Jump To Close Expand all Collapse all Table of contents 計画、インストール、およびデプロイメントのガイド I. Red Hat Certificate System のデプロイ方法の計画 Expand section "I. Red Hat Certificate System のデプロイ方法の計画" Collapse section "I. Red Hat Certificate System のデプロイ方法の計画" 1. 公開鍵の暗号化の概要 Expand section "1. 公開鍵の暗号化の概要" Collapse section "1. 公開鍵の暗号化の概要" 1.1. 暗号化と復号 Expand section "1.1. 暗号化と復号" Collapse section "1.1. 暗号化と復号" 1.1.1. 対称キーの暗号化 1.1.2. 公開鍵の暗号化 1.1.3. キー長および暗号化の強化 1.2. デジタル署名 1.3. 証明書および認証 Expand section "1.3. 証明書および認証" Collapse section "1.3. 証明書および認証" 1.3.1. 証明書は誰または何を識別 1.3.2. 認証によるアイデンティティーの確認 Expand section "1.3.2. 認証によるアイデンティティーの確認" Collapse section "1.3.2. 認証によるアイデンティティーの確認" 1.3.2.1. パスワードベースの認証 1.3.2.2. 証明書ベースの認証 1.3.3. 証明書に使用 Expand section "1.3.3. 証明書に使用" Collapse section "1.3.3. 証明書に使用" 1.3.3.1. SSL/TLS 1.3.3.2. 署名済みおよび暗号化電子メール 1.3.3.3. シングルサインオン 1.3.3.4. オブジェクトの署名 1.3.4. 証明書の種類 Expand section "1.3.4. 証明書の種類" Collapse section "1.3.4. 証明書の種類" 1.3.4.1. CA 署名証明書 1.3.4.2. その他の署名証明書 1.3.4.3. SSL/TLS サーバーおよびクライアント証明書 1.3.4.4. ユーザー証明書 1.3.4.5. デュアルキーペア 1.3.4.6. クロスペアの証明書 1.3.5. 証明書の内容 Expand section "1.3.5. 証明書の内容" Collapse section "1.3.5. 証明書の内容" 1.3.5.1. 証明書データの形式 Expand section "1.3.5.1. 証明書データの形式" Collapse section "1.3.5.1. 証明書データの形式" 1.3.5.1.1. バイナリー 1.3.5.1.2. テキスト 1.3.5.2. 識別名 1.3.5.3. 典型的な証明書 1.3.6. CA 証明書による信頼の仕組み Expand section "1.3.6. CA 証明書による信頼の仕組み" Collapse section "1.3.6. CA 証明書による信頼の仕組み" 1.3.6.1. CA 階層 1.3.6.2. 証明書チェーン 1.3.6.3. 証明書チェーンの確認 1.3.7. 証明書の状態 1.4. 証明書のライフサイクル Expand section "1.4. 証明書のライフサイクル" Collapse section "1.4. 証明書のライフサイクル" 1.4.1. 証明書の発行 1.4.2. 証明書の有効期限および更新 1.5. キー管理 2. Red Hat Certificate System の概要 Expand section "2. Red Hat Certificate System の概要" Collapse section "2. Red Hat Certificate System の概要" 2.1. Certificate System サブシステムのレビュー 2.2. Certificate System サブシステムの概要 Expand section "2.2. Certificate System サブシステムの概要" Collapse section "2.2. Certificate System サブシステムの概要" 2.2.1. 個別インスタンスと共有インスタンス 2.2.2. インスタンスインストールの要件 Expand section "2.2.2. インスタンスインストールの要件" Collapse section "2.2.2. インスタンスインストールの要件" 2.2.2.1. Directory Server インスタンスの可用性 2.2.2.2. PKI パッケージ 2.2.2.3. インスタンスのインストールと設定 2.2.2.4. インスタンスの削除 2.2.3. 実行管理 (systemctl) Expand section "2.2.3. 実行管理 (systemctl)" Collapse section "2.2.3. 実行管理 (systemctl)" 2.2.3.1. 