5.3. 証明書の要求および受信

「証明書の登録および更新について」 で説明されているように、CSR が生成されたら、発行用に CA に送信する必要があります。「証明書署名リクエストの作成」 で説明されている方法のいくつかが、CSR を CA に直接送信しますが、CSR を別のステップで送信する必要がある場合もあります。これは、ユーザーが実行するか、エージェントが事前に署名することができます。
本セクションでは、RHCS CA でサポートされる別の送信手順を説明します。

5.3.1. End-Entities ページでの証明書の要求および受信

CA エンドエンティティーポータル (つまり、https://host.domain:port#/ca/ee/ca)) で、エンドエンティティーは、Enrollment/Renewal タブの該当する各登録プロファイルに表示される HTML 登録フォームを使用して、証明書要求を送信できます (CSR。CSR の生成方法は 「証明書署名リクエストの作成」 を参照)。
このセクションでは、マーカー行 -----BEGIN NEW CERTIFICATE REQUEST----- および -----END NEW CERTIFICATE REQUEST----- を含む Base64 エンコード形式の CSR があることを前提としています。
デフォルトの登録プロファイルの多くは、Base64 でエンコードされた CSR に貼り付けることができる 証明書要求 テキストボックスと、証明書要求タイプ の選択ドロップダウンリストを提供します。
証明書の登録フォームで、必要な情報を入力します。
標準の要件は以下のとおりです。
  • 証明書要求のタイプ。これは PKCS#10 または CRMF です。サブシステム管理コンソールを介して作成された証明書要求は PKCS#10 です。certutil ツールを通じて作成されたものやその他のユーティリティーは通常 PKCS #10 です。
  • 証明書要求-----BEGIN NEW CERTIFICATE REQUEST----- および -----END NEW CERTIFICATE REQUEST----- マーカー行を含む base-64 でエンコードされた BLOB を貼り付けます。
  • Requester Name。これは、証明書を要求するユーザーの共通名です。
  • Requester Email。これは、要求側のメールアドレスです。エージェントまたは CA システムは、このアドレスを使用して、証明書を発行する際に要求側に接続します。たとえば、jdoe@someCompany.com です。
  • Requester Phone。これは、要求側の連絡先番号です。
送信されたリクエストは、エージェントの承認のためにキューに置かれます。エージェントは、証明書要求を処理し、承認する必要があります。
注記
登録プロファイルによっては、Red Hat Certificate System が提供する LDAP uid/pwd 認証メソッドを使用することで、自動承認を行うことがあります。これらのプロファイルによる登録では、次のセクションに手動でエージェントの承認は必要ありません。サポートされる承認方法は、10章証明書を登録するための認証 を参照してください。
手動承認の場合は、証明書が承認および生成されると、証明書を取得できます。
  1. Certificate Manager の end-entities ページを開きます。以下に例を示します。
    https://server.example.com:8443/ca/ee/ca
  2. Retrieval タブをクリックします。
  3. 証明書要求の送信時に作成された要求 ID 番号を入力し、Submit をクリックします。
  4. 次のページには、証明書要求のステータスが表示されます。ステータスが complete すると、証明書へのリンクがあります。Issued certificate のリンクをクリックします。
  5. 新しい証明書情報は、pretty-print 形式、base-64 エンコード形式、および PKCS #7 形式で表示されます。
    このページでは、以下のアクションを実行できます。
    • この証明書をサーバーまたは他のアプリケーションにインストールするには、base-64 でエンコードされた証明書が含まれている Installing This Certificate in a Server セクションまで下にスクロールします。
  6. base-64 でエンコードされた証明書 (マーカー行 -----BEGIN CERTIFICATE----- および -----END CERTIFICATE----- を含む) をテキストファイルにコピーします。テキストファイルを保存し、これを使用して秘密鍵があるエンティティーのセキュリティーモジュールに証明書のコピーを保存します。「ユーザーの作成」を参照してください。