Menu Close

14.10. 証明書の透過性の設定

Certificate System は、証明書 Certificate Transparency (CT) V1 サポートの基本バージョン (rfc 6962) を提供します。各デプロイメントサイトがルート CA 証明書を含めることを選択した信頼できるログから、Signed Certificate Time スタンプ (SCT) が埋め込まれた証明書を発行する機能があります。また、複数の CT ログに対応するようにシステムを設定することもできます。この機能を使用するには、少なくとも 1 つの信頼できる CT ログが必要です。
重要
デプロイメントサイトが、信頼できる CT ログサーバーとの信頼関係を確立します。
証明書の透過性を設定するには、/var/lib/pki/instance name/ca/conf/CS.cfg ディレクトリーにある CA の CS.cfg ファイルを編集します。
証明書の透過性設定をテストする方法は、『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』の証明書の透明性のテストセクションを参照してください。

14.10.1. ca.certTransparency.mode

ca.certTransparency.mode は、3 つの証明書の透過性モードのいずれかを指定します。
  • disabled: 発行した証明書には SCT 拡張がありません。
  • enabled: 発行した証明書に SCT 拡張が含まれます。
  • perProfile: 以下の policyset が含まれるプロファイルで登録された証明書は SCT 拡張を保持します: SignedCertificateTimestampListExtDefaultImpl
デフォルトの値は 0 です。