計画、インストール、およびデプロイメントのガイド
I. Red Hat Certificate Systemnbsp;Hat Certificate Systemnbsp;System のデプロイ方法の計画
Expand section "I. Red Hat Certificate Systemnbsp;Hat Certificate Systemnbsp;System のデプロイ方法の計画" Collapse section "I. Red Hat Certificate Systemnbsp;Hat Certificate Systemnbsp;System のデプロイ方法の計画"
1. 1. 公開鍵の暗号化の概要
  Expand section "1. 公開鍵の暗号化の概要" Collapse section "1. 公開鍵の暗号化の概要"
  1. 1.1. 暗号化と復号
    
    Expand section "1.1. 暗号化と復号" Collapse section "1.1. 暗号化と復号"
    
    1.1.1. 対称キーの暗号化
    
    1.1.2. 公開鍵の暗号化
    
    1.1.3. キー長および暗号化の強化
  2. 1.2. デジタル署名
  3. 1.3. 証明書および認証
    
    Expand section "1.3. 証明書および認証" Collapse section "1.3. 証明書および認証"
    
    1.3.1. 証明書は「誰」または「何」を識別
    
    1.3.2. 認証によるアイデンティティーの確認
    
    Expand section "1.3.2. 認証によるアイデンティティーの確認" Collapse section "1.3.2. 認証によるアイデンティティーの確認"
    
    1.3.2.1. パスワードベースの認証
    
    1.3.2.2. 証明書ベースの認証
    
    1.3.3. 証明書に使用
    
    Expand section "1.3.3. 証明書に使用" Collapse section "1.3.3. 証明書に使用"
    
    1.3.3.1. SSL/TLS
    
    1.3.3.2. 署名済みおよび暗号化電子メール
    
    1.3.3.3. シングルサインオン
    
    1.3.3.4. オブジェクトの署名
    
    1.3.4. 証明書の種類
    
    Expand section "1.3.4. 証明書の種類" Collapse section "1.3.4. 証明書の種類"
    
    1.3.4.1. CA 署名証明書
    
    1.3.4.2. その他の署名証明書
    
    1.3.4.3. SSL/TLS サーバーおよびクライアント証明書
    
    1.3.4.4. ユーザー証明書
    
    1.3.4.5. デュアルキーペア
    
    1.3.4.6. クロスペアの証明書
    
    1.3.5. 証明書の内容
    
    Expand section "1.3.5. 証明書の内容" Collapse section "1.3.5. 証明書の内容"
    
    1.3.5.1. 証明書データの形式
    
    Expand section "1.3.5.1. 証明書データの形式" Collapse section "1.3.5.1. 証明書データの形式"
    
    1.3.5.1.1. バイナリー
    
    1.3.5.1.2. テキスト
    
    1.3.5.2. 識別名
    
    1.3.5.3. 典型的な証明書
    
    1.3.6. CA 証明書による信頼の仕組み
    
    Expand section "1.3.6. CA 証明書による信頼の仕組み" Collapse section "1.3.6. CA 証明書による信頼の仕組み"
    
    1.3.6.1. CA 階層
    
    1.3.6.2. 証明書チェーン
    
    1.3.6.3. 証明書チェーンの確認
    
    1.3.7. 証明書の状態
  4. 1.4. 証明書のライフサイクル
    
    Expand section "1.4. 証明書のライフサイクル" Collapse section "1.4. 証明書のライフサイクル"
    
    1.4.1. 証明書の発行
    
    1.4.2. 証明書の有効期限および更新
  5. 1.5. キー管理
2. 2. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System の概要
  Expand section "2. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System の概要" Collapse section "2. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System の概要"
  1. 2.1. CertificateCertificate Systemnbsp;System サブシステムのレビュー
  2. 2.2. Certificate System サブシステムの概要
    
    Expand section "2.2. Certificate System サブシステムの概要" Collapse section "2.2. Certificate System サブシステムの概要"
    
    2.2.1. 個別インスタンスと共有インスタンス
    
    2.2.2. インスタンスインストールの要件
    
    Expand section "2.2.2. インスタンスインストールの要件" Collapse section "2.2.2. インスタンスインストールの要件"
    
    2.2.2.1. Directory Server インスタンスの可用性
    
    2.2.2.2. PKI パッケージ
    
    2.2.2.3. インスタンスのインストールと設定
    
    2.2.2.4. インスタンスの削除
    
    2.2.3. 実行管理 (systemctl)
    
    Expand section "2.2.3. 実行管理 (systemctl)" Collapse section "2.2.3. 実行管理 (systemctl)"
    
    2.2.3.1. 起動、停止、再起動、およびステータスの取得
    
    2.2.3.2. インスタンスの自動起動
    
    2.2.4. プロセス管理 (pki-server および pkidaemon)
    
    Expand section "2.2.4. プロセス管理 (pki-server および pkidaemon)" Collapse section "2.2.4. プロセス管理 (pki-server および pkidaemon)"
    
    2.2.4.1. pki-server コマンドラインツール
    
    2.2.4.2. pki-server を使用したインストール済みサブシステムの有効化および無効化
    
    2.2.4.3. pkidaemon コマンドラインツール
    
    2.2.4.4. サブシステムの Web サービス URL の検索
    
    2.2.4.5. 証明書システムコンソールの起動
  3. 2.3. 証明書システムのアーキテクチャーの概要
    
    Expand section "2.3. 証明書システムのアーキテクチャーの概要" Collapse section "2.3. 証明書システムのアーキテクチャーの概要"
    
    2.3.1. Java Application Server
    
    2.3.2. Java Security Manager
    
    2.3.3. インターフェース
    
    Expand section "2.3.3. インターフェース" Collapse section "2.3.3. インターフェース"
    
    2.3.3.1. サーブレットインターフェース
    
    2.3.3.2. 管理インターフェース
    
    2.3.3.3. エンドエンティティーインターフェース
    
    2.3.3.4. Operator インターフェース
    
    2.3.4. REST インターフェース
    
    2.3.5. JSS
    
    2.3.6. Tomcatjss
    
    2.3.7. PKCS #11
    
    Expand section "2.3.7. PKCS #11" Collapse section "2.3.7. PKCS #11"
    
    2.3.7.1. NSS Soft Token (内部トークン)
    
    2.3.7.2. ハードウェアセキュリティーモジュール (HSM、外部トークン)
    
    2.3.8. 証明書システムのシリアル番号管理
    
    Expand section "2.3.8. 証明書システムのシリアル番号管理" Collapse section "2.3.8. 証明書システムのシリアル番号管理"
    
    2.3.8.1. シリアル番号の範囲
    
    2.3.8.2. ランダムなシリアル番号管理
    
    2.3.9. セキュリティードメイン
    
    2.3.10. パスワードおよびウォッチドッグ (nuxwdog)
    
