第14章 Certificate System の設定ファイル

すべてのサブシステムの主な設定ファイルは CS.cfg ファイルです。本章では、CS.cfg ファイルの編集に関する基本情報およびそのルールについて説明します。この章では、パスワードや Web サービスファイルなど、サブシステムで使用されるその他の便利な設定ファイルについても説明します。

14.1. Certificate System サブシステムのファイルおよびディレクトリーの場所

Certificate System サーバーは、1 つ以上 のサブシステムを含む Apache Tomcat インスタンスで設定されます。各サブシステムは、特定のタイプの PKI 関数の要求を処理する Web アプリケーションで設定されます。
利用可能なサブシステムは CA、KRA、OCSP、TKS、および TPS です。各インスタンスには、PKI サブシステムのタイプを 1 つのみ含めることができます。
pkispawn コマンドを使用して、特定のインスタンス内にサブシステムをインストールできます。

14.1.1. インスタンス固有の情報

デフォルトインスタンスの情報 (pki-tomcat) については、???を参照してください。

表14.1 証明書サーバーポートの割り当て (デフォルト)

ポートタイプ ポート番号 注記
セキュアなポート 8443 HTTPS 経由でエンドユーザー、エージェント、および管理者により PKI サービスにアクセスするために使用される主要なポート。
セキュアなポート 8080 HTTP を介した一部のエンドエンティティー機能のために、安全ではないサーバーにアクセスするために使用されます。たとえば、すでに署名されているため暗号化する必要のない CRL を提供するために使用されます。
AJP ポート 8009 フロントエンドの Apache プロキシーサーバーから AJP 接続を介してサーバーにアクセスするために使用されます。HTTPS ポートにリダイレクトします。
Tomcat ポート 8005 Web サーバーによって使用されます。

14.1.2. CA サブシステム情報

このセクションには、CA サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。

表14.2 デフォルトインスタンスの CA サブシステム情報 (pki-tomcat)

設定
メインディレクトリー /var/lib/pki/pki-tomcat/ca/
設定ディレクトリー /var/lib/pki/pki-tomcat/ca/conf/[a]
設定ファイル /var/lib/pki/pki-tomcat/ca/conf/CS.cfg
サブシステム証明書 CA 署名証明書
OCSP 署名証明書 (CA の内部 OCSP サービス用)
TLS サーバー証明書
監査ログ署名証明書
サブシステム証明書[b]
セキュリティーデータベース /var/lib/pki/pki-tomcat/alias/[c]
ログファイル /var/log/pki/pki-tomcat/ca/logs/[d]
ログのインストール /var/log/pki/pki-ca-spawn.date.log
ログのアンインストール /var/log/pki/pki-ca-destroy.date.log
監査ログ /var/log/pki/pki-tomcat/ca/signedAudit/
プロファイルファイル /var/lib/pki/pki-tomcat/ca/profiles/ca/
メール通知テンプレート /var/lib/pki/pki-tomcat/ca/emails/
Web サービスファイル エージェントサービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/agent/
管理サービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/admin/
エンドユーザーサービス: /var/lib/pki/pki-tomcat/ca/webapps/ca/ee/
[a] /etc/pki/pki-tomcat/ca/ のエイリアス
[b] サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c] すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。
[d] /var/lib/pki/pki-tomcat/ca へのエイリアス

14.1.3. KRA サブシステム情報

このセクションには、KRA サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。

表14.3 デフォルトインスタンスの KRA サブシステム情報 (pki-tomcat)

設定
メインディレクトリー /var/lib/pki/pki-tomcat/kra/
設定ディレクトリー /var/lib/pki/pki-tomcat/kra/conf/[a]
設定ファイル /var/lib/pki/pki-tomcat/kra/conf/CS.cfg
サブシステム証明書 トランスポート証明書
ストレージ証明書
TLS サーバー証明書
監査ログ署名証明書
サブシステム証明書[b]
セキュリティーデータベース /var/lib/pki/pki-tomcat/alias/[c]
ログファイル /var/lib/pki/pki-tomcat/kra/logs/
ログのインストール /var/log/pki/pki-kra-spawn-date.log
ログのアンインストール /var/log/pki/pki-kra-destroy-date.log
監査ログ /var/log/pki/pki-tomcat/kra/signedAudit/
Web サービスファイル エージェントサービス: /var/lib/pki/pki-tomcat/kra/webapps/kra/agent/
管理サービス: /var/lib/pki/pki-tomcat/kra/webapps/kra/admin/
[a] /etc/pki/pki-tomcat/kra/ にリンク
[b] サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c] すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。

14.1.4. OCSP サブシステム情報

このセクションには、OCSP サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。

表14.4 デフォルトのインスタンスの OCSP サブシステム情報 (pki-tomcat)

設定
メインディレクトリー /var/lib/pki/pki-tomcat/ocsp/
設定ディレクトリー /var/lib/pki/pki-tomcat/ocsp/conf/[a]
設定ファイル /var/lib/pki/pki-tomcat/ocsp/conf/CS.cfg
サブシステム証明書 トランスポート証明書
ストレージ証明書
TLS サーバー証明書
監査ログ署名証明書
サブシステム証明書[b]
セキュリティーデータベース /var/lib/pki/pki-tomcat/alias/[c]
ログファイル /var/lib/pki/pki-tomcat/ocsp/logs/
ログのインストール /var/log/pki/pki-ocsp-spawn-date.log
ログのアンインストール /var/log/pki/pki-ocsp-destroy-date.log
監査ログ /var/log/pki/pki-tomcat/ocsp/signedAudit/
Web サービスファイル エージェントサービス: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/agent/
管理サービス: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/admin/
[a] /etc/pki/pki-tomcat/ocsp/ へのリンク
[b] サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c] すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。

