SSL/TLS終端の管理
Secure Sockets Layer(SSL)またはその後継のTransport Level Security(TLS)は、ネットワークトラフィックを保護、暗号化、復号をするためのプロトコルです。
SSL終端は、Access Gatewayなどの別のサーバーに渡される前にトラフィックを復号するプロセスです。ロードバランサーと併用する場合、SSLをロードバランサーで終端するか、暗号化されたトラフィックを直接Access Gatewayに渡してそこで終端することができます。「ロードバランサー」を参照してください。
好みに応じて、いずれかの方法を選択します。ロードバランサーでSSLが終了すると、その情報自体に基づきトラフィックに関する決定を行うことができます。高度なロードバランサーはこのような機能を提供します。多くの場合、ロードバランサーでSSLを終了することはバックエンドサーバーにとってメリットがあります。たとえば、CPUパフォーマンスを節約し、バックエンドによる復号化を必要としません。ただし、Access Gatewayでは、Access Gatewayとロードバランサー間のすべてのトラフィックがHTTPSを使用し、セキュリティ上の目的で暗号化されるため、このメリットは適用されません。
Access Gatewayは、デフォルトでSSLの終了を実行します。または、ロードバランサーがSSLの終了を実行することもできます。
どちらの場合でも、SSLの終了を構成するプロセスは類似しています。次の表に、SSLの終了を構成するために必要なタスクを示します。
| タスク | 説明 |
|---|---|
| アプリケーションを統合する | 1つ以上の保護対象バックエンドアプリケーションをAccess Gatewayと統合します。デフォルトでは、Access Gatewayアプリケーションには、アプリケーションの追加時に生成される自己署名付きのワイルドカード証明書が含まれています。同じドメインを持つ後続のアプリケーションは、生成された証明書を再利用できます。「証明書の用途」を参照してください。 |
| 証明書を取得する |
自己署名付き署名書を使用しない場合、証明書は認証局(digicertなど)から取得するか、opensslなどのツールを使用して生成する必要があります。 Oktaは特定の認証プロバイダーを推奨していません。 |
| 証明書をアップロードする(Access Gateway) | 証明書を取得したら、アプリケーションで使用するために、Access Gatewayまたはロードバランサーにアップロードする必要があります。 証明書は、Access Gateway 管理者コンソールを使用してAccess Gatewayにアップロードします。 証明書をロードバランサーにアップロードするには、該当するプラットフォームのドキュメントを参照してください。
|
| 証明書を関連付ける(Access Gatewayのみ) | Access Gateway 管理者コンソールを使用して証明書をアップロードした後、証明書をアプリケーションと関連付ける必要があります。 |
Access Gateway環境における証明書の取得、アップロード、およびバックエンドの保護対象Webリソースへの証明書の関連付けについては、「証明書管理」を参照してください。
関連項目
- 証明書の用途
- 証明書管理
- 証明書の作成・更新・割り当てイベント
- すべてのイベントリストについては、「Access Gateway監査ログ」を参照してください。