    2.3.11. 内部 LDAP データベース
    
    2.3.12. SELinux (Security Enhanced Linux)
    
    2.3.13. セルフテスト
    
    2.3.14. ログ
    
    Expand section "2.3.14. ログ" Collapse section "2.3.14. ログ"
    
    2.3.14.1. 監査ログ
    
    2.3.14.2. システムログ
    
    2.3.14.3. トランザクションログ
    
    2.3.14.4. デバッグログ
    
    2.3.14.5. インストールログ
    
    2.3.14.6. Tomcat のエラーとアクセスログ
    
    2.3.14.7. セルフテストログ
    
    2.3.14.8. journalctl ログ
    
    2.3.15. インスタンスのレイアウト
    
    Expand section "2.3.15. インスタンスのレイアウト" Collapse section "2.3.15. インスタンスのレイアウト"
    
    2.3.15.1. CertificateCertificate Systemnbsp;System のファイルおよびディレクトリーの場所
    
    2.3.15.2. CA サブシステム情報
    
    2.3.15.3. KRA サブシステム情報
    
    2.3.15.4. OCSP サブシステム情報
    
    2.3.15.5. TKS サブシステム情報
    
    2.3.15.6. TPS サブシステム情報
    
    2.3.15.7. 共有証明書証明書システムの場所
  4. 2.4. PKI (証明書システムあり)
    
    Expand section "2.4. PKI (証明書システムあり)" Collapse section "2.4. PKI (証明書システムあり)"
    
    2.4.1. 証明書の発行
    
    Expand section "2.4.1. 証明書の発行" Collapse section "2.4.1. 証明書の発行"
    
    2.4.1.1. 登録プロセス
    
    Expand section "2.4.1.1. 登録プロセス" Collapse section "2.4.1.1. 登録プロセス"
    
    2.4.1.1.1. ユーザーインターフェースを使用した登録
    
    2.4.1.1.2. コマンドラインを使用した登録
    
    Expand section "2.4.1.1.2. コマンドラインを使用した登録" Collapse section "2.4.1.1.2. コマンドラインを使用した登録"
    
    2.4.1.1.2.1. pki ユーティリティーを使用した登録
    
    2.4.1.1.2.2. CMC を使用した登録
    
    Expand section "2.4.1.1.2.2. CMC を使用した登録" Collapse section "2.4.1.1.2.2. CMC を使用した登録"
    
    2.4.1.1.2.2.1. POP なしの CMC 登録
    
    2.4.1.1.2.2.2. 署名付き CMC 要求
    
    2.4.1.1.2.2.3. 署名なしの CMC 要求
    
    2.4.1.1.2.2.4. 共有シークレットのワークフロー
    
    2.4.1.1.2.2.5. 単純な CMC 要求
    
    2.4.1.2. 証明書プロファイル
    
    2.4.1.3. 証明書登録の認証
    
    2.4.1.4. クロスペアの証明書
    
    2.4.2. 証明書の更新
    
    2.4.3. 証明書および CRL の公開
    
    2.4.4. 証明書の取り消しとステータスの確認
    
    Expand section "2.4.4. 証明書の取り消しとステータスの確認" Collapse section "2.4.4. 証明書の取り消しとステータスの確認"
    
    2.4.4.1. 証明書の取り消し
    
    2.4.4.2. 証明書の状態
    
    Expand section "2.4.4.2. 証明書の状態" Collapse section "2.4.4.2. 証明書の状態"
    
    2.4.4.2.1. CRL
    
    2.4.4.2.2. OCSP サービス
    
    Expand section "2.4.4.2.2. OCSP サービス" Collapse section "2.4.4.2.2. OCSP サービス"
    
    2.4.4.2.2.1. OCSP レスポンスの署名
    
    2.4.4.2.2.2. OCSP レスポンス
    
    2.4.4.2.2.3. OCSP サービス
    
    2.4.5. キーのアーカイブ、リカバリー、およびローテーション
    
    Expand section "2.4.5. キーのアーカイブ、リカバリー、およびローテーション" Collapse section "2.4.5. キーのアーカイブ、リカバリー、およびローテーション"
    
    2.4.5.1. キーのアーカイブ
    
    2.4.5.2. キーのリカバリー
    
    2.4.5.3. KRA トランスポートのキーローテーション
  5. 2.5. 証明書システムを使用したスマートカードトークン管理
    
    Expand section "2.5. 証明書システムを使用したスマートカードトークン管理" Collapse section "2.5. 証明書システムを使用したスマートカードトークン管理"
    
    2.5.1. トークンキーサービス (TKS)
    
    Expand section "2.5.1. トークンキーサービス (TKS)" Collapse section "2.5.1. トークンキーサービス (TKS)"
    
    2.5.1.1. マスターキーおよびキーセット
    
    2.5.1.2. キー階層 (共有キートランスポート)
    
    2.5.1.3. キー更新 (キーの切り替え)
    
    2.5.1.4. APDU およびセキュアチャンネル
    
    2.5.2. トークン処理システム (TPS)
    
    Expand section "2.5.2. トークン処理システム (TPS)" Collapse section "2.5.2. トークン処理システム (TPS)"
    
    2.5.2.1. Coolkey アプレット
    
    2.5.2.2. トークン操作
    
    2.5.2.3. TPS プロファイル
    
    2.5.2.4. トークンデータベース
    
    Expand section "2.5.2.4. トークンデータベース" Collapse section "2.5.2.4. トークンデータベース"
    
    2.5.2.4.1. トークンの状態および移行
    
    Expand section "2.5.2.4.1. トークンの状態および移行" Collapse section "2.5.2.4.1. トークンの状態および移行"
    
    2.5.2.4.1.1. トークンの状態
    
    2.5.2.4.1.2. グラフィカルインターフェースまたはコマンドラインインターフェースを使用したトークン状態の移行完了
    
    Expand section "2.5.2.4.1.2. グラフィカルインターフェースまたはコマンドラインインターフェースを使用したトークン状態の移行完了" Collapse section "2.5.2.4.1.2. グラフィカルインターフェースまたはコマンドラインインターフェースを使用したトークン状態の移行完了"
    
    2.5.2.4.1.2.1. コマンドラインインターフェースまたはグラフィカルインターフェースを使用したトークン状態の移行
    
    2.5.2.4.1.3. トークン操作を使用したトークン状態遷移
    
    2.5.2.4.1.4. トークンの状態および遷移ラベル
    
    2.5.2.4.1.5. 許可されるトークンの状態遷移のカスタマイズ
    
    2.5.2.4.1.6. トークンの状態と遷移ラベルのカスタマイズ
    
    2.5.2.4.1.7. トークンアクティビティーログ
    
    2.5.2.4.2. トークンポリシー
    
    2.5.2.5. マッピングリゾルバー
    
    2.5.2.6. TPS ロール
    
    2.5.3. TKS/TPS 共有シークレット
    
    2.5.4. Enterprise Security Client (ESC)
  6. 2.6. Red Hat Certificate System サービス
    
    Expand section "2.6. Red Hat Certificate System サービス" Collapse section "2.6. Red Hat Certificate System サービス"
    