14.1.5. TKS サブシステム情報

このセクションには、TKS サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。

表14.5 サブシステムが初期インストールまたは (pki-tomcat による) 追加のインスタンスの作成のいずれかによって作成されるたび

設定
メインディレクトリー /var/lib/pki/pki-tomcat/tks/
設定ディレクトリー /var/lib/pki/pki-tomcat/tks/conf/[a]
設定ファイル /var/lib/pki/pki-tomcat/tks/conf/CS.cfg
サブシステム証明書 トランスポート証明書
ストレージ証明書
TLS サーバー証明書
監査ログ署名証明書
サブシステム証明書[b]
セキュリティーデータベース /var/lib/pki/pki-tomcat/alias/[c]
ログファイル /var/lib/pki/pki-tomcat/tks/logs/
ログのインストール /var/log/pki/pki-tks-spawn-date.log
ログのアンインストール /var/log/pki/pki-tks-destroy-date.log
監査ログ /var/log/pki/pki-tomcat/tks/signedAudit/
Web サービスファイル エージェントサービス: /var/lib/pki/pki-tomcat/tks/webapps/tks/agent/
管理サービス: /var/lib/pki/pki-tomcat/tks/webapps/tks/admin/
[a] /etc/pki/pki-tomcat/tks/ にリンク
[b] サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c] すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。

14.1.6. TPS サブシステム情報

このセクションには、TPS サブシステムに関する詳細が含まれています。CA サブシステムは、Certificate Server インスタンスに Web アプリケーションとしてインストールできるサブシステムの 1 つです。

表14.6 デフォルトインスタンスの TPS サブシステム情報 (pki-tomcat)

設定
メインディレクトリー /var/lib/pki/pki-tomcat/tps
設定ディレクトリー /var/lib/pki/pki-tomcat/tps/conf/[a]
設定ファイル /var/lib/pki/pki-tomcat/tps/conf/CS.cfg
サブシステム証明書 トランスポート証明書
ストレージ証明書
TLS サーバー証明書
監査ログ署名証明書
サブシステム証明書[b]
セキュリティーデータベース /var/lib/pki/pki-tomcat/alias/[c]
ログファイル /var/lib/pki/pki-tomcat/tps/logs/
ログのインストール /var/log/pki/pki-tps-spawn-date.log
ログのアンインストール /var/log/pki/pki-tps-destroy-date.log
監査ログ /var/log/pki/pki-tomcat/tps/signedAudit/
Web サービスファイル エージェントサービス: /var/lib/pki/pki-tomcat/tps/webapps/tps/agent/
管理サービス: /var/lib/pki/pki-tomcat/tps/webapps/tps/admin/
[a] /etc/pki/pki-tomcat/tps/ にリンク
[b] サブシステム証明書はセキュリティードメインによって常に発行されるため、クライアント認証を必要とするドメインレベルの操作はこのサブシステム証明書をベースにします。
[c] すべてのサブシステム証明書がインスタンスセキュリティーデータベースに保存されることに注意してください。

14.1.7. 共有 Certificate System サブシステムファイルの場所

サーバー全般操作のために、すべての Certificate System サブシステムインスタンスで使用されるディレクトリーがあります (??? に記載されています)。

表14.7 サブシステムファイルの場所

ディレクトリーの場所 コンテンツ
/var/lib/instance_name ユーザー固有のディレクトリーの場所およびカスタマイズされた設定ファイル、プロファイル、証明書データベース、Web ファイル、およびサブシステムインスタンスの他のファイルの場所であるメインインスタンスディレクトリーが含まれます。
/usr/share/java/pki Certificate System サブシステムによって共有される Java アーカイブファイルが含まれます。すべてのサブシステムの共有ファイルとともに、サブディレクトリーにサブシステム固有のファイルがあります。
pki/ca/ (CA)
pki/kra/ (KRA)
pki/ocsp/ (OCSP)
pki/tks/ (TKS)
TPS サブシステムが使用していない
/usr/share/pki Certificate System インスタンスの作成に使用する一般的なファイルとテンプレートが含まれます。すべてのサブシステムの共有ファイルとともに、サブディレクトリーにサブシステム固有のファイルがあります。
pki/ca/ (CA)
pki/kra/ (KRA)
pki/ocsp/ (OCSP)
pki/tks/ (TKS)
pki/tps (TPS)
/usr/bin Certificate System サブシステムが共有する pkispawn および pkidestroy インスタンス設定スクリプトおよびツール (Java、ネイティブ、およびセキュリティー) が含まれます。
/var/lib/tomcat5/common/lib ローカルの Tomcat Web アプリケーションで共有される Java アーカイブファイルへのリンクが含まれ、Certificate System サブシステムによって共有されます。TPS サブシステムが使用していない
/var/lib/tomcat5/server/lib ローカルの Tomcat Web サーバーによって使用される Java アーカイブファイルへのリンクが含まれ、Certificate System サブシステムによって共有されます。TPS サブシステムが使用していない
/usr/shared/pki Tomcat サーバーおよび Certificate System インスタンスが使用するアプリケーションが使用する Java アーカイブファイルが含まれます。TPS サブシステムが使用していない
/usr/lib/httpd/modules
/usr/lib64/httpd/modules
TPS サブシステムによって使用される Apache モジュールが含まれます。CA、KRA、OCSP、または TKS サブシステムでは使用されません。
/usr/lib/mozldap
/usr/lib64/mozldap
TPS サブシステムが使用する Mozilla LDAP SDK ツール。CA、KRA、OCSP、または TKS サブシステムでは使用されません。