起動、停止、再起動、およびステータスの取得 2.2.3.2. インスタンスの自動起動 2.2.4. プロセス管理 (pki-server および pkidaemon) Expand section "2.2.4. プロセス管理 (pki-server および pkidaemon)" Collapse section "2.2.4. プロセス管理 (pki-server および pkidaemon)" 2.2.4.1. pki-server コマンドラインツール 2.2.4.2. pki-server を使用したインストール済みサブシステムの有効化および無効化 2.2.4.3. pkidaemon コマンドラインツール 2.2.4.4. サブシステムの Web サービス URL の検索 2.2.4.5. Certificate System コンソールの起動 2.3. Certificate System のアーキテクチャーの概要 Expand section "2.3. Certificate System のアーキテクチャーの概要" Collapse section "2.3. Certificate System のアーキテクチャーの概要" 2.3.1. Java Application Server 2.3.2. Java Security Manager 2.3.3. インターフェイス Expand section "2.3.3. インターフェイス" Collapse section "2.3.3. インターフェイス" 2.3.3.1. サーブレットインターフェイス 2.3.3.2. 管理インターフェイス 2.3.3.3. エンドエンティティーインターフェイス 2.3.3.4. Operator インターフェイス 2.3.4. REST インターフェイス 2.3.5. JSS 2.3.6. Tomcatjss 2.3.7. PKCS #11 Expand section "2.3.7. PKCS #11" Collapse section "2.3.7. PKCS #11" 2.3.7.1. NSS Soft Token (内部トークン) 2.3.7.2. ハードウェアセキュリティーモジュール (HSM、外部トークン) 2.3.8. Certificate System のシリアル番号管理 Expand section "2.3.8. Certificate System のシリアル番号管理" Collapse section "2.3.8. Certificate System のシリアル番号管理" 2.3.8.1. シリアル番号の範囲 2.3.8.2. ランダムなシリアル番号管理 2.3.9. セキュリティードメイン 2.3.10. パスワードおよびウォッチドッグ (nuxwdog) 2.3.11. 内部 LDAP データベース 2.3.12. SELinux (Security Enhanced Linux) 2.3.13. セルフテスト 2.3.14. ログ Expand section "2.3.14. ログ" Collapse section "2.3.14. ログ" 2.3.14.1. 監査ログ 2.3.14.2. デバッグログ 2.3.14.3. インストールログ 2.3.14.4. Tomcat のエラーとアクセスログ 2.3.14.5. セルフテストログ 2.3.14.6. journalctl ログ 2.3.15. インスタンスのレイアウト Expand section "2.3.15. インスタンスのレイアウト" Collapse section "2.3.15. インスタンスのレイアウト" 2.3.15.1. Certificate System のファイルおよびディレクトリーの場所 2.3.15.2. CA サブシステム情報 2.3.15.3. KRA サブシステム情報 2.3.15.4. OCSP サブシステム情報 2.3.15.5. TKS サブシステム情報 2.3.15.6. TPS サブシステム情報 2.3.15.7. 共有 Certificate System サブシステムファイルの場所 2.4. PKI (Certificate System あり) Expand section "2.4. PKI (Certificate System あり)" Collapse section "2.4. PKI (Certificate System あり)" 2.4.1. 証明書の発行 Expand section "2.4.1. 証明書の発行" Collapse section "2.4.1. 証明書の発行" 2.4.1.1. 登録プロセス Expand section "2.4.1.1. 登録プロセス" Collapse section "2.4.1.1. 登録プロセス" 2.4.1.1.1. ユーザーインターフェイスを使用した登録 2.4.1.1.2. コマンドラインを使用した登録 Expand section "2.4.1.1.2. コマンドラインを使用した登録" Collapse section "2.4.1.1.2. コマンドラインを使用した登録" 2.4.1.1.2.1. pki ユーティリティーを使用した登録 2.4.1.1.2.2. CMC を使用した登録 Expand section "2.4.1.1.2.2. CMC を使用した登録" Collapse section "2.4.1.1.2.2. CMC を使用した登録" 2.4.1.1.2.2.1. POP なしの CMC 登録 2.4.1.1.2.2.2. 署名付き CMC 要求 2.4.1.1.2.2.3. 署名なしの CMC 要求 2.4.1.1.2.2.4. 共有シークレットのワークフロー 2.4.1.1.2.2.5. 単純な CMC 要求 2.4.1.2. 証明書プロファイル 2.4.1.3. 証明書登録の認証 2.4.1.4. クロスペアの証明書 2.4.2. 証明書の更新 2.4.3. 証明書および CRL の公開 2.4.4. 