    2.6.1. 通知
    
    2.6.2. ジョブ
    
    2.6.3. ログ
    
    2.6.4. 監査
    
    2.6.5. セルフテスト
    
    2.6.6. ユーザー、認可、およびアクセス制御
    
    Expand section "2.6.6. ユーザー、認可、およびアクセス制御" Collapse section "2.6.6. ユーザー、認可、およびアクセス制御"
    
    2.6.6.1. デフォルトの管理ロール
    
    2.6.6.2. 組み込みサブシステムの信頼ロール
  7. 2.7. クローン作成について
    
    Expand section "2.7. クローン作成について" Collapse section "2.7. クローン作成について"
    
    2.7.1. CA のクローン作成
    
    2.7.2. KRA のクローン作成
    
    2.7.3. 他のサブシステムのクローン作成
    
    2.7.4. クローンおよびキーストア
    
    2.7.5. LDAP とポートに関する考慮事項
    
    2.7.6. レプリカ ID 番号
    
    2.7.7. カスタム設定およびクローン
3. 3. サポートされる標準およびプロトコル
  Expand section "3. サポートされる標準およびプロトコル" Collapse section "3. サポートされる標準およびプロトコル"
  1. 3.1. TLS、ECC、および RSA
    
    Expand section "3.1. TLS、ECC、および RSA" Collapse section "3.1. TLS、ECC、および RSA"
    
    3.1.1. サポート対象の暗号スイート
    
    Expand section "3.1.1. サポート対象の暗号スイート" Collapse section "3.1.1. サポート対象の暗号スイート"
    
    3.1.1.1. 推奨される TLS 暗号スイート
  2. 3.2. 許可されるキーアルゴリズムとそのサイズ
  3. 3.3. 許可されるハッシュ関数
  4. 3.4. IPv4 アドレスおよび IPv6 アドレス
  5. 3.5. サポートされる PKIX 形式およびプロトコル
4. 4. サポート対象のプラットフォーム
  Expand section "4. サポート対象のプラットフォーム" Collapse section "4. サポート対象のプラットフォーム"
5. 5. 証明書システムの計画
  Expand section "5. 証明書システムの計画" Collapse section "5. 証明書システムの計画"
  1. 5.1. 必要なサブシステムの決定
    
    Expand section "5.1. 必要なサブシステムの決定" Collapse section "5.1. 必要なサブシステムの決定"
    
    5.1.1. 単一証明書マネージャーの使用
    
    5.1.2. 紛失したキーの計画：キーのアーカイブと回復
    
    5.1.3. 証明書要求の処理の分散
    
    5.1.4. クライアント OCSP 要求の分散
    
    5.1.5. スマートカードの使用
  2. 5.2. 認証局階層の定義
    
    Expand section "5.2. 認証局階層の定義" Collapse section "5.2. 認証局階層の定義"
    
    5.2.1. パブリック CA への従属
    
    5.2.2. 証明書システム CA への従属
    
    5.2.3. リンクされた CA
    
    5.2.4. CA クローン
  3. 5.3. セキュリティードメインの計画
  4. 5.4. サブシステム証明書の要件の決定
    
    Expand section "5.4. サブシステム証明書の要件の決定" Collapse section "5.4. サブシステム証明書の要件の決定"
    
    5.4.1. インストールする証明書の決定
    
    5.4.2. CA 識別名の計画
    
    5.4.3. CA 署名証明書の有効期間の設定
    
    5.4.4. 署名キーの種類と長さの選択
    
    5.4.5. 証明書の拡張の使用
    
    Expand section "5.4.5. 証明書の拡張の使用" Collapse section "5.4.5. 証明書の拡張の使用"
    
    5.4.5.1. 証明書の拡張機能の構造
    
    5.4.6. 証明書プロファイルの使用およびカスタマイズ
    
    Expand section "5.4.6. 証明書プロファイルの使用およびカスタマイズ" Collapse section "5.4.6. 証明書プロファイルの使用およびカスタマイズ"
    
    5.4.6.1. SSL サーバー証明書への SAN 拡張機能の追加
    
    5.4.7. 認証方法の計画
    
    5.4.8. 証明書および CRL の公開
    
    5.4.9. CA 署名証明書の更新または再発行
  5. 5.5. ネットワークおよび物理セキュリティーの計画
    
    Expand section "5.5. ネットワークおよび物理セキュリティーの計画" Collapse section "5.5. ネットワークおよび物理セキュリティーの計画"
    
    5.5.1. ファイアウォールの考慮事項
    
    5.5.2. 物理セキュリティーと場所を考慮事項
    
    5.5.3. ポートの計画
  6. 5.6. Certificate System サブシステムのキーおよび証明書を保存するトークン
  7. 5.7. PKI の計画に関するチェックリスト
  8. 5.8. 任意のサードパーティーサービス
    
    Expand section "5.8. 任意のサードパーティーサービス" Collapse section "5.8. 任意のサードパーティーサービス"
    
    5.8.1. ロードバランサー
    
    5.8.2. バックアップハードウェアおよびソフトウェア
II. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System のインストール
Expand section "II. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System のインストール" Collapse section "II. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System のインストール"
1. 6. インストールの前提条件および準備
  Expand section "6. インストールの前提条件および準備" Collapse section "6. インストールの前提条件および準備"
  1. 6.1. Red Hat Enterprise Linux のインストール
  2. 6.2. SELinux を使用したシステムのセキュリティー保護
    
    Expand section "6.2. SELinux を使用したシステムのセキュリティー保護" Collapse section "6.2. SELinux を使用したシステムのセキュリティー保護"
    
    6.2.1. SELinux が Enforcing モードで実行していることの確認
  3. 6.3. ファイアウォールの設定
    
    Expand section "6.3. ファイアウォールの設定" Collapse section "6.3. ファイアウォールの設定"
    
    6.3.1. ファイアウォールで必要なポートを開く
  4. 6.4. ハードウェアセキュリティーモジュール
    
    Expand section "6.4. ハードウェアセキュリティーモジュール" Collapse section "6.4. ハードウェアセキュリティーモジュール"
    
    6.4.1. HSM 用の SELinux の設定
    
    6.4.2. HSM での FIPS モードの有効化
    
    6.4.3. FIPS モードが HSM で有効になっているかどうかの確認
    
    Expand section "6.4.3. FIPS モードが HSM で有効になっているかどうかの確認" Collapse section "6.4.3. FIPS モードが HSM で有効になっているかどうかの確認"
    
