Menu Close
第14章 CertificateCertificate Systemnbsp;System 設定ファイル
すべてのサブシステムの主な設定ファイルは
CS.cfg ファイルです。本章では、CS.cfg ファイルの編集に関する基本情報およびそのルールについて説明します。この章では、パスワードや Web サービスファイルなど、サブシステムで使用されるその他の便利な構成ファイルについても説明します。
14.1. CertificateCertificate Systemnbsp;System サブシステムのファイルおよびディレクトリーの場所
CertificateCertificate Systemnbsp;System サーバーは、1 つ以上 のサブシステムが含まれる Apache Tomcat インスタンスで構成されます。各サブシステムは、特定のタイプの PKI 関数の要求を処理する Web アプリケーションで構成されます。
利用可能なサブシステムは CA、KRA、OCSP、TKS、および TPS です。各インスタンスには、PKI サブシステムのタイプを 1 つのみ含めることができます。
pkispawn コマンドを使用して、特定のインスタンス内にサブシステムをインストールできます。
14.1.1. インスタンス固有の情報
デフォルトインスタンスの情報 (pki-tomcat) については、表2.2「Tomcat インスタンス情報」を参照してください。
表14.1 証明書サーバーポートの割り当て (デフォルト)
| ポートタイプ | ポート番号 | 注記 |
|---|---|---|
| セキュアなポート | 8443 | HTTPS 経由でエンドユーザー、エージェント、および管理者により PKI サービスにアクセスするために使用される主要なポート。 |
| セキュアなポート | 8080 | HTTP を介した一部のエンドエンティティー機能のために、安全ではないサーバーにアクセスするために使用されます。たとえば、すでに署名されているため暗号化する必要のない CRL を提供するために使用されます。 |
| AJP ポート | 8009 | フロントエンドの Apache プロキシサーバーから AJP 接続を介してサーバーにアクセスするために使用されます。HTTPS ポートにリダイレクトします。 |
| Tomcat ポート | 8005 | Web サーバーによって使用されます。 |
14.1.2. CA サブシステム情報
このセクションには、CA サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
表14.2 デフォルトインスタンスの CA サブシステム情報 (pki-tomcat)
| 設定 | 値 |
|---|---|
| メインディレクトリー | /var/lib/pki/pki-tomcat/ca/ |
| 設定ディレクトリー | /var/lib/pki/pki-tomcat/ca/conf/[a] |
| 設定ファイル | /var/lib/pki/pki-tomcat/ca/conf/CS.cfg |
| サブシステム証明書 | CA 署名証明書 |
| OCSP 署名証明書 (CA の内部 OCSP サービス用) | |
| TLS サーバー証明書 | |
| 監査ログ署名証明書 | |
| サブシステム証明書[b] | |
| セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
| ログファイル | /var/log/pki/pki-tomcat/ca/logs/[d] |
| ログのインストール | /var/log/pki/pki-ca-spawn.date.log |
| ログのアンインストール | /var/log/pki/pki-ca-destroy.date.log |
| 監査ログ | /var/log/pki/pki-tomcat/ca/signedAudit/ |
| プロファイルファイル | /var/lib/pki/pki-tomcat/ca/profiles/ca/ |
| メール通知テンプレート | /var/lib/pki/pki-tomcat/ca/emails/ |
| Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/agent/ |
| 管理サービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/admin/ | |
| エンドユーザーサービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/ee/ | |
[a]
/etc/pki/pki-tomcat/ca/ のエイリアス
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
[d]
/var/lib/pki/pki-tomcat/ca へのエイリアス
| |
14.1.3. KRA サブシステム情報
このセクションには、KRA サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
表14.3 デフォルトインスタンスの KRA サブシステム情報 (pki-tomcat)
| 設定 | 値 |
|---|---|
| メインディレクトリー | /var/lib/pki/pki-tomcat/kra/ |
| 設定ディレクトリー | /var/lib/pki/pki-tomcat/kra/conf/[a] |
| 設定ファイル | /var/lib/pki/pki-tomcat/kra/conf/CS.cfg |
| サブシステム証明書 | トランスポート証明書 |
| ストレージ証明書 | |
| TLS サーバー証明書 | |
| 監査ログ署名証明書 | |
| サブシステム証明書[b] | |
| セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
| ログファイル | /var/lib/pki/pki-tomcat/kra/logs/ |
| ログのインストール | /var/log/pki/pki-kra-spawn-date.log |
| ログのアンインストール | /var/log/pki/pki-kra-destroy-date.log |
| 監査ログ | /var/log/pki/pki-tomcat/kra/signedAudit/ |
| Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/kra/webapps/kra/agent/ |
| 管理サービス: /var/lib/pki/pki-tomcat/kra/webapps/kra/admin/ | |
[a]
/etc/pki/pki-tomcat/kra/ にリンク
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
| |
14.1.4. OCSP サブシステム情報
このセクションには、OCSP サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
表14.4 デフォルトのインスタンスの OCSP サブシステム情報 (pki-tomcat)
| 設定 | 値 |
|---|---|
| メインディレクトリー | /var/lib/pki/pki-tomcat/ocsp/ |
| 設定ディレクトリー | /var/lib/pki/pki-tomcat/ocsp/conf/[a] |
| 設定ファイル | /var/lib/pki/pki-tomcat/ocsp/conf/CS.cfg |
| サブシステム証明書 | トランスポート証明書 |
| ストレージ証明書 | |
| TLS サーバー証明書 | |
| 監査ログ署名証明書 | |
| サブシステム証明書[b] | |
| セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
| ログファイル | /var/lib/pki/pki-tomcat/ocsp/logs/ |
| ログのインストール | /var/log/pki/pki-ocsp-spawn-date.log |