証明書の取り消しとステータスの確認 Expand section "2.4.4. 証明書の取り消しとステータスの確認" Collapse section "2.4.4. 証明書の取り消しとステータスの確認" 2.4.4.1. 証明書の取り消し 2.4.4.2. 証明書の状態 Expand section "2.4.4.2. 証明書の状態" Collapse section "2.4.4.2. 証明書の状態" 2.4.4.2.1. CRL 2.4.4.2.2. OCSP サービス Expand section "2.4.4.2.2. OCSP サービス" Collapse section "2.4.4.2.2. OCSP サービス" 2.4.4.2.2.1. OCSP レスポンスの署名 2.4.4.2.2.2. OCSP レスポンス 2.4.4.2.2.3. OCSP サービス 2.4.5. キーのアーカイブ、リカバリー、およびローテーション Expand section "2.4.5. キーのアーカイブ、リカバリー、およびローテーション" Collapse section "2.4.5. キーのアーカイブ、リカバリー、およびローテーション" 2.4.5.1. キーのアーカイブ 2.4.5.2. キーのリカバリー 2.4.5.3. KRA トランスポートのキーローテーション 2.5. Certificate System を使用したスマートカードトークン管理 Expand section "2.5. Certificate System を使用したスマートカードトークン管理" Collapse section "2.5. Certificate System を使用したスマートカードトークン管理" 2.5.1. トークンキーサービス (TKS) Expand section "2.5.1. トークンキーサービス (TKS)" Collapse section "2.5.1. トークンキーサービス (TKS)" 2.5.1.1. マスターキーおよびキーセット 2.5.1.2. キー階層 (共有キートランスポート) 2.5.1.3. キー更新 (キーの切り替え) 2.5.1.4. APDU およびセキュアチャンネル 2.5.2. トークン処理システム (TPS) Expand section "2.5.2. トークン処理システム (TPS)" Collapse section "2.5.2. トークン処理システム (TPS)" 2.5.2.1. Coolkey アプレット 2.5.2.2. トークン操作 2.5.2.3. TPS プロファイル 2.5.2.4. トークンデータベース Expand section "2.5.2.4. トークンデータベース" Collapse section "2.5.2.4. トークンデータベース" 2.5.2.4.1. トークンの状態および移行 Expand section "2.5.2.4.1. トークンの状態および移行" Collapse section "2.5.2.4.1. トークンの状態および移行" 2.5.2.4.1.1. トークンの状態 2.5.2.4.1.2. グラフィカルインターフェイスまたはコマンドラインインターフェイスを使用したトークン状態の移行完了 Expand section "2.5.2.4.1.2. グラフィカルインターフェイスまたはコマンドラインインターフェイスを使用したトークン状態の移行完了" Collapse section "2.5.2.4.1.2. グラフィカルインターフェイスまたはコマンドラインインターフェイスを使用したトークン状態の移行完了" 2.5.2.4.1.2.1. コマンドラインインターフェイスまたはグラフィカルインターフェイスを使用したトークン状態の移行 2.5.2.4.1.3. トークン操作を使用したトークン状態遷移 2.5.2.4.1.4. トークンの状態および遷移ラベル 2.5.2.4.1.5. 許可されるトークンの状態遷移のカスタマイズ 2.5.2.4.1.6. トークンの状態と遷移ラベルのカスタマイズ 2.5.2.4.1.7. トークンアクティビティーログ 2.5.2.4.2. トークンポリシー 2.5.2.5. マッピングリゾルバー 2.5.2.6. TPS ロール 2.5.3. TKS/TPS 共有シークレット 2.5.4. Enterprise Security Client (ESC) 2.6. Red Hat Certificate System サービス Expand section "2.6. Red Hat Certificate System サービス" Collapse section "2.6. Red Hat Certificate System サービス" 2.6.1. 通知 2.6.2. ジョブ 2.6.3. ログ 2.6.4. 監査 2.6.5. セルフテスト 2.6.6. ユーザー、認可、およびアクセス制御 Expand section "2.6.6. ユーザー、認可、およびアクセス制御" Collapse section "2.6.6. ユーザー、認可、およびアクセス制御" 2.6.6.1. デフォルトの管理ロール 2.6.6.2. 組み込みサブシステムの信頼ロール 2.7. クローン Expand section "2.7. クローン" Collapse section "2.7. クローン" 2.7.1. クローン作成について 2.7.2. クローンの準備 2.7.3. CA のクローン作成 2.7.4. KRA のクローン作成 2.7.5. 