    6.4.3.1. FIPS モードが nCipher HSM で有効にされているかどうかの確認
    
    6.4.3.2. FIPS モードが Luna SA HSM で有効にされているかどうかの確認
    
    6.4.4. HSM を使用した証明書システムのインストールの準備
    
    Expand section "6.4.4. HSM を使用した証明書システムのインストールの準備" Collapse section "6.4.4. HSM を使用した証明書システムのインストールの準備"
    
    6.4.4.1. NCipher HSM パラメーター
    
    6.4.4.2. SafeNet / Luna SA HSM パラメーター
    
    6.4.5. ハードウェアセキュリティーモジュールでのキーのバックアップ
  5. 6.5. Red Hat Directory Server のインストール
    
    Expand section "6.5. Red Hat Directory Server のインストール" Collapse section "6.5. Red Hat Directory Server のインストール"
    
    6.5.1. 証明書システム用の Directory Server インスタンスの準備
    
    6.5.2. Directory Server での TLS サポートの有効化
    
    Expand section "6.5.2. Directory Server での TLS サポートの有効化" Collapse section "6.5.2. Directory Server での TLS サポートの有効化"
    
    6.5.2.1. 例の値を使用した新規 Red Hat Certificate System サブシステムでの LDAPS の有効化方法
    
    6.5.3. 証明書システムの設定の準備
  6. 6.6. Directory Server (CA) での一時的な自己署名証明書の置き換え
  7. 6.7. 内部 LDAP サーバーの TLS クライアント認証の有効化
  8. 6.8. Red Hat サブスクリプションの添付および Certificate System パッケージリポジトリーの有効化
  9. 6.9. Certificate System のオペレーティングシステムのユーザーおよびグループ
2. 7. Certificate System のインストールおよび設定
  Expand section "7. Certificate System のインストールおよび設定" Collapse section "7. Certificate System のインストールおよび設定"
  1. 7.1. サブシステムの設定順序
  2. 7.2. Certificate System パッケージ
    
    Expand section "7.2. Certificate System パッケージ" Collapse section "7.2. Certificate System パッケージ"
    
    7.2.1. Certificate System パッケージのインストール
    
    7.2.2. Certificate System パッケージの更新
    
    7.2.3. Certificate System の製品バージョンの特定
  3. 7.3. pkispawn ユーティリティーの概要
  4. 7.4. ルート認証局の設定
  5. 7.5. インストール後の設定
  6. 7.6. 追加のサブシステムの設定
  7. 7.7. 2 ステップインストール
    
    Expand section "7.7. 2 ステップインストール" Collapse section "7.7. 2 ステップインストール"
    
    7.7.1. 2 ステップインストールを使用するタイミング
    
    7.7.2. 2 ステップインストールの 2 つの主要部分
    
    7.7.3. インストールの最初ステップ用の設定ファイルの作成
    
    7.7.4. インストール手順の起動
    
    7.7.5. インストール手順間の設定のカスタマイズ
    
    Expand section "7.7.5. インストール手順間の設定のカスタマイズ" Collapse section "7.7.5. インストール手順間の設定のカスタマイズ"
    
    7.7.5.1. 証明書プロファイルの設定
    
    7.7.5.2. 署名監査ログの有効化
    
    7.7.5.3. 暗号一覧の更新
    
    7.7.5.4. PKI コンソールタイムアウトの設定
    
    7.7.5.5. KRA の暗号化モードへの設定
    
    7.7.5.6. OCSP の有効化
    
    7.7.5.7. リクエスト番号とシリアル番号の範囲の設定
    
    7.7.6. 設定手順の開始
    
    7.7.7. インストール後の設定
  8. 7.8. 外部 CA でのサブシステムの設定
    
    Expand section "7.8. 外部 CA でのサブシステムの設定" Collapse section "7.8. 外部 CA でのサブシステムの設定"
    
    7.8.1. 内部 CA と外部 CA の相違点
    
    7.8.2. 外部 CA を使用したサブシステムのインストール
    
    7.8.3. インストール後の設定
  9. 7.9. スタンドアロン KRA または OCSP の設定
  10. 7.10. インストール後のタスク
    
    Expand section "7.10. インストール後のタスク" Collapse section "7.10. インストール後のタスク"
    
    7.10.1. RHCS の日付/時刻の設定
    
    7.10.2. 一時的な証明書の置き換え
    
    7.10.3. TLS クライアント認証の有効化
    
    7.10.4. セッションタイムアウトの設定
    
    7.10.5. CRL または証明書の発行
    
    7.10.6. 証明書登録プロファイル (CA) の設定
    
    7.10.7. アクセスバナーの有効化
    
    7.10.8. Watchdog サービスの有効化
    
    7.10.9. CMC 登録および失効 (CA) の設定
    
    7.10.10. Java コンソールの TLS クライアント認証
    
    7.10.11. ロールユーザーの作成
    
    7.10.12. Bootstrap ユーザーの削除
    
    7.10.13. マルチロールサポートの無効化
    
    7.10.14. KRA の設定
    
    Expand section "7.10.14. KRA の設定" Collapse section "7.10.14. KRA の設定"
    
    7.10.14.1. KRA (Key Recovery Authority) に複数のエージェント承認の要件の追加
    
    7.10.14.2. KRA 暗号化設定の構成
    
    7.10.15. ユーザーインターフェースを使用するようにユーザーを設定
3. 8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用
  Expand section "8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用" Collapse section "8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用"
  1. 8.1. HSM を使用した Certificate System のインストール
  2. 8.2. サブシステムでのハードウェアセキュリティーモジュールの使用
    
    Expand section "8.2. サブシステムでのハードウェアセキュリティーモジュールの使用" Collapse section "8.2. サブシステムでのハードウェアセキュリティーモジュールの使用"
    
    8.2.1. HSM での FIPS モードの有効化
    
    8.2.2. FIPS モードが HSM で有効になっているかどうかの確認
    
    Expand section "8.2.2. FIPS モードが HSM で有効になっているかどうかの確認" Collapse section "8.2.2. FIPS モードが HSM で有効になっているかどうかの確認"
    
    8.2.2.1. FIPS モードが nCipher HSM で有効にされているかどうかの確認
    
    8.2.2.2. FIPS モードが Luna SA HSM で有効にされているかどうかの確認
    
    8.2.3. サブシステムの HSM エントリーの追加および管理
    
    8.2.4. HSM 用の SELinux の設定
    
    8.2.5. nCipher nShield HSM を使用したサブシステムのインストール
    
    8.2.6. Gemalto Safenet LunaSA HSM を使用したサブシステムのインストール
  3. 8.3. ハードウェアセキュリティーモジュールでのキーのバックアップ
  4. 8.4. HSM を使用したクローンサブシステムのインストール
  5. 8.5. トークンの表示
  6. 8.6. トークンの検出
  7. 8.7. フェイルオーバーと耐障害性
    
