Dell Data Securityでは、サーバーとクライアントの間で安全な通信を行うための自己署名証明書を簡単に作成し、使用できます。ただし、すべての自己署名証明書と同様に、使用する証明書のタイプを選択する際にはセキュリティ上の考慮事項があります。
セキュリティを強化するには、内部またはよく知られたサード パーティーの認証局(CA)を使用してSSL/TLS証明書を要求することをお勧めします。
Dell Data Securityサーバで使用するSSL/TLS証明書の推奨事項と最小要件は次のとおりです。
- 証明書署名要求(CSR)には、共通名(CN)が含まれている必要があります。
- 証明書署名要求(SSR)には、サブジェクト代替名(SAN)を含める必要があります。これは、共通名と一致するDNSエントリーである必要があります。
- 国(C)、州(ST)、および組織(O)など、その他の一般的なフィールドを含めます。
- 少なくともSHA-256を使用します(要求にSHA-2署名を使用する必要があります。これは、CAがリクエストで指定されたアルゴリズムをオーバーライドする場合に不要になる場合があります。生成される証明書は、SHA-2署名されている必要があります。MD5およびSHA-1は廃止され、サポートされなくなりました)。
- 秘密キーは少なくとも2048ビットのRSAである必要があります。
- 秘密キーはエクスポート可能である必要があります。
- バージョン9.3以前では、チェーン内の各証明書に、署名証明書の SubjectKeyIdentifier と一致するAuthorityKeyIdentifierが必要です。
注:リクエスト内のサブジェクト代替名(SAN)拡張機能でDNS名が指定されている場合、RFC 6125のセクション6.4.4で指定されているように、証明書を検証するときにCNフィールドが一致しません。
サポートされない構成:
- RSA確率的署名方式(RSASSA-PSS)署名アルゴリズムはサポートされていません。
- Microsoft Key Storage Providerを使用して生成されたプライベート キーは、サーバーv10.2.12以降でサポートされています。
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。