証明書の用途
背景
一般に、SSL(Secure Socket Layer)証明書は次の目的で使用されます。
- ブラウザーとサーバーとの間でセキュアな接続を確立する。
- 通信を暗号化して、機密情報が安全であることを確認する。
- 組織のIDを認証する。
Access Gateway証明書の使用
Access Gatewayは証明書を利用して次のアクティビティを実行します。
- 外部ロードバランサーとAccess Gatewayとの間でHTTPS接続をサポートする。
- Access GatewayとOktaテナントとの間のトラフィックの送受信を保護する。
- Access Gateway.と保護対象リソース(バックエンドアプリケーションとも呼ばれる)との間にセキュリティ保護されたHTTPS通信を提供する。
- Access Gateway管理者UIコンソールとクライアントブラウザーとの間にセキュリティ保護されたHTTPS通信を提供する。
アプリはTLS(Transport Layer Security)証明書を使ってエンドユーザーとアプリの間のセキュアな関係を定義します。Access Gatewayはアプリリクエストをバックエンドアプリにリダイレクトすることでプロキシとして機能し、バックエンドアプリに代わって必要な証明書を提供します。
TLS終了の実装方法によって証明書の提供方法が決まります。
- Access Gatewayは、TLSがロードバランサーを通過し、Access Gatewayで終了するときに証明書を提供します。
- ロードバランサーは、TLSがロードバランサーで終了したときに証明書を提供する役割を担います。Access Gatewayは証明書の管理には関与しません。
ワイルドカード、自己署名付き、およびアップロード済み証明書
Access Gatewayは以下の3つのタイプの証明書を使用します:
- ワイルドカード証明書:アプリケーションとAccess Gatewayが統合すると、Public Domain(パブリックドメイン)フィールド値に基づいてワイルドカード証明書が自動的に生成されます。同様のドメインを持つ他のアプリケーションは、同じワイルドカード証明書を使用できます。たとえば、証明書でワイルドカード*.mysite.comが使用されている場合、ドメイン(例:abc.mysite.com)が一致するアプリはその証明書を使用します。
- 自己署名付き証明書:必要に応じて、アプリケーション統合で自己署名付き証明書を使用できます。自己署名付き証明書は、Access Gateway管理者UIコンソールから明示的に生成する必要があり、パブリックドメインに固有のものです。自己署名付き証明書は単一のアプリケーションにのみ適用されます。
- アップロード済証明書:アップロード済証明書は、信頼できる認証局から取得され、Access Gatewayまたはロードバランサーにアップロードされた証明書です。Access Gatewayで使用する場合、アンロードされた証明書はまずAccess Gateway管理者UIコンソールを使ってアップロードされ、次にアプリケーションに関連付けられます。