    Expand section "8.7. フェイルオーバーと耐障害性" Collapse section "8.7. フェイルオーバーと耐障害性"
    
    8.7.1. nCipher nShield HSM
    
    Expand section "8.7.1. nCipher nShield HSM" Collapse section "8.7.1. nCipher nShield HSM"
    
    8.7.1.1. フェイルオーバー
    
    8.7.1.2. 耐障害性
    
    8.7.2. Gemalto Safenet LunaSA HSM
    
    Expand section "8.7.2. Gemalto Safenet LunaSA HSM" Collapse section "8.7.2. Gemalto Safenet LunaSA HSM"
    
    8.7.2.1. フェイルオーバー
4. 9. ECC システム証明書を使用するインスタンスのインストール
  Expand section "9. ECC システム証明書を使用するインスタンスのインストール" Collapse section "9. ECC システム証明書を使用するインスタンスのインストール"
  1. 9.1. サードパーティーの ECC モジュールの読み込み
  2. 9.2. HSM での ECC の使用
5. 10. サブシステムのクローン作成
  Expand section "10. サブシステムのクローン作成" Collapse section "10. サブシステムのクローン作成"
  1. 10.1. ソフトウェアデータベースからのサブシステムキーのバックアップ
  2. 10.2. CA のクローン作成
  3. 10.3. クローン後の CA-KRA コネクター情報の更新
  4. 10.4. OCSP サブシステムのクローン作成
  5. 10.5. KRA サブシステムのクローン作成
  6. 10.6. TKS サブシステムのクローン作成
  7. 10.7. マスターとクローンの変換
    
    Expand section "10.7. マスターとクローンの変換" Collapse section "10.7. マスターとクローンの変換"
    
    10.7.1. CA クローンおよびマスターの変換
    
    10.7.2. OCSP クローンの変換
  8. 10.8. 再キーが設定された CA のクローン作成
6. 11. PKI ACME Responder の設定
  Expand section "11. PKI ACME Responder の設定" Collapse section "11. PKI ACME Responder の設定"
  1. 11.1. PKI ACME Responder のインストール
  2. 11.2. ACME データベースの設定
    
    Expand section "11.2. ACME データベースの設定" Collapse section "11.2. ACME データベースの設定"
    
    11.2.1. DS データベースの設定
  3. 11.3. ACME Issuer の設定
    
    Expand section "11.3. ACME Issuer の設定" Collapse section "11.3. ACME Issuer の設定"
    
    11.3.1. PKI 発行者の設定
  4. 11.4. ACME レルムの設定
    
    Expand section "11.4. ACME レルムの設定" Collapse section "11.4. ACME レルムの設定"
    
    11.4.1. DS レルムの設定
  5. 11.5. ACME Responder のデプロイ
7. 12. その他のインストールオプション
  Expand section "12. その他のインストールオプション" Collapse section "12. その他のインストールオプション"
  1. 12.1. 軽量サブ CA
    
    Expand section "12.1. 軽量サブ CA" Collapse section "12.1. 軽量サブ CA"
    
    12.1.1. 軽量サブ CA の設定
    
    12.1.2. 軽量サブ CA の作成の無効化
    
    12.1.3. 軽量サブ CA の作成の再有効化
  2. 12.2. サブシステムの IPv6 の有効化
  3. 12.3. LDAP ベースの登録プロファイルの有効化
  4. 12.4. TLS 暗号のカスタマイズ
8. 13. インストールとクローン作成のトラブルシューティング
III. Certificate System の設定
Expand section "III. Certificate System の設定" Collapse section "III. Certificate System の設定"
1. 14. CertificateCertificate Systemnbsp;System 設定ファイル
  Expand section "14. CertificateCertificate Systemnbsp;System 設定ファイル" Collapse section "14. CertificateCertificate Systemnbsp;System 設定ファイル"
  1. 14.1. CertificateCertificate Systemnbsp;System サブシステムのファイルおよびディレクトリーの場所
    
    Expand section "14.1. CertificateCertificate Systemnbsp;System サブシステムのファイルおよびディレクトリーの場所" Collapse section "14.1. CertificateCertificate Systemnbsp;System サブシステムのファイルおよびディレクトリーの場所"
    
    14.1.1. インスタンス固有の情報
    
    14.1.2. CA サブシステム情報
    
    14.1.3. KRA サブシステム情報
    
    14.1.4. OCSP サブシステム情報
    
    14.1.5. TKS サブシステム情報
    
    14.1.6. TPS サブシステム情報
    
    14.1.7. 共有証明書証明書システムの場所
  2. 14.2. CS.cfg ファイル
    
    Expand section "14.2. CS.cfg ファイル" Collapse section "14.2. CS.cfg ファイル"
    
    14.2.1. CS.cfg ファイルの検索
    
    14.2.2. 設定ファイルの編集
    
    14.2.3. CS.cfg 設定ファイルの概要
    
    Expand section "14.2.3. CS.cfg 設定ファイルの概要" Collapse section "14.2.3. CS.cfg 設定ファイルの概要"
    
    14.2.3.1. サブシステムの基本設定
    
    14.2.3.2. ログ設定
    
    14.2.3.3. 認証および認可の設定
    
    14.2.3.4. サブシステム証明書の設定
    
    14.2.3.5. 必要なサブシステムの設定
    
    14.2.3.6. データベース設定
    
    14.2.3.7. キューの有効化および設定
    
    Expand section "14.2.3.7. キューの有効化および設定" Collapse section "14.2.3.7. キューの有効化および設定"
    
    14.2.3.7.1. CS.cfg ファイルを編集して、Queue の有効化と設定
    
    14.2.3.8. PKI タスクの設定
    
    14.2.3.9. CA 発行証明書の DN 属性の変更
    
    Expand section "14.2.3.9. CA 発行証明書の DN 属性の変更" Collapse section "14.2.3.9. CA 発行証明書の DN 属性の変更"
    
    14.2.3.9.1. 新規属性またはカスタム属性の追加
    
    14.2.3.9.2. DER エンコード順序の変更
    
    14.2.3.10. 異なる証明書を使用するように CA を設定して CRL を署名
    
    14.2.3.11. CS.cfg のキャッシュからの CRL 生成の設定
    
    14.2.3.12. CS.cfg での CRL の更新間隔の設定
    
    14.2.3.13. サブシステムのアクセス制御設定の変更
    
    14.2.3.14. リクエスト番号とシリアル番号の範囲の設定
    
    14.2.3.15. TLS クライアント証明書認証を使用するための pkiconsole 要件の設定
  3. 14.3. システムパスワードの管理
    
    Expand section "14.3. システムパスワードの管理" Collapse section "14.3. システムパスワードの管理"
    
