Menu Close

11.2. ACME データベースの設定

本セクションでは、ACME レスポンダーにデータベースを設定する方法を説明します。データベース設定は /etc/pki/pki-tomcat/acme/database.conf にあります。
  • pki-server acme-database-mod コマンドを使用すると、コマンドラインでデータベースを設定できます。パラメーターを指定せずにこのコマンドを呼び出すと、インタラクティブモードが起動します。以下に例を示します。
    $ pki-server acme-database-mod
    
    The current value is displayed in the square brackets.
    To keep the current value, simply press Enter.
    To change the current value, enter the new value.
    To remove the current value, enter a blank space.
    
    Enter the type of the database. Available types: ds, in-memory, ldap, openldap, postgresql.
    Database Type: ds
    
    Enter the location of the LDAP server (e.g. ldap://localhost.localdomain:389).
    Server URL [ldap://localhost.localdomain:389]:
    
    Enter the authentication type. Available types: BasicAuth, SslClientAuth.
    Authentication Type [BasicAuth]:
    
    Enter the bind DN.
    Bind DN [cn=Directory Manager]:
    
    Enter the bind password.
    Bind Password [********]:
    
    Enter the base DN for the ACME subtree.
    Base DN [dc=acme,dc=pki,dc=example,dc=com]:
  • --type パラメーターでコマンドを呼び出すと、指定したタイプに基づいて新しい設定が作成されます。
  • 他のパラメーターを指定してコマンドを呼び出すと、指定したパラメーターが更新されます。
特定の ACME 設定プロパティーはデータベースに保存され、クラスター内のすべての ACME レスポンダーを一貫して設定できます。デフォルトでは、ACME 設定プロパティーを取得または更新する際に、ACME レスポンダーがデータベースに直接アクセスし、データベースの負荷を増やす可能性があります。一部のデータベースは、この負荷を軽減するために ACME 設定モニターを提供する場合があります。

11.2.1. DS データベースの設定

ACME レスポンダーが DS データベースを使用するように設定できます。DS データベース設定のサンプルは、/usr/share/pki/acme/database/ds/database.conf にあります。
DS データベースを設定するには、次のコマンドを実行します。
  1. 以下のコマンドで /usr/share/pki/acme/database/database/ds/schema.ldif ファイルをインポートして ACME DS スキーマを追加します。
    $ ldapmodify -h $HOSTNAME -x -D "cn=Directory Manager" -w Secret.123 \
                -f /usr/share/pki/acme/database/ds/schema.ldif
  2. 次に LDIF ファイルを準備して ACME サブツリーを作成します。LDIF ファイルのサンプルは、usr/share/pki/acme/database/ds/create.ldif で利用できます。この例では、ベース DN に dc=acme,dc=pki,dc=example,dc=com を使用しています。
  3. ldapadd コマンドを使用して LDIF ファイルをインポートします。
    $ ldapadd -h $HOSTNAME -x -D "cn=Directory Manager" -w Secret.123 \
                -f /usr/share/pki/acme/database/ds/create.ldif
  4. データベース設定ファイルのサンプルを /usr/share/pki/acme/database/database.conf から /etc/pki/pki-tomcat/acme ディレクトリーにコピーします。または、以下のコマンドを実行して一部のパラメーターをカスタマイズします。
    $ pki-server acme-database-mod --type ds \
                -DbindPassword=Secret.123
  5. 必要に応じて設定をカスタマイズします。
    • スタンドアロンの ACME デプロイメントでは、database.conf は以下のようになります。
      class=org.example.acme.database.DSDatabase
      url=ldap://<hostname>:389
      authType=BasicAuth
      bindDN=cn=Directory Manager
      bindPassword=Secret.123
      baseDN=dc=acme,dc=pki,dc=example,dc=com
    • 共有 CA および ACME デプロイメントでは、database.conf は以下のようになります。
      class=org.example.acme.database.DSDatabase
                      configFile=conf/ca/CS.cfg
                      baseDN=dc=acme,dc=pki,dc=example,dc=com
DS データベースは、検索の永続性を使用して ACME 設定モニターを提供します。monitor.enabled=true パラメーターを設定してこれを有効にできます。