intdashサーバーの証明書について(インフラ管理者向け)

AMIを使ったintdashサーバー構築手順(AWS Marketplace 向け)の「03 intdashサーバーの設定を行う」において、SSL証明書として自己署名証明書(いわゆる「オレオレ証明書」)を設定すると、エッジ(クライアント)からintdashサーバーにアクセスしたときに証明書の検証ができず、エラーが発生します。

セキュリティ上の理由から、サーバー証明書は、クライアントでの検証が可能な証明書を使用してください。 なお、第三者により署名された証明書を無料で発行するLet's Encryptのような認証局も存在します。

参考

サーバー証明書として自己署名証明書が使用されていると、以下のようになります。

ウェブアプリケーション(VM2M Data Visualizerなど)でintdashサーバーにアクセスした場合

  • サーバー証明書の検証に失敗し、ウェブブラウザーに警告画面が表示されます。警告は無視することが可能ですが、その場合、通信相手の認証をしないことになり、中間者攻撃等による盗聴・改ざんを許すことになります。
  • セキュリティ面以外の機能についても、検証を行っていないため、制約がある可能性があり、サポートも致しかねます。

intdash SDK for Pythonでintdashサーバーにアクセスした場合

  • サーバー証明書の検証に失敗し、エラーとなります。アクセスクライアント生成時のパラメータにて verify=False を設定することにより、サーバー証明書の検証をスキップすることはできますが、その場合、通信相手の認証をしないことになり、中間者攻撃等による盗聴・改ざんを許すことになります。