アプリケーション証明書の使用

Access Gatewayアプリケーションには3種類の証明書を使用できます:

Access Gatewayでも証明書を使用できます。「証明書の用途」を参照してください。

認証局によって提供される証明書

ウェブサイトのオーナーは、信頼できる認証局(CA)から証明書を取得できます。CAは、パブリックネットワークでの通信に使用するセキュリティ証明書と公開鍵の発行および管理を行う信頼できるエンティティです。

3種類のSSL証明書が存在し、各々が異なるレベルのセキュリティを提供します:

  • ドメイン認証SSL証明書(DV):これは、最小限のセキュリティを保証するタイプの証明書です。これらの証明書は、申請者がドメインの所有者であることが証明された後に発行されます。一般的に、それ以外の認証は行われません。
  • 企業認証SSL証明書 (OV):これらの証明書では、登録されている企業名、物理的な住所、その他の情報などOrganizationに関する検証可能な詳細情報をオーナーが提供することが求められます。企業認証証明書は、ドメイン認証証明書より優遇されています。
  • 拡張認証SSL証明書 (EV): これらの証明書はOV証明書より一段階上のもので、依頼会社の入念なレビューが求められます。こういったレビューには一般的に、会社の書類、依頼人の本人確認などが含まれます。

Oktaでは、可能な限り企業認証証明書または拡張認証証明書を使用することを推奨しています。

一般的な認証局には以下が含まれます:ComodoSSLDigicertGoDaddyThawteなど。 Oktaが、特定の認証局を推薦または支持することはありません。

自己署名付き証明書

自己署名付き証明書とは、認証局によって署名がされていない証明書です。自己署名付き証明書は無料で、容易に作成できます。ただしこれらの証明書は、認証局の署名のある証明書が提供するセキュリティプロパティをほとんど提供しません。本番環境で使用される場合、このウェブサイトを訪問するエンドユーザーは、ブラウザーからの警告を見ます。

Oktaでは、自己署名付き証明書の使用は、開発およびテスト環境のみに留め、本番環境では使用しないことを推奨しています。

ワイルドカード証明書

ワイルドカード証明者は、ドメインおよびすべてのサブドメインに適用されるデジタル証明書です。ワイルドカードの表記は一般的に、ドメイン名の前にアスタリスクとピリオドを配置して構成されます。例えば、 *.exampledomain.com

Access Gatewayは、ワイルドカード証明書の使用をサポートします。証明書を個別に購入するよりも、単一の証明書を複数のサブドメインに展開させることにより、コストを削減し、管理を最小限に抑えることができます。ただしこの場合の欠点は、証明書が失効または期限切れとなった場合にすべてのサブドメインが影響を受けることです。

関連項目

証明書の用途