Google Cloud での相互 TLS について

相互 TLS(mTLS)は、クライアントとサーバーの間で相互認証を行うための業界標準プロトコルです。mTLS プロトコルでは、ネットワーク接続の両端のクライアントとサーバーの両方が、クライアント証明書に関連付けられている秘密鍵を両方が保持していることを確認することで、それぞれの身元が正しいことを確認します。

クライアント証明書とは

クライアント証明書(Transport Layer Security(TLS)証明書とも呼ばれる)は、デバイスの ID の検証に必要な重要な情報が含まれているファイルです。証明書情報には、公開鍵、証明書の発行者のステートメント(証明書は認証局が発行するか、または自己署名できます)、証明書の有効期限が含まれます。

Google API がデバイス ID を検証する仕組み

TLS プロトコルは、公開鍵基盤(PKI)と呼ばれる、公開鍵と秘密鍵の非対称鍵ペアを利用する手法を使用します。秘密鍵で暗号化されたデータは、公開鍵でのみ復号できます。Google Cloud API は TLS プロトコルを使用して、mTLS handshake 中に証明書の公開鍵を使用して秘密鍵で暗号化されたメッセージを復号することで、デバイスの ID を確認します。復号に成功すると、信頼できるデバイスでのみ利用可能な秘密鍵を所有していることが証明されます。

mTLS handshakeと検証プロセスを有効にするには、クライアントが次の操作を行う必要があります。

  • mTLS 固有の API エンドポイントを使用して、Google API との mTLS 接続を確立します。mTLS 固有のエンドポイントの形式は [service].mtls.googleapis.com です。

  • mTLS handshake 中にデバイス証明書を検出して使用します。証明書のデプロイに Endpoint Verification を使用している場合、このタイプの証明書は、サポートされているクライアントによって自動的に検出され、使用されます。

次の図は、クライアントと Google API サーバー間の mTLS handshake を示しています。

クライアントと Google API サーバー間の mTLS handshake

次のステップ