    14.3.1. password.conf ファイルの設定
    
    14.3.2. Certificate System の Watchdog サービスの使用
    
    Expand section "14.3.2. Certificate System の Watchdog サービスの使用" Collapse section "14.3.2. Certificate System の Watchdog サービスの使用"
    
    14.3.2.1. Watchdog サービスの有効化
    
    14.3.2.2. Watchdog が有効になっている Certificate System の起動および停止
    
    14.3.2.3. Certificate System の Watchdog が有効になっていることの確認
    
    14.3.2.4. Watchdog サービスの無効化
  4. 14.4. Tomcat Engine および Web サービスの設定ファイル
    
    Expand section "14.4. Tomcat Engine および Web サービスの設定ファイル" Collapse section "14.4. Tomcat Engine および Web サービスの設定ファイル"
    
    14.4.1. Tomcatjss
    
    Expand section "14.4.1. Tomcatjss" Collapse section "14.4.1. Tomcatjss"
    
    14.4.1.1. TLS 暗号の設定
    
    Expand section "14.4.1.1. TLS 暗号の設定" Collapse section "14.4.1.1. TLS 暗号の設定"
    
    14.4.1.1.1. クライアント TLS 暗号の設定
    
    14.4.1.2. CA での自動失効チェックの有効化
    
    14.4.1.3. サブシステムの証明書失効チェックの有効化
    
    14.4.1.4. AIA 拡張機能の登録プロファイルへの追加
    
    14.4.2. セッションのタイムアウト
    
    Expand section "14.4.2. セッションのタイムアウト" Collapse section "14.4.2. セッションのタイムアウト"
    
    14.4.2.1. TLS セッションのタイムアウト
    
    14.4.2.2. HTTP セッションのタイムアウト
    
    14.4.2.3. PKI Web UI のセッションタイムアウト
    
    14.4.2.4. PKI コンソールのセッションタイムアウト
    
    14.4.2.5. PKI CLI のセッションタイムアウト
  5. 14.5. web.xml
    
    Expand section "14.5. web.xml" Collapse section "14.5. web.xml"
    
    14.5.1. web.xml からの未使用インターフェースの削除 (CA のみ)
  6. 14.6. Web サービスのカスタマイズ
    
    Expand section "14.6. Web サービスのカスタマイズ" Collapse section "14.6. Web サービスのカスタマイズ"
    
    14.6.1. サブシステム Web アプリケーションのカスタマイズ
    
    14.6.2. Web UI テーマのカスタマイズ
    
    14.6.3. TPS トークンの状態ラベルのカスタマイズ
  7. 14.7. アクセスバナーの使用
    
    Expand section "14.7. アクセスバナーの使用" Collapse section "14.7. アクセスバナーの使用"
    
    14.7.1. アクセスバナーの有効化
    
    14.7.2. アクセスバナーの無効化
    
    14.7.3. バナーの表示
    
    14.7.4. バナーの検証
  8. 14.8. CMC の設定
    
    Expand section "14.8. CMC の設定" Collapse section "14.8. CMC の設定"
    
    14.8.1. CMC の仕組み
    
    14.8.2. PopLinkWittnessV2 機能の有効化
    
    14.8.3. CMC 共有シークレット機能の有効化
    
    14.8.4. Web ユーザーインターフェースの CMCRevoke の有効化
  9. 14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定
    
    Expand section "14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定" Collapse section "14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定"
    
    14.9.1. インストール設定
    
    14.9.2. プロファイル設定
  10. 14.10. 証明書の透過性の設定
    
    Expand section "14.10. 証明書の透過性の設定" Collapse section "14.10. 証明書の透過性の設定"
    
    14.10.1. ca.certTransparency.mode
    
    14.10.2. ca.certTransparency.log.num
    
    14.10.3. ca.certTransparency.log.<id>.*
2. 15. 証明書/キー暗号トークンの管理
  Expand section "15. 証明書/キー暗号トークンの管理" Collapse section "15. 証明書/キー暗号トークンの管理"
  1. 15.1. certutil および PKICertImport
    
    Expand section "15.1. certutil および PKICertImport" Collapse section "15.1. certutil および PKICertImport"
    
    15.1.1. certutil の基本的な使用方法
    
    15.1.2. PKICertImport の基本的な使用方法
    
    15.1.3. certutil の一般的なコマンド
    
    15.1.4. 一般的な certutil および PKICertImport オプション
  2. 15.2. ルート証明書のインポート
  3. 15.3. 中間証明書チェーンのインポート
  4. 15.4. HSM への証明書のインポート
  5. 15.5. NSS データベースでの証明書のインポート
3. 16. 証明書プロファイルの設定
  Expand section "16. 証明書プロファイルの設定" Collapse section "16. 証明書プロファイルの設定"
  1. 16.1. ファイルシステムで直接証明書プロファイルの作成および編集
    
    Expand section "16.1. ファイルシステムで直接証明書プロファイルの作成および編集" Collapse section "16.1. ファイルシステムで直接証明書プロファイルの作成および編集"
    
    16.1.1. CA 以外のシステム証明書プロファイルの設定
    
    Expand section "16.1.1. CA 以外のシステム証明書プロファイルの設定" Collapse section "16.1.1. CA 以外のシステム証明書プロファイルの設定"
    
    16.1.1.1. プロファイル設定パラメーター
    
    16.1.1.2. ファイルシステムで直接証明書拡張機能の変更
    
    Expand section "16.1.1.2. ファイルシステムで直接証明書拡張機能の変更" Collapse section "16.1.1.2. ファイルシステムで直接証明書拡張機能の変更"
    
    16.1.1.2.1. 主な使用方法および拡張キー使用の一貫性
    
    16.1.1.2.2. クロスペアプロファイルの設定
    
    16.1.1.3. ファイルシステムへのプロファイル入力の直接追加
    
    16.1.2. 証明書のデフォルト有効期間の変更
    
    16.1.3. CA システム証明書プロファイルの設定
    
    16.1.4. スマートカード CA プロファイルの管理
    
    Expand section "16.1.4. スマートカード CA プロファイルの管理" Collapse section "16.1.4. スマートカード CA プロファイルの管理"
    
    16.1.4.1. TPS の登録プロファイルの編集
    
    16.1.4.2. カスタム TPS プロファイルの作成
    
    16.1.4.3. Windows スマートカードのログオンプロファイルの使用
    
    16.1.5. 証明書の登録プロファイルの無効化
4. 17. キーリカバリー認証局の設定
  Expand section "17. キーリカバリー認証局の設定" Collapse section "17. キーリカバリー認証局の設定"
  1. 17.1. キーアーカイブの手動設定
  2. 17.2. KRA 操作の暗号化
    
