ユーザーの前提条件
- 次を含む Android 搭載デバイス:
- Android SDK 28+
- 有効な Google アカウント
- デバイスロックが有効
- 既存の DC がない
- 物理的な身分証明書
接続のセキュリティ
Google と発行元のサーバー間の接続は、次の要件を満たす必要があります。
- Google と発行元のどちらも、TLS handshake 中に鍵を提示する必要があります
- TLS handshake 中に、サーバーで
NULLまたは匿名暗号を使用してはいけません - 接続は次のいずれかの暗号方式をサポートする必要があります。
ECDHE-ECDSA-WITH-AES-128-GCM-SHA256ECDHE-ECDSA-WITH-AES-256-GCM-SHA384ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256ECDHE-RSA-WITH-AES-128-GCM-SHA256ECDHE-RSA-WITH-AES-256-GCM-SHA384ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256
- すべての発行元は、Google サーバーと通信する際に mTLS を使用する必要があります。
Google から発行元への通信
Google は、発行元のサーバーと通信する際に、クライアント証明書を提示します。発行元はこの証明書を固定して検証します。Google は、発行元が提示した証明書と照らし合わせて、固定されたサーバー証明書を検証します。
発行元から Google への通信
発行元は、Google Wallet Identity API を使用して Google サーバーと通信する際、クライアント証明書を提示する必要があります。Google はこれを固定された証明書と照合して検証します。