しないでください。idev-id証明書 ID の CA 証明書がファイアウォールで使用できないため、検証は行われません。コマンドを使用して確認しようとすると、local certificate verification can't performed for IDev-ID certificate as the CA cert for the same is not availableエラー メッセージが表示されます。

AAMWD と SSL/TLS が TPM ベースの証明書を使用する方法

SRXシリーズファイアウォールでJuniper ATPクラウドを使用したAAMW検出(AAMWD)などのアプリケーションでは、すべてのデバイスの識別と認証に、従来の証明書ではなく、TPM組み込みの証明書を使用する必要があります。これは、新しいTPM証明書を使用して、クラウドサーバーとの安全なクライアント認証SSL接続を確立するのに役立ちます。これは、AAMWD によって確立されたコントロール プレーンとデータ プレーン(SSL-I)/TLS 接続の両方に適用されます。クラウド サーバーは、SSL ハンドシェイクで共有される TPM 公開キーを使用して、TPM 秘密キーの信頼性を確認します。デバイス識別情報は、共有 TPM 証明書の一部です。

SSL 開始 (SSL-I) プロファイルを構成する場合、PKID 側では、特定の証明書 ID に対して開始/再起動時に TPM 証明書と秘密キー ハンドルを読み込む必要があります。この証明書を使用して、SSL-I プロファイルを構成できます。この証明書は、TLS 接続の AAMWD で使用できます。SSL-AAMWD TLS 接続の署名/検証の目的で TPM チップを使用するには、データ プレーン側で変更が必要です。SSL-Iは、クライアント認証を使用して、SSLクライアント機能をATPクラウドに提供します。SSL-I モードは、TPM 証明書/秘密キーでサポートされている必要があります。以前は、SSL-I はファイル システムのローカル証明書と秘密キーを使用していました。

Junos OS リリース 24.2R1 以降、SSL-I は 2 つのモードで使用できるようになりました。

  • SSL-I と TPM 証明書/キー

  • SSL-I(ファイルシステム証明書/鍵を使用)

tpm オプションは、set services ssl initiation profile profile-name crypto-hardware-offload コマンドを使用して設定できます。