    Expand section "17.2. KRA 操作の暗号化" Collapse section "17.2. KRA 操作の暗号化"
    
    17.2.1. クライアントによるキー操作暗号化の管理方法
    
    17.2.2. KRA での暗号化アルゴリズムの設定
    
    Expand section "17.2.2. KRA での暗号化アルゴリズムの設定" Collapse section "17.2.2. KRA での暗号化アルゴリズムの設定"
    
    17.2.2.1. パラメーターとその値の説明
    
    17.2.2.2. KRA で AES 暗号化を使用する場合の HSM の制約の解決
  3. 17.3. エージェント承認キーリカバリースキームの設定
    
    Expand section "17.3. エージェント承認キーリカバリースキームの設定" Collapse section "17.3. エージェント承認キーリカバリースキームの設定"
    
    17.3.1. コマンドラインでのエージェント承認キーリカバリーの設定
    
    17.3.2. キーリカバリーフォームのカスタマイズ
    
    17.3.3. 新しいプライベートストレージキーでのキーの再ラップ
    
    Expand section "17.3.3. 新しいプライベートストレージキーでのキーの再ラップ" Collapse section "17.3.3. 新しいプライベートストレージキーでのキーの再ラップ"
    
    17.3.3.1. KRATool について
    
    17.3.3.2. 1 つまたは複数の KRA から 1 つの KRA へのキーのラップとマージ
    
    17.3.4. クローン後の CA-KRA コネクター情報の更新
5. 18. ログの設定
  Expand section "18. ログの設定" Collapse section "18. ログの設定"
  1. 18.1. 証明書システムログの設定
    
    Expand section "18.1. 証明書システムログの設定" Collapse section "18.1. 証明書システムログの設定"
    
    18.1.1. ログに記録されるサービス
    
    18.1.2. ログレベル (メッセージカテゴリー)
    
    18.1.3. バッファー付きおよびバッファーなしのロギング
    
    18.1.4. ログファイルローテーション
  2. 18.2. オペレーティングシステム (RHCS の外部) のログ設定
    
    Expand section "18.2. オペレーティングシステム (RHCS の外部) のログ設定" Collapse section "18.2. オペレーティングシステム (RHCS の外部) のログ設定"
    
    18.2.1. OS レベルの監査ログの有効化
    
    Expand section "18.2.1. OS レベルの監査ログの有効化" Collapse section "18.2.1. OS レベルの監査ログの有効化"
    
    18.2.1.1. 証明書システムの監査ログ削除の監査
    
    18.2.1.2. 秘密鍵の使用が承認されていない Certificate System の監査
    
    18.2.1.3. 時間変更イベントの監査
    
    18.2.1.4. 証明書システム設定へのアクセスの監査
  3. 18.3. CS.cfg ファイルでのログの設定
    
    Expand section "18.3. CS.cfg ファイルでのログの設定" Collapse section "18.3. CS.cfg ファイルでのログの設定"
    
    18.3.1. 署名監査ログの有効化および設定
    
    Expand section "18.3.1. 署名監査ログの有効化および設定" Collapse section "18.3.1. 署名監査ログの有効化および設定"
    
    18.3.1.1. 署名監査ログの有効化
    
    18.3.1.2. 監査イベントの設定
    
    Expand section "18.3.1.2. 監査イベントの設定" Collapse section "18.3.1.2. 監査イベントの設定"
    
    18.3.1.2.1. 監査イベントの有効化および無効化
    
    18.3.1.2.2. 監査イベントのフィルタリング
    
    18.3.2. セルフテストの設定
    
    Expand section "18.3.2. セルフテストの設定" Collapse section "18.3.2. セルフテストの設定"
    
    18.3.2.1. 起動時のデフォルトのセルフテスト
    
    18.3.2.2. セルフテスト設定の変更
    
    18.3.3. デバッグログの追加設定
    
    Expand section "18.3.3. デバッグログの追加設定" Collapse section "18.3.3. デバッグログの追加設定"
    
    18.3.3.1. デバッグログの有効化および無効化
    
    18.3.3.2. デバッグログファイルのローテーション設定
  4. 18.4. 監査の保持
    
    Expand section "18.4. 監査の保持" Collapse section "18.4. 監査の保持"
    
    18.4.1. 監査データの場所
    
    Expand section "18.4.1. 監査データの場所" Collapse section "18.4.1. 監査データの場所"
    
    18.4.1.1. 監査ログの場所
    
    18.4.1.2. 証明書要求および証明書レコードの場所
6. 19. ロールユーザーの作成
  Expand section "19. ロールユーザーの作成" Collapse section "19. ロールユーザーの作成"
  1. 19.1. オペレーティングシステムでの PKI 管理ユーザーの作成
  2. 19.2. 証明書システムでの PKI ロールユーザーの作成
7. 20. Bootstrap ユーザーの削除
  Expand section "20. Bootstrap ユーザーの削除" Collapse section "20. Bootstrap ユーザーの削除"
  1. 20.1. マルチロールサポートの無効化
IV. Certificate System 10.x へのアップグレード
Expand section "IV. Certificate System 10.x へのアップグレード" Collapse section "IV. Certificate System 10.x へのアップグレード"
1. 21. Certificate System 9 からCertificate System 10 へのアップグレード
  Expand section "21. Certificate System 9 からCertificate System 10 へのアップグレード" Collapse section "21. Certificate System 9 からCertificate System 10 へのアップグレード"
  1. 21.1. 既存の CA ファイルを使用した CA の移行
    
    Expand section "21.1. 既存の CA ファイルを使用した CA の移行" Collapse section "21.1. 既存の CA ファイルを使用した CA の移行"
    
    21.1.1. 以前のシステムからのデータのエクスポート
    
    21.1.2. 新規ホストでの CA の設定
    
    21.1.3. 新規 CA へのデータのインポート
    
    21.1.4. デフォルトグループにユーザーの再割り当て
  2. 21.2. Leapp を使用したインプレースアップグレードの実行
    
    Expand section "21.2. Leapp を使用したインプレースアップグレードの実行" Collapse section "21.2. Leapp を使用したインプレースアップグレードの実行"
    
    21.2.1. アップグレードを行うためのシステムの準備
    
    21.2.2. Leapp アップグレードの実行
2. 22. Certificate System 10 の最新のマイナーバージョンへのアップグレード
V. 証明書システムサブシステムのアンインストール
Expand section "V. 証明書システムサブシステムのアンインストール" Collapse section "V. 証明書システムサブシステムのアンインストール"
1. 23. サブシステムの削除
2. 24. CertificateCertificate Systemnbsp;System サブシステムパッケージの削除
用語集
索引
A. 改訂履歴