他のサブシステムのクローン作成 2.7.6. クローンおよびキーストア 2.7.7. LDAP とポートに関する考慮事項 2.7.8. レプリカ ID 番号 2.7.9. カスタム設定およびクローン 3. サポートされる標準およびプロトコル Expand section "3. サポートされる標準およびプロトコル" Collapse section "3. サポートされる標準およびプロトコル" 3.1. TLS、ECC、および RSA Expand section "3.1. TLS、ECC、および RSA" Collapse section "3.1. TLS、ECC、および RSA" 3.1.1. サポート対象の暗号スイート Expand section "3.1.1. サポート対象の暗号スイート" Collapse section "3.1.1. サポート対象の暗号スイート" 3.1.1.1. 推奨される TLS 暗号スイート 3.2. 許可されるキーアルゴリズムとそのサイズ 3.3. 許可されるハッシュ関数 3.4. IPv4 アドレスおよび IPv6 アドレス 3.5. サポートされる PKIX 形式およびプロトコル 4. サポート対象のプラットフォーム Expand section "4. サポート対象のプラットフォーム" Collapse section "4. サポート対象のプラットフォーム" 4.1. 一般的な要件 4.2. サーバーサポート 4.3. サポートされる Web ブラウザー 4.4. サポート対象のハードウェアセキュリティーモジュール 5. Certificate System の計画 Expand section "5. Certificate System の計画" Collapse section "5. Certificate System の計画" 5.1. 必要なサブシステムの決定 Expand section "5.1. 必要なサブシステムの決定" Collapse section "5.1. 必要なサブシステムの決定" 5.1.1. 単一証明書マネージャーの使用 5.1.2. 紛失したキーの計画: キーのアーカイブと回復 5.1.3. 証明書要求の処理の分散 5.1.4. クライアント OCSP 要求の分散 5.1.5. スマートカードの使用 5.2. 認証局階層の定義 Expand section "5.2. 認証局階層の定義" Collapse section "5.2. 認証局階層の定義" 5.2.1. パブリック CA への従属 5.2.2. Certificate System CA への従属 5.2.3. リンクされた CA 5.2.4. CA クローン 5.3. セキュリティードメインの計画 5.4. サブシステム証明書の要件の決定 Expand section "5.4. サブシステム証明書の要件の決定" Collapse section "5.4. サブシステム証明書の要件の決定" 5.4.1. インストールする証明書の決定 5.4.2. CA 識別名の計画 5.4.3. CA 署名証明書の有効期間の設定 5.4.4. 署名キーの種類と長さの選択 5.4.5. 証明書の拡張の使用 Expand section "5.4.5. 証明書の拡張の使用" Collapse section "5.4.5. 証明書の拡張の使用" 5.4.5.1. 証明書の拡張機能の構造 5.4.6. 証明書プロファイルの使用およびカスタマイズ Expand section "5.4.6. 証明書プロファイルの使用およびカスタマイズ" Collapse section "5.4.6. 証明書プロファイルの使用およびカスタマイズ" 5.4.6.1. SSL サーバー証明書への SAN 拡張機能の追加 5.4.7. 認証方法の計画 5.4.8. 証明書および CRL の公開 5.4.9. CA 署名証明書の更新または再発行 5.5. ネットワークおよび物理セキュリティーの計画 Expand section "5.5. ネットワークおよび物理セキュリティーの計画" Collapse section "5.5. ネットワークおよび物理セキュリティーの計画" 5.5.1. ファイアウォールの考慮事項 5.5.2. 物理セキュリティーと場所を考慮事項 5.5.3. ポートの計画 5.6. Certificate System サブシステムのキーおよび証明書を保存するトークン 5.7. PKI の計画に関するチェックリスト 5.8. 任意のサードパーティーサービス Expand section "5.8. 任意のサードパーティーサービス" Collapse section "5.8. 任意のサードパーティーサービス" 5.8.1. ロードバランサー 5.8.2. バックアップハードウェアおよびソフトウェア II. Red Hat Certificate System のインストール Expand section "II. Red Hat Certificate System のインストール" Collapse section "II. Red Hat Certificate System のインストール" 6. インストールの前提条件および準備 Expand section "6. インストールの前提条件および準備" Collapse section "6. インストールの前提条件および準備" 6.1. Red Hat Enterprise Linux のインストール 6.2. SELinux を使用したシステムのセキュリティー保護 Expand section "6.2. SELinux を使用したシステムのセキュリティー保護" Collapse