TLSサーバー証明書は、サーバーの信頼性を証明するために不可欠なものです。
この証明書には有効期限があり、定期的な更新が必要ですが、近年その有効期限は年々短くなる傾向にあります。2024年、Apple社がTLSサーバー証明書の有効期限を2029年までに47日とする提案を業界団体(CA/Browser Forum)に提出し、主要ブラウザベンダもこれに賛同する形で、提案が受け入れられました。
有効期限の短縮により、証明書更新の頻度は大幅に増加します。このまま手動での証明書更新を続けていると、管理コストの増大やヒューマンエラーによる更新漏れのリスクが高まり、サービスの停止やセキュリティインシデントにつながりかねません。今こそ、証明書ライフサイクル管理の自動化が求められています。
ピンチアウトで拡大
従来の手動による証明書更新は、以下のような複数のステップを経て行われます。
このプロセスは一見シンプルに見えますが、一つのサーバー証明書の更新には平均約3時間かかるという調査報告もあります。企業内で数十、数百のサーバーを運用している場合、各サーバーに対してこれらの作業を繰り返す必要があります。また有効期限が47日になれば、年間で約8回もの更新作業が発生することになり、管理負荷は飛躍的に増大します。
その結果、運用コストの増大に加え、証明書の更新漏れや更新ミスが発生するリスクも高まります。
こうしたミスはサービス停止を引き起こし、顧客からの信頼低下にもつながりかねません。
Entrust社のCryptographic Security Platform( 以下、CSP)は、暗号鍵・証明書・シークレットのライフサイクル管理機能と、証明書発行・更新・失効の自動化をはじめとしたPKI機能を備えた仮想アプライアンス製品です。CSPの持つPKI機能により、TLSサーバー証明書の自動更新が実装可能です。
CSPによる証明書更新自動化アーキテクチャの一例
証明書の自動更新設定をすべてCSPの仮想アプライアンスで管理します。
設定には以下のような内容が含まれます。
これにより、証明書の配布先サーバーにエージェントを配置する必要なく、TLS証明書の配信を自動化することが可能です。
また、上記のような中央管理側からの証明書配布に加えて、ACME、CMP、EST、SCEP等の業界標準の証明書配布プロトコルを利用した、証明書クライアント(組み込み先)からリクエストする方式での実装も可能です。
CA Gatewayコンポーネントにより、CSPは数多くの認証局(CA)をサポートしています。
その他の認証局も順次対応予定です。最新の対応状況についてはお問い合わせください。
CSPは以下のサーバーおよびクラウドサービスへの証明書配布をサポートしています。
こちらも、最新の対応状況についてはお問い合わせください。
CSPは証明書管理にとどまらず、鍵管理やシークレット管理など幅広い機能を備えた統合セキュリティプラットフォームです。PKI、証明書管理の機能だけでなく、KMS製品としての機能も持ちます。
■PKI &CLMとしての機能
■KMSとしての機能
■共通の機能
証明書の有効期限の短縮が進む中、手動での更新運用はもはや現実的ではなく、自動化への対応が急務となっています。Entrust CSPは、証明書管理の自動化はもちろん、鍵管理やシークレット管理、クリプトインベントリにも対応しており、将来的なセキュリティ課題にも柔軟に対応できます。最大3か月間ご利用いただける無償トライアル版もご用意しておりますので、ぜひお気軽にお問い合わせください。