CA を学ぶとき、OpenSSL だけでは少し見えにくいものがあります。たとえば、管理者は誰なのか、どの利用者にどのプロファイルで証明書を出すのか、発行後の監査や権限分離をどう考えるのか、といった運用の側面です。そうした“ちゃんとした PKI”の空気を自宅 lab に持ち込みやすいのが EJBCA Community です。公式には Community コンテナを使った quick start が用意されており、Docker で短時間に試せます。 EJBCA の良さは、単に証明書を一枚作るだけで終わらないことです。CA、エンドエンティティ、管理者証明書、プロファイルといった要素が UI 上で見え、PKI を“運用する仕組み”として理解しやすい構造になっています。自宅環境でも、企業や組織で使う CA 製品の手触りをかなり具体的に確認できます。 (docs.keyfactor.com) この記事で扱う内容 今回は Ubuntu VM 上で Docker を使って EJBCA Community を起動し、以下を確認します。 Docker 環境の準備

証明書を自宅で試そうとすると、多くの人はまず OpenSSL を思い浮かべるはずです。秘密鍵を作り、CSR を作り、署名し、必要なら失効や配布を考える。PKI を学ぶ入り口としては王道ですが、運用の現場では証明書のライフサイクル全体を管理できるような仕組みが利用されています。 HashiCorpのVaultは、OpenSSLよりも何段階もステップアップした証明書管理が行えるツールの一つです。また、証明書管理の自動化を前提にした仕組みを味わえるのがVaultの特徴でもあります。誰が、どんな条件で、どんな寿命の証明書を受け取れるかをAPIとポリシーにより制御するという思想で作られています。HashiCorp 公式でも、通常の手動フローを経ずに動的な X.509 証明書を発行できる仕組みとして説明されています。 (HashiCorp Developer) 今回は、このVaultによる証明書管理サーバーを実際に構築し証明書管理の基本やVaultについて学んでいきたいと思います。 この記事で扱う内容 今回は Ubuntu VM 上に検証用の Vault サ

Hi, there. 本日は、過去に投稿した「Splunkを使用した監査環境の構築」のWazuh版です。 Splunkの環境構築時に作成した監査対象サーバーを流用し、Splunkとの見え方の違いを見ていきたいと思います。 Wazuhには、中央コンポーネントを同一ホストにまとめた all-in-one 構成が案内されています。そのため、Splunk や Elastic と比べると最初から 監査項目の型をかなり持っており、ログを見るだけではなく、ファイル改ざん、設定不備、脆弱性まで含めて「そのホストが今どういう状態か」を見せるのが得意です。 今回の構成 今回の構成もシンプルです。 Wazuhサーバー Ubuntu Server 24.04 LTS Wazuh all-in-one 構成 名前：wazuh タイプ：Linux バージョン：Ubuntu (64-bit) メモリ：4096MB CPU：2 仮想ディスク：20GB 監査対象サーバー 前回の Splunk 編で作成した Ubuntu Server 24.04 LTS ネットワークの構成.

Hi, there. 本日は、以前投稿したOpenSCAPの記事について深堀し、具体的な手順をお伝えします。 OpenSCAPで“まず安全側のベースラインを一気に作る”手順 Linux のハードニングで最初に消耗しやすいのは、設定の難しさそのものより、項目数の多さです。SSH、パスワード、ファイル権限、不要サービス、監査設定、カーネルパラメータを一つずつ手で詰めるやり方は、どうしても時間がかかり、設定漏れや設定ゆれも起きやすい。そこで発想を変えて、最初から ベンチマーク準拠のベースラインへまとめて寄せる ために使いたいのが OpenSCAP です。Red Hat は OpenSCAP を、設定コンプライアンススキャン、脆弱性評価、レポート生成、remediation に使う仕組みとして案内しています。 この記事の主題は「監査して学ぶこと」ではありません。最短で、安全寄りの標準形を作ることです。手順としては、WSL の Ubuntu を整える → OpenSCAP を入れる → 利用可能なプロファイルを確認する → ベースラインとの差分を評価する