section "6.2. SELinux を使用したシステムのセキュリティー保護" 6.2.1. SELinux が Enforcing モードで実行していることの確認 6.3. ファイアウォールの設定 Expand section "6.3. ファイアウォールの設定" Collapse section "6.3. ファイアウォールの設定" 6.3.1. ファイアウォールで必要なポートを開く 6.4. ハードウェアセキュリティーモジュール Expand section "6.4. ハードウェアセキュリティーモジュール" Collapse section "6.4. ハードウェアセキュリティーモジュール" 6.4.1. HSM 用の SELinux の設定 6.4.2. HSM での FIPS モードの有効化 6.4.3. FIPS モードが HSM で有効になっているかどうかの確認 Expand section "6.4.3. FIPS モードが HSM で有効になっているかどうかの確認" Collapse section "6.4.3. FIPS モードが HSM で有効になっているかどうかの確認" 6.4.3.1. FIPS モードが nCipher HSM で有効にされているかどうかの確認 6.4.3.2. FIPS モードが Luna SA HSM で有効にされているかどうかの確認 6.4.4. HSM を使用した Certificate System のインストールの準備 Expand section "6.4.4. HSM を使用した Certificate System のインストールの準備" Collapse section "6.4.4. HSM を使用した Certificate System のインストールの準備" 6.4.4.1. NCipher HSM パラメーター 6.4.4.2. SafeNet / Luna SA HSM パラメーター 6.4.5. ハードウェアセキュリティーモジュールでのキーのバックアップ 6.5. Red Hat Directory Server のインストール Expand section "6.5. Red Hat Directory Server のインストール" Collapse section "6.5. Red Hat Directory Server のインストール" 6.5.1. Certificate System 用の Directory Server インスタンスの準備 6.5.2. Certificate System の設定の準備 6.6. Directory Server (CA) での一時的な自己署名証明書の置き換え 6.7. 内部 LDAP サーバーの TLS クライアント認証の有効化 6.8. Red Hat サブスクリプションの添付および Certificate System パッケージリポジトリーの有効化 6.9. Certificate System のオペレーティングシステムのユーザーおよびグループ 7. Certificate System のインストールおよび設定 Expand section "7. Certificate System のインストールおよび設定" Collapse section "7. Certificate System のインストールおよび設定" 7.1. サブシステムの設定順序 7.2. Certificate System パッケージ Expand section "7.2. Certificate System パッケージ" Collapse section "7.2. Certificate System パッケージ" 7.2.1. Certificate System パッケージのインストール 7.2.2. Certificate System パッケージの更新 7.2.3. Certificate System の製品バージョンの特定 7.3. pkispawn ユーティリティーの概要 7.4. ルート認証局の設定 7.5. インストール後の設定 7.6. 追加のサブシステムの設定 7.7. 2 ステップインストール Expand section "7.7. 2 ステップインストール" Collapse section "7.7. 2 ステップインストール" 7.7.1. 2 ステップインストールを使用するタイミング 7.7.2. 2 ステップインストールの 2 つの主要部分 7.7.3. インストールの最初ステップ用の設定ファイルの作成 7.7.4. インストール手順の起動 7.7.5. インストール手順間の設定のカスタマイズ Expand section "7.7.5. インストール手順間の設定のカスタマイズ" Collapse section "7.7.5. インストール手順間の設定のカスタマイズ" 7.7.5.1. 証明書プロファイルの設定 7.7.5.2. 署名監査ログの有効化 7.7.5.3. 暗号一覧の更新 7.7.5.4. PKI コンソールタイムアウトの設定 7.7.5.5. KRA の暗号化モードへの設定 7.7.5.6. OCSP の有効化 7.7.5.7. リクエスト番号とシリアル番号の範囲の設定 7.7.6. 設定手順の開始 7.7.7. インストール後の設定 7.8. 外部 CA でのサブシステムの設定 Expand section "7.8. 外部 CA でのサブシステムの設定" Collapse section "7.8. 外部 CA でのサブシステムの設定" 7.8.1. 内部 CA と外部 CA の相違点 7.8.2. 