Access Gateway証明書について

トピック

背景

一般的に、Secure Socket Layer(SSL)証明書は以下の用途で使用されます:

  • ブラウザーとサーバーとの間でセキュアな接続を確立する。
  • 通信を暗号化して、機密情報の安全性を確保する。
  • 組織のIDを認証する。

プロパティがデプロイされると、証明書はセキュアサイトのURLの横に南京錠マークを表示します。
例:


Access Gatewayの証明書の使用

Access Gatewayは以下の用途で証明書を使用します:

  • 外部ロードバランサーとAccess Gatewayとの間でHTTPS接続をサポートする。
  • Access GatewayとOktaテナントとの間のトラフィックの送受信を保護する。
  • Access Gatewayと保護対象リソース(バックエンドアプリケーションとも呼ばれる)との間にセキュリティ保護されたHTTPS通信を提供する。
  • Access Gateway Admin UIコンソールとクライアントブラウザーとの間にセキュリティ保護されたHTTPS通信を提供する。

アプリケーションの観点からは、証明書はトランスポート層セキュリティ(TLS)を使用してエンドユーザーとアプリケーション間でセキュアな関係または信頼関係を定義するために使用されます。この状況では、 Access Gatewayはプロキシとして機能し、アプリケーションのリクエストをバックエンドアプリケーションにリダイレクトします。次に、バックエンドアプリケーションに代わって必要な証明書を提供します。
TLSターミネーションの実装方法に応じて、証明書は次の2つの方法のいずれかで提供されます:

  • TLSがロードバランサーをパススルーし、Access Gatewayで終了します。このシナリオでは、Access Gatewayが証明書を提供します。
  • TLSがロードバランサーで終了します。このシナリオでは、TLSはロードバランサーで停止します。次に、ロードバランサーは証明書の提供を担当し、Access Gatewayは証明書の管理に関与しません。

Access Gatewayは最初のシナリオで証明書の提供のみ行い、TLSはロードバランサーをパススルーします。

ワイルドカード証明書、自己署名証明書、アップロードタイプの証明書

Access Gatewayを使用して自己署名証明書を作成して関連付けたり、認証機関から取得した証明書を関連付けることができます。Access Gateway Admin UIコンソールからこれらのタスクを実行できます。一般的に、Access Gatewayは以下の3つのタイプの証明書を使用します:

  • ワイルドカード証明書:アプリケーションとAccess Gatewayを統合すると、パブリックドメインフィールドに基づいてワイルドカード証明書が自動的に生成されます。同様のドメインを持つ追加のアプリケーションは同じワイルドカード証明書を使用します。ワイルドカードの例:*.mysite.com。同様のドメインを持つドメイン(abc.mysite.comなど)は、同じワイルドカード証明書を使用します。
  • 自己署名証明書:アプリケーションが任意で自己署名証明書を使用できます。自己署名証明書はアプリケーションごとに作成でき、パブリックドメインに固有です。自己署名証明書は、所定のアプリケーション統合に対してAccess Gateway Admin UIコンソールを使用して明示的に生成する必要があります。 自己署名証明書は 単一のアプリケーションのみに適用されます。
  • アップロードタイプの証明書:アップロードタイプの証明書とは、信頼のある認証機関から取得され、Access Gatewayまたはロードバランサーにアップロードされる証明書です。Access Gatewayで使用する場合、アップロードタイプの証明書はまずAccess Gateway Admin UIコンソールを使用してアップロードされ、それからアプリケーションに関連付けられます。

関連項目