証明書の用途
背景
一般的に、Secure Socket Layer(SSL)証明書は以下の用途で使用されます:
- ブラウザーとサーバーとの間でセキュアな接続を確立する。
- 通信を暗号化して、機密情報が安全であることを確認する。
- OrganizationのIDを認証する。
Access Gateway証明書の使用
Access Gatewayは以下の用途で証明書を使用します:
- 外部ロードバランサーとAccess Gatewayとの間でHTTPS接続をサポートする。
- Access GatewayとOktaテナントとの間のトラフィックの送受信を保護する。
- Access Gateway.と保護対象リソース(バックエンドアプリケーションとも呼ばれる)との間にセキュリティ保護されたHTTPS通信を提供する。
- Access Gateway 管理者 UI コンソールとクライアントブラウザーとの間にセキュリティ保護されたHTTPS通信を提供する。
アプリケーションは、トランスポート レイヤー セキュリティ(TLS)証明書を使用して、エンドユーザーとアプリケーション間のセキュアな関係を定義します。Access Gatewayは、アプリケーションリクエストをバックエンドアプリケーションにリダイレクトすることでプロキシーとして機能し、バックエンドアプリケーションに代わり必要な証明書を提供します。
TLSの終了の実装方法によって、証明書の提供方法が決まります。
- Access Gatewayは、TLSがロードバランサーを通過し、Access Gatewayで終了するときに証明書を提供します。
- ロードバランサーは、TLSがロードバランサーで終了したときに証明書を提供する役割を担います。Access Gatewayは証明書の管理には関与しません。
ワイルドカード、自己署名付き、およびアップロード済み証明書
Access Gatewayは以下の3つのタイプの証明書を使用します:
- ワイルドカード証明書:アプリケーションとAccess Gatewayが統合すると、パブリックドメインフィールド値に基づいてワイルドカード証明書が自動的に生成されます。同様のドメインを持つ他のアプリケーションは、同じワイルドカード証明書を使用できます。たとえば、証明書でワイルドカード*.mysite.comが使用されている場合、ドメイン(例:abc.mysite.com)が一致するアプリはその証明書を使用します。
- 自己署名付き証明書:必要に応じて、アプリケーション統合で自己署名付き証明書を使用できます。自己署名付き証明書は、Access Gateway 管理者 UI コンソールから明示的に生成する必要があり、パブリックドメインに固有のものです。自己署名付き証明書は単一のアプリケーションにのみ適用されます。
- アップロード済証明書:アップロード済証明書は、信頼できる認証局から取得され、Access Gatewayまたはロードバランサーにアップロードされた証明書です。Access Gatewayで使用する場合、アップロード済証明書はまずAccess Gateway 管理者 UI コンソールを使用してアップロードされ、それからアプリケーションに関連付けられます。