外部 CA を使用したサブシステムのインストール 7.8.3. インストール後の設定 7.9. スタンドアロン KRA または OCSP の設定 7.10. インストール後のタスク Expand section "7.10. インストール後のタスク" Collapse section "7.10. インストール後のタスク" 7.10.1. RHCS の日付/時刻の設定 7.10.2. 一時的な証明書の置き換え 7.10.3. TLS クライアント認証の有効化 7.10.4. セッションタイムアウトの設定 7.10.5. CRL または証明書の発行 7.10.6. 証明書登録プロファイル (CA) の設定 7.10.7. アクセスバナーの有効化 7.10.8. Watchdog サービスの有効化 7.10.9. CMC 登録および失効 (CA) の設定 7.10.10. Java コンソールの TLS クライアント認証 7.10.11. ロールユーザーの作成 7.10.12. Bootstrap ユーザーの削除 7.10.13. マルチロールサポートの無効化 7.10.14. KRA の設定 Expand section "7.10.14. KRA の設定" Collapse section "7.10.14. KRA の設定" 7.10.14.1. KRA (Key Recovery Authority) に複数のエージェント承認の要件の追加 7.10.14.2. KRA 暗号化設定の設定 7.10.15. ユーザーインターフェイスを使用するようにユーザーを設定 8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用 Expand section "8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用" Collapse section "8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用" 8.1. HSM を使用した Certificate System のインストール 8.2. サブシステムでのハードウェアセキュリティーモジュールの使用 Expand section "8.2. サブシステムでのハードウェアセキュリティーモジュールの使用" Collapse section "8.2. サブシステムでのハードウェアセキュリティーモジュールの使用" 8.2.1. HSM での FIPS モードの有効化 8.2.2. FIPS モードが HSM で有効になっているかどうかの確認 Expand section "8.2.2. FIPS モードが HSM で有効になっているかどうかの確認" Collapse section "8.2.2. FIPS モードが HSM で有効になっているかどうかの確認" 8.2.2.1. FIPS モードが nCipher HSM で有効にされているかどうかの確認 8.2.2.2. FIPS モードが Luna SA HSM で有効にされているかどうかの確認 8.2.3. サブシステムの HSM エントリーの追加および管理 8.2.4. HSM 用の SELinux の設定 8.2.5. nCipher nShield Connect XC HSM を使用するサブシステムのインストール 8.2.6. Thales Luna HSM を使用するサブシステムのインストール 8.3. ハードウェアセキュリティーモジュールでのキーのバックアップ 8.4. HSM を使用したクローンサブシステムのインストール 8.5. トークンの表示 8.6. トークンの検出 9. ECC システム証明書を使用するインスタンスのインストール Expand section "9. ECC システム証明書を使用するインスタンスのインストール" Collapse section "9. ECC システム証明書を使用するインスタンスのインストール" 9.1. サードパーティーの ECC モジュールの読み込み 9.2. HSM での ECC の使用 10. サブシステムのクローン作成 Expand section "10. サブシステムのクローン作成" Collapse section "10. サブシステムのクローン作成" 10.1. ソフトウェアデータベースからのサブシステムキーのバックアップ 10.2. CA のクローン作成 10.3. クローン後の CA-KRA コネクター情報の更新 10.4. OCSP サブシステムのクローン作成 10.5. KRA サブシステムのクローン作成 10.6. TKS サブシステムのクローン作成 10.7. マスターとクローンの変換 Expand section "10.7. マスターとクローンの変換" Collapse section "10.7. マスターとクローンの変換" 10.7.1. CA クローンおよびマスターの変換 10.7.2. OCSP クローンの変換 10.8. 