「SSL(TLS)」の編集履歴(バックアップ)一覧はこちら
「SSL(TLS)」(2012/07/30 (月) 11:51:31) の最新版変更点
追加された行は緑色になります。
削除された行は赤色になります。
<p><u>・SSL/TLS</u><br />
インターネットVPN実現技術の一つ。</p>
<p>・メリット<br />
ブラウザに標準で搭載されている。<br />
経路情報(IPアドレスやポート番号)が暗号化されないため、ファイヤーウォールなどで制御しやすい。</p>
<p>・問題点<br />
-SSLはTCPを使うため、UDPを使うアプリケーションには対応していない。<br />
-IPアドレスは暗号化されない。(セッション層以上しか暗号化されない)</p>
<p> <span style="color:#ff0000;">ポイント</span><br />
・公開鍵方式で共通鍵をやり取りし、実際のデータの通信は共通鍵によって暗号化される。<br />
・共通鍵はクライアント側のブラウザが作成する。公開鍵はサーバ側で作成する。<br />
・クライアント側にはCA(の発行した公開複合鍵)が、サーバ側には認証局が発行した電子証明書<strong>(CAの秘密暗号鍵で暗号化済み)</strong>が登録されている。<br />
クライアントが受け取った電子証明書をCAの公開複合鍵で復号出来れば、サーバのCAの正当性が証明できる。<br />
・サーバが送信する<u>電子証明書</u>にはクライアントが作成する<u>共有鍵を暗号化</u>するための<u>公開鍵が含</u>まれる。<br />
・SSLのセッションはソケットで区別されている。そのため同時に複数のセッションを使用できる。<br /><br />
・SSL早わかり表</p>
<p> <img alt="" src="http://www4.atwiki.jp/kubo?cmd=upload&act=open&pageid=23&file=%E6%96%B0%E8%A6%8F%E3%83%93%E3%83%83%E3%83%88%E3%83%9E%E3%83%83%E3%83%97+%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8.jpg" /></p>
<p><br />
<u>・SSL-VPN
レイヤ2フォワーディング(SSLの技術を使った具体的なVPN方式)<br /></u>仮想NICが追加され、仮想NICから送信されたフレームを再度SSLヘッダでカプセル化する。<br />
上記を通常はOSのwebブラウザ内で行う。<br /><br />
メリット:・OSに標準のブラウザで実現できる。<br />
・レイヤ4~7の柔軟なアクセス制御ができる。<br />
・SSLでカプセル化する下のフレームはただのメッセージとして扱われるため、アプリケーションを問わず使える。</p>
<p> </p>
<p><u>・SSL/TLS</u><br />
インターネットVPN実現技術の一つ。</p>
<p>・メリット<br />
ブラウザに標準で搭載されている。<br />
経路情報(IPアドレスやポート番号)が暗号化されないため、ファイヤーウォールなどで制御しやすい。</p>
<p>・問題点<br />
-SSLはTCPを使うため、UDPを使うアプリケーションには対応していない。<br />
-IPアドレスは暗号化されない。(セッション層以上しか暗号化されない)</p>
<p> <span style="color:#ff0000;">ポイント</span><br />
・公開鍵方式で共通鍵をやり取りし、実際のデータの通信は共通鍵によって暗号化される。<br />
・共通鍵はクライアント側のブラウザが作成する。公開鍵はサーバ側で作成する。<br />
・クライアント側にはCA(の発行した公開複合鍵)が、サーバ側には認証局が発行した電子証明書<strong>(CAの秘密暗号鍵で暗号化済み)</strong>が登録されている。<br />
クライアントが受け取った電子証明書をCAの公開複合鍵で復号出来れば、サーバのCAの正当性が証明できる。<br />
・サーバが送信する<u>電子証明書</u>にはクライアントが作成する<u>共有鍵を暗号化</u>するための<u>公開鍵が含</u>まれる。<br />
・SSLのセッションはソケットで区別されている。そのため同時に複数のセッションを使用できる。<br /><br />
・SSL早わかり表</p>
<p> <img alt="" src="http://www4.atwiki.jp/kubo?cmd=upload&act=open&pageid=23&file=%E6%96%B0%E8%A6%8F%E3%83%93%E3%83%83%E3%83%88%E3%83%9E%E3%83%83%E3%83%97+%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8.jpg" /></p>
<p><span style="font-size:large;">□SSL-VPNの種類</span><u><br /><br />
・SSL-VPN
リバースプロキシ<br /></u>クライアント側はブラウザ、サーバ側はSSL-VPNゲートウェイ(リバースプロキシの役割)の間でトンネリングする。<br /><br />
メリット:SSLのメリットに順ずる。<br />
デメリット:ウェブブラウザを使った通信にしか対応しない。<br /><br /><u>・SSL-VPN(ポートフォワーディング)</u><br />
クライアントはJAVAアプレット、 サーバ側はSSL-VPNゲートウェイ、の間でトンネリングする。<br /><br />
メリット:ウェブブラウザを使わない通信にも対応。<br />
デメリット:動的にポートが変化する通信やUDPを使う通信には対応しない(何で?)<br /><br /><u>・SSL-VPN
レイヤ2フォワーディング(SSLクライアントソフトをインストールするVPN方式)<br /></u>仮想NICが追加され、仮想NICから送信されたフレームを再度SSLヘッダでカプセル化する。<br />
上記を通常はOSのwebブラウザ内で行う。<br /><br />
メリット:・SSLでカプセル化する元のフレームはただのメッセージとして扱われるため、<br />
ポートフォワーディング方式と違い、ポート制限やプロトコル制限は無い。</p>
<p> </p>