| ログのアンインストール | /var/log/pki/pki-ocsp-destroy-date.log |
| 監査ログ | /var/log/pki/pki-tomcat/ocsp/signedAudit/ |
| Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/agent/ |
| 管理サービス: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/admin/ | |
[a]
/etc/pki/pki-tomcat/ocsp/ へのリンク
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
| |
14.1.5. TKS サブシステム情報
このセクションには、TKS サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
表14.5 サブシステムが初期インストールまたは (pki-tomcat による) 追加のインスタンスの作成のいずれかによって作成されるたび
| 設定 | 値 |
|---|---|
| メインディレクトリー | /var/lib/pki/pki-tomcat/tks/ |
| 設定ディレクトリー | /var/lib/pki/pki-tomcat/tks/conf/[a] |
| 設定ファイル | /var/lib/pki/pki-tomcat/tks/conf/CS.cfg |
| サブシステム証明書 | トランスポート証明書 |
| ストレージ証明書 | |
| TLS サーバー証明書 | |
| 監査ログ署名証明書 | |
| サブシステム証明書[b] | |
| セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
| ログファイル | /var/lib/pki/pki-tomcat/tks/logs/ |
| ログのインストール | /var/log/pki/pki-tks-spawn-date.log |
| ログのアンインストール | /var/log/pki/pki-tks-destroy-date.log |
| 監査ログ | /var/log/pki/pki-tomcat/tks/signedAudit/ |
| Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/tks/webapps/tks/agent/ |
| 管理サービス: /var/lib/pki/pki-tomcat/tks/webapps/tks/admin/ | |
[a]
/etc/pki/pki-tomcat/tks/ にリンク
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
| |
14.1.6. TPS サブシステム情報
このセクションには、TPS サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。
表14.6 デフォルトインスタンスの TPS サブシステム情報 (pki-tomcat)
| 設定 | 値 |
|---|---|
| メインディレクトリー | /var/lib/pki/pki-tomcat/tps |
| 設定ディレクトリー | /var/lib/pki/pki-tomcat/tps/conf/[a] |
| 設定ファイル | /var/lib/pki/pki-tomcat/tps/conf/CS.cfg |
| サブシステム証明書 | トランスポート証明書 |
| ストレージ証明書 | |
| TLS サーバー証明書 | |
| 監査ログ署名証明書 | |
| サブシステム証明書[b] | |
| セキュリティーデータベース | /var/lib/pki/pki-tomcat/alias/[c] |
| ログファイル | /var/lib/pki/pki-tomcat/tps/logs/ |
| ログのインストール | /var/log/pki/pki-tps-spawn-date.log |
| ログのアンインストール | /var/log/pki/pki-tps-destroy-date.log |
| 監査ログ | /var/log/pki/pki-tomcat/tps/signedAudit/ |
| Web サービスファイル | エージェントサービス: /var/lib/pki/pki-tomcat/tps/webapps/tps/agent/ |
| 管理サービス: /var/lib/pki/pki-tomcat/tps/webapps/tps/admin/ | |
[a]
/etc/pki/pki-tomcat/tps/ にリンク
[b]
サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c]
すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
| |
14.1.7. 共有証明書証明書システムの場所
表2.8「サブシステムファイルの場所」 に記載されている、一般的なサーバー操作には、すべての CertificateCertificate Systemnbsp;System サブシステムインスタンスで使用されるディレクトリーがあります。
表14.7 サブシステムファイルの場所
| ディレクトリーの場所 | コンテンツ | |||||
|---|---|---|---|---|---|---|
| /var/lib/instance_name | ユーザー固有のディレクトリーの場所およびカスタマイズされた設定ファイル、プロファイル、証明書データベース、Web ファイル、およびサブシステムインスタンスの他のファイルの場所であるメインインスタンスディレクトリーが含まれます。 | |||||
| /usr/share/java/pki | CertificateCertificate Systemnbsp;System サブシステムによって共有される Java アーカイブファイルが含まれます。すべてのサブシステムの共有ファイルとともに、サブディレクトリーにサブシステム固有のファイルがあります。
| |||||
| /usr/share/pki | CertificateCertificate Systemnbsp;System インスタンスを作成するために使用される一般的なファイルとテンプレートが含まれます。すべてのサブシステムの共有ファイルとともに、サブディレクトリーにサブシステム固有のファイルがあります。
| |||||
| /usr/bin | CertificateCertificate Systemnbsp;System サブシステムによって共有される pkispawn インスタンス設定スクリプトおよびツール(Java、ネイティブ、およびセキュリティー)が含まれます。 | |||||
| /var/lib/tomcat5/common/lib | ローカルの Tomcat Web アプリケーションが共有し、CertificateCertificate Systemnbsp;System サブシステムによって共有される Java アーカイブファイルへのリンクが含まれます。TPS サブシステムが使用していない。 | |||||
| /var/lib/tomcat5/server/lib | ローカルの Tomcat Web サーバーによって使用される Java アーカイブファイルへのリンクが含まれ、CertificateCertificate Systemnbsp;System サブシステムによって共有されます。TPS サブシステムが使用していない。 | |||||
| /usr/shared/pki | Tomcat サーバーが使用する Java アーカイブファイルと、CertificateCertificate Systemnbsp;System インスタンスが使用するアプリケーションが含まれます。TPS サブシステムが使用していない。 | |||||
| TPS サブシステムによって使用される Apache モジュールが含まれます。CA、KRA、OCSP、または TKS サブシステムでは使用されません。 | |||||
| TPS サブシステムが使用する Mozilla LDAP SDK ツール。CA、KRA、OCSP、または TKS サブシステムでは使用されません。 |