再キーが設定された CA のクローン作成 11. PKI ACME Responder の設定 Expand section "11. PKI ACME Responder の設定" Collapse section "11. PKI ACME Responder の設定" 11.1. PKI ACME Responder のインストール 11.2. ACME データベースの設定 Expand section "11.2. ACME データベースの設定" Collapse section "11.2. ACME データベースの設定" 11.2.1. DS データベースの設定 11.3. ACME Issuer の設定 Expand section "11.3. ACME Issuer の設定" Collapse section "11.3. ACME Issuer の設定" 11.3.1. PKI 発行者の設定 11.4. ACME レルムの設定 Expand section "11.4. ACME レルムの設定" Collapse section "11.4. ACME レルムの設定" 11.4.1. DS レルムの設定 11.5. ACME Responder のデプロイ 12. その他のインストールオプション Expand section "12. その他のインストールオプション" Collapse section "12. その他のインストールオプション" 12.1. 軽量サブ CA Expand section "12.1. 軽量サブ CA" Collapse section "12.1. 軽量サブ CA" 12.1.1. 軽量サブ CA の設定 12.1.2. 軽量サブ CA の作成の無効化 12.1.3. 軽量サブ CA の作成の再有効化 12.2. サブシステムの IPv6 の有効化 12.3. LDAP ベースの登録プロファイルの有効化 12.4. TLS 暗号のカスタマイズ 13. インストールとクローン作成のトラブルシューティング III. Certificate System の設定 Expand section "III. Certificate System の設定" Collapse section "III. Certificate System の設定" 14. Certificate System の設定ファイル Expand section "14. Certificate System の設定ファイル" Collapse section "14. Certificate System の設定ファイル" 14.1. Certificate System サブシステムのファイルおよびディレクトリーの場所 Expand section "14.1. Certificate System サブシステムのファイルおよびディレクトリーの場所" Collapse section "14.1. Certificate System サブシステムのファイルおよびディレクトリーの場所" 14.1.1. インスタンス固有の情報 14.1.2. CA サブシステム情報 14.1.3. KRA サブシステム情報 14.1.4. OCSP サブシステム情報 14.1.5. TKS サブシステム情報 14.1.6. TPS サブシステム情報 14.1.7. 共有 Certificate System サブシステムファイルの場所 14.2. CS.cfg ファイル Expand section "14.2. CS.cfg ファイル" Collapse section "14.2. CS.cfg ファイル" 14.2.1. CS.cfg ファイルの検索 14.2.2. 設定ファイルの編集 14.2.3. CS.cfg 設定ファイルの概要 Expand section "14.2.3. CS.cfg 設定ファイルの概要" Collapse section "14.2.3. CS.cfg 設定ファイルの概要" 14.2.3.1. サブシステムの基本設定 14.2.3.2. ログ設定 14.2.3.3. 認証および認可の設定 14.2.3.4. サブシステム証明書の設定 14.2.3.5. 必要なサブシステムの設定 14.2.3.6. データベース設定 14.2.3.7. キューの有効化および設定 Expand section "14.2.3.7. キューの有効化および設定" Collapse section "14.2.3.7. キューの有効化および設定" 14.2.3.7.1. CS.cfg ファイルを編集して、Queue の有効化と設定 14.2.3.8. PKI タスクの設定 14.2.3.9. CA 発行証明書の DN 属性の変更 Expand section "14.2.3.9. CA 発行証明書の DN 属性の変更" Collapse section "14.2.3.9. CA 発行証明書の DN 属性の変更" 14.2.3.9.1. 新規属性またはカスタム属性の追加 14.2.3.9.2. DER エンコード順序の変更 14.2.3.10. 異なる証明書を使用するように CA を設定して CRL を署名 14.2.3.11. CS.cfg のキャッシュからの CRL 生成の設定 14.2.3.12. CS.cfg での CRL の更新間隔の設定 14.2.3.13. サブシステムのアクセス制御設定の変更 14.2.3.14. リクエスト番号とシリアル番号の範囲の設定 14.2.3.15. TLS クライアント証明書認証を使用するための pkiconsole 要件の設定 14.3. システムパスワードの管理 Expand section "14.3. システムパスワードの管理" Collapse section "14.3. システムパスワードの管理" 14.3.1. password.conf ファイルの設定 14.3.2. Certificate System の Watchdog サービスの使用 Expand section "14.3.2. Certificate System の Watchdog サービスの使用" Collapse section "14.3.2. Certificate