Linux クラスターでの暗号化証明書の設定とシークレットの暗号化

この記事では、Linux クラスターでの暗号化証明書の設定と、これを使用してシークレットの暗号化を行う方法について説明します。 Windows クラスターについては、「Windows クラスターでの暗号化証明書の設定とシークレットの暗号化」を参照してください。

データ暗号化証明書を取得する

データ暗号化証明書は、サービスの Settings.xml 内のパラメーター、およびサービスの ServiceManifest.xml 内の環境変数の暗号化と暗号化解除のためにのみ使用されます。 認証や暗号テキストの署名には使用されません。 証明書は次の要件を満たす必要があります。

• 証明書は秘密キーを含む必要があります。

• 証明書キーの使用法として、データ暗号化 (10) を指定する必要があります。サーバー認証やクライアント認証を指定することは使用できません。

  たとえば、OpenSSL を使用して必要な証明書を生成するには、次のコマンドを使用できます。

  user@linux:~$ openssl req -newkey rsa:2048 -nodes -keyout TestCert.prv -x509 -days 365 -out TestCert.pem
  user@linux:~$ cat TestCert.prv >> TestCert.pem
  

クラスターへの証明書のインストール

この証明書は、クラスターの各ノードの /var/lib/sfcerts にインストールする必要があります。 サービスを実行しているユーザー アカウント (既定では sfuser) は、インストール済みの証明書 (現在の例では /var/lib/sfcerts/TestCert.pem) に対する読み取りアクセスを持つ必要があります。

シークレットを暗号化する

次のスニペットは、シークレットの暗号化に使用できます。 このスニペットは値を暗号化するだけであり、暗号化テキストの署名は行いません。 クラスターにインストールされている同じ暗号化証明書を使用して、シークレット値の暗号化テキストを生成する必要があります。

user@linux:$ echo "Hello World!" > plaintext.txt
user@linux:$ iconv -f ASCII -t UTF-16LE plaintext.txt | tr -d '\n' > plaintext_UTF-16.txt
user@linux:$ openssl smime -encrypt -in plaintext_UTF-16.txt -binary -outform der TestCert.pem | base64 > encrypted.txt

encrypted.txt に出力される生成された Base-64 エンコード文字列は、シークレットの暗号化テキストと、暗号化に使用された証明書に関する情報が含まれています。 その有効性は、OpenSSL で暗号化を解除することによって確認できます。

user@linux:$ cat encrypted.txt | base64 -d | openssl smime -decrypt -inform der -inkey TestCert.prv

次のステップ

アプリケーション内で暗号化されたシークレットを指定する方法について学習します。