Menu Close
7.7.3. インストールの最初ステップ用の設定ファイルの作成
/root/config.txtなどの構成設定用のテキストファイルを作成し、これを以下の設定で入力します。
重要
本セクションでは、Certificate System と同じホストで実行している Directory Server の最低限の設定を説明します。環境に応じて、追加パラメーターが必要になる場合があります。その他の例は、pkispawn(8) の man ページの 『EXAMPLES』 セクションを参照してください。
本セクションで説明するパラメーターの説明は、pki_default.cfg(5) の man ページを参照してください。
サブシステムに依存しない設定
インストールするサブシステムとは関係なく、構成ファイルには次の設定が必要です。
- Certificate System
adminユーザー、PKCS #12 ファイル、および Directory Server のパスワードを設定します。[DEFAULT] pki_admin_password=password pki_client_pkcs12_password=password pki_ds_password=password
- 同じホストで実行している Directory Server への LDAPS 接続を使用するには、設定ファイルの
[DEFAULT]セクションに以下のパラメーターを追加します。pki_ds_secure_connection=True pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
注記セキュリティー上の理由から、Red Hat は、Directory Server への暗号化された接続を使用することを推奨します。Directory Server で自己署名証明書を使用する場合は、以下のコマンドを使用して Directory Server の Network Security Services (NSS) データベースからエクスポートします。# certutil -L -d /etc/dirsrv/slapd-instance_name/ \ -n "server-cert" -a -o /root/ds.crt
重要
デフォルトでは、Certificate Systemは、インストール後に
~/.dogtag/instance_name/subsystem/alias クライアントデータベースを削除します。セキュリティー上の理由から、Red Hat は、構成ファイルの pki_client_database_purge パラメーターを有効にしないことをお勧めします。このパラメータを手動で True に設定した場合、Certificate Systemは、インストール後にクライアントデータベースを削除しません。
初期設定ファイルを作成したら、サブシステム固有の設定を追加します。以下を参照してください。
CA 設定
「サブシステムに依存しない設定」 に加え、CA をインストールするために以下の設定が必要になります。
- セキュリティーを強化するには、設定ファイルに以下が設定された
[CA]を追加して、ランダムなシリアル番号を有効にします。[CA] pki_random_serial_numbers_enable=true
- 必要に応じて、
[CA]セクションに以下のパラメーターを設定して、adminユーザーのデータを指定します。これは、インストール時に自動的に作成されます。pki_admin_nickname=caadmin pki_admin_name=CA administrator account pki_admin_password=password pki_admin_uid=caadmin pki_admin_email=caadmin@example.com
Certificate Systemは、このアカウントに管理者権限を割り当てます。インストール後にこのアカウントを使用して、Certificate System を管理し、さらにユーザーアカウントを作成します。 - Certificate System が一意のニックネームを生成できるようにするには、
[DEFAULT]セクションで次のパラメーターを設定します。pki_instance_name=instance_name pki_security_domain_name=example.com Security Domain pki_host=server.example.com
重要ネットワーク共有ハードウェアセキュリティーモジュール (HSM) を使用して Certificate System をインストールする場合は、一意の証明書のニックネームを使用する必要があります。 - 必要に応じて、証明書の生成時に、RSA ではなく Elliptic Curve Cryptography (ECC) を使用するには、以下を実行します。
[DEFAULT]セクションに以下のパラメーターを追加します。pki_admin_key_algorithm=SHA256withEC pki_admin_key_size=nistp256 pki_admin_key_type=ecc pki_sslserver_key_algorithm=SHA256withEC pki_sslserver_key_size=nistp256 pki_sslserver_key_type=ecc pki_subsystem_key_algorithm=SHA256withEC pki_subsystem_key_size=nistp256 pki_subsystem_key_type=ecc
[CA]セクションに以下のパラメーターを追加します。pki_ca_signing_key_algorithm=SHA256withEC pki_ca_signing_key_size=nistp256 pki_ca_signing_key_type=ecc pki_ca_signing_signing_algorithm=SHA256withEC pki_ocsp_signing_key_algorithm=SHA256withEC pki_ocsp_signing_key_size=nistp256 pki_ocsp_signing_key_type=ecc pki_ocsp_signing_signing_algorithm=SHA256withEC
[CA]セクションに以下のパラメーターを追加して、ECC プロファイルで RSA プロファイルを上書きします。pki_source_admincert_profile=/usr/share/pki/ca/conf/eccAdminCert.profile pki_source_servercert_profile=/usr/share/pki/ca/conf/eccServerCert.profile pki_source_subsystemcert_profile=/usr/share/pki/ca/conf/eccSubsystemCert.profile
他のサブシステムの設定
「サブシステムに依存しない設定」 に加え、下位 CA、KRA、OCSP、TKS、または TPS をインストールする必要があります。
- 以下のエントリーを設定ファイルの
[DEFAULT]セクションに追加します。pki_client_database_password=password
- TPS をインストールしている場合は、以下を行います。
- 次のセクションに次のセクションを追加します。
[TPS] pki_authdb_basedn=basedn_of_the_TPS_authentication_database
- 必要に応じて、TPS が共有 CA インスタンスにすでにインストールされている KRA を利用してサーバー側のキー生成を使用するように構成するには、
[TPS]セクションに次のエントリーを追加します。pki_enable_server_side_keygen=True