14.2.3.12. CS.cfg での CRL の更新間隔の設定

以下では、CRL システムを柔軟に構成して目的の動作を反映する方法について説明します。ゴールは、2 種類のスケジュールに応じて CRL 更新を設定することが目的です。1 つのタイプは明示的な時間のリストを許可し、もう 1 つのタイプは更新間の時間間隔の長さで構成されます。また、共にドリフトを考慮して考慮できるハイブリッドシナリオもあります。以下の注記のエントリーは、実際にボックスシナリオのデフォルトを示しています。

デフォルトのシナリオは以下のとおりです。

ca.crl.MasterCRL.updateSchema=3
ca.crl.MasterCRL.enableDailyUpdates=true
ca.crl.MasterCRL.enableUpdateInterval=true
ca.crl.MasterCRL.autoUpdateInterval=240
ca.crl.MasterCRL.dailyUpdates=1:00
ca.crl.MasterCRL.nextUpdateGracePeriod=0

より詳細で具体的な更新スケジュールが必要な場合にのみ、これから逸脱してください。残りのセクションでは、その実行方法を示します。

CS.cfg ファイルで完全な CRL および delta CRL の設定を行うには、パラメーターを編集する必要があります。

表14.9 CRL 拡張間隔パラメーター

パラメーター	説明	許可される値
updateSchema	完全な CRL ごとに生成されるデルタ CRL 数の比率を設定します。	整数値
enableDailyUpdates	設定された時間に基づいて CRL 更新の設定を有効または無効にします。	true または false
enableUpdateInterval	設定された間隔に基づいて CRL 更新の設定を有効または無効にします。	true または false
dailyUpdates	CRL の更新時間を設定します。	コンマ区切りの時間リスト
autoUpdateInterval	CRL を更新する間隔を分単位で設定します。	整数値
autoUpdateInterval.effectiveAtStart	現在スケジュールされている nextUpdate の時刻を待つのではなく、システムが自動更新の新しい値をすぐに使用できるようにします	true または false
nextUpdateGracePeriod	CRL の有効期間に分単位を追加し、公開またはレプリケーション期間全体で CRL が有効である状態にする期間を追加します。	整数値
refreshInSec	クローン OCSP のスレッドの周期を秒単位で設定して、LDAP で CRL の更新を確認します。	整数値

重要

autoUpdateInterval.effectiveAtStart パラメーターでは、新しい値を適用するためにシステムを再起動する必要があります。このパラメーターのデフォルト値は false です。これは、自分が何をしているかを確信しているユーザーのみが変更する必要があります。

手順14.1 CS.cfg での CRL 更新間隔の設定方法

認証局サーバーを停止します。

# systemctl stop pki-tomcatd-nuxwdog@instance_name.service

CA 設定ディレクトリーに移動します。
```
# cd /var/lib/instance_name/conf/
```
CS.cfg ファイルを編集し、次の行を追加して更新間隔を設定します。
```
ca.crl.MasterCRL.updateSchema=3
```
デフォルトの間隔は 1 です。これは、CRL が生成されるたびに完全な CRL が生成されることを意味します。updateSchema の間隔は、任意の整数に設定できます。
周期的な間隔を指定するか、更新を実行する時間を設定して、更新頻度を設定します。
- enableDailyUpdates パラメーターを有効にして設定する時間を指定し、dailyUpdates パラメーターに希望する時間を追加します。
```
ca.crl.MasterCRL.enableDailyUpdates=true
	ca.crl.MasterCRL.enableUpdateInterval=false
	ca.crl.MasterCRL.dailyUpdates=0:50,04:55,06:55
```
  このフィールドは、CRL を更新する必要がある毎日の時間を設定します。複数回指定するには、01:50,04:55,06:55 などのコンマ区切りリストを入力します。複数日のスケジュールを入力するには、コンマ区切りのリストを入力して同じ日の時間を設定し、セミコロンで区切ったリストを入力して異なる日の時間を識別します。たとえば、01:50,04:55,06:55;02:00,05:00,17:00 を設定して、サイクルの 1 日目の午前 1:50、4:55、および 6:55、そして 2 日目の午前 2:00、5:00、および午後 5:00 に失効を設定します。
  enableUpdateInterval パラメーターを有効にして間隔を指定し、autoUpdateInterval パラメーターに必要な間隔を分単位で追加します。
```
ca.crl.MasterCRL.enableDailyUpdates=false
	ca.crl.MasterCRL.enableUpdateInterval=true
	ca.crl.MasterCRL.autoUpdateInterval=240
```
環境に応じて以下のパラメーターを設定します。
- OCSP サブシステムなしで CA を実行する場合は、以下を設定します。
```
ca.crl.MasterCRL.nextUpdateGracePeriod=0
```
- OCSP サブシステムで CA を実行する場合は、以下を設定します。
```
ca.crl.MasterCRL.nextUpdateGracePeriod=time_in_minutes
```
  ca.crl.MasterCRL.nextUpdateGracePeriod パラメーターは時間 (分単位) を定義します。この値は、CA が新しい CRL を OCSP に伝播するのに十分な大きさである必要があります。パラメーターをゼロ以外の値に設定する必要があります。
  お使いの環境に OCSP クローンが追加されている場合は、以下も設定します。
```
ocsp.store.defStore.refreshInSec=time_in_seconds
```
  ocsp.store.defStore.refreshInSec パラメーターは、マスター OCSP インスタンスからの LDAP レプリケーション更新を使用して、クローン OCSP インスタンスが CRL 更新に通知する頻度を秒単位で設定します。
パラメーターの詳細は、表14.9「CRL 拡張間隔パラメーター」を参照してください。

CA サーバーを起動します。

systemctl start pki-tomcatd-nuxwdog@instance_name.service

注記

間隔ごとに CRL を更新するとドリフトが発生する場合があります。通常、ドリフトは手動更新と CA の再起動時に実行されます。

ドリフトのスケジュールを防ぐには、enableDailyUpdates パラメーターと enableUpdateInterval パラメーターを true に設定し、必要な値を autoUpdateInterval および dailyUpdates に追加します。

ca.crl.MasterCRL.enableDailyUpdates=true
ca.crl.MasterCRL.enableUpdateInterval=true
ca.crl.MasterCRL.autoUpdateInterval=240
ca.crl.MasterCRL.dailyUpdates=1:00

間隔別に CRL を更新する場合は、dailyUpdates 値を 1 つだけ受け入れます。

間隔を更新すると、24 時間ごとに dailyUpdates の値と再同期され、スケジュールのドリフトを防ぐことができます。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

14.2.3.12. CS.cfg での CRL の更新間隔の設定