System の Watchdog サービスの使用" 14.3.2.1. Watchdog サービスの有効化 14.3.2.2. Watchdog が有効になっている Certificate System の起動および停止 14.3.2.3. Certificate System の Watchdog が有効になっていることの確認 14.3.2.4. Watchdog サービスの無効化 14.4. Tomcat Engine および Web サービスの設定ファイル Expand section "14.4. Tomcat Engine および Web サービスの設定ファイル" Collapse section "14.4. Tomcat Engine および Web サービスの設定ファイル" 14.4.1. Tomcatjss Expand section "14.4.1. Tomcatjss" Collapse section "14.4.1. Tomcatjss" 14.4.1.1. TLS 暗号の設定 Expand section "14.4.1.1. TLS 暗号の設定" Collapse section "14.4.1.1. TLS 暗号の設定" 14.4.1.1.1. クライアント TLS 暗号の設定 14.4.1.2. CA での自動失効チェックの有効化 14.4.1.3. サブシステムの証明書失効チェックの有効化 14.4.1.4. AIA 拡張機能の登録プロファイルへの追加 14.4.2. セッションのタイムアウト Expand section "14.4.2. セッションのタイムアウト" Collapse section "14.4.2. セッションのタイムアウト" 14.4.2.1. TLS セッションのタイムアウト 14.4.2.2. HTTP セッションのタイムアウト 14.4.2.3. PKI Web UI のセッションタイムアウト 14.4.2.4. PKI コンソールのセッションタイムアウト 14.4.2.5. PKI CLI のセッションタイムアウト 14.5. web.xml Expand section "14.5. web.xml" Collapse section "14.5. web.xml" 14.5.1. web.xml からの未使用インターフェイスの削除 (CA のみ) 14.6. Web サービスのカスタマイズ Expand section "14.6. Web サービスのカスタマイズ" Collapse section "14.6. Web サービスのカスタマイズ" 14.6.1. サブシステム Web アプリケーションのカスタマイズ 14.6.2. Web UI テーマのカスタマイズ 14.6.3. TPS トークンの状態ラベルのカスタマイズ 14.7. アクセスバナーの使用 Expand section "14.7. アクセスバナーの使用" Collapse section "14.7. アクセスバナーの使用" 14.7.1. アクセスバナーの有効化 14.7.2. アクセスバナーの無効化 14.7.3. バナーの表示 14.7.4. バナーの検証 14.8. CMC の設定 Expand section "14.8. CMC の設定" Collapse section "14.8. CMC の設定" 14.8.1. CMC の仕組み 14.8.2. PopLinkWittnessV2 機能の有効化 14.8.3. CMC 共有シークレット機能の有効化 14.8.4. Web ユーザーインターフェイスの CMCRevoke の有効化 14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定 Expand section "14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定" Collapse section "14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定" 14.9.1. インストール設定 14.9.2. プロファイル設定 14.10. 証明書の透過性の設定 Expand section "14.10. 証明書の透過性の設定" Collapse section "14.10. 証明書の透過性の設定" 14.10.1. ca.certTransparency.mode 14.10.2. ca.certTransparency.log.num 14.10.3. ca.certTransparency.log.<id>.* 15. 証明書/キー暗号トークンの管理 Expand section "15. 証明書/キー暗号トークンの管理" Collapse section "15. 証明書/キー暗号トークンの管理" 15.1. certutil および PKICertImport Expand section "15.1. certutil および PKICertImport" Collapse section "15.1. certutil および PKICertImport" 15.1.1. certutil の基本的な使用法 15.1.2. PKICertImport の基本的な使用方法 15.1.3. certutil の一般的なコマンド 15.1.4. 一般的な certutil および PKICertImport オプション 15.2. ルート証明書のインポート 15.3. 中間証明書チェーンのインポート 15.4. HSM への証明書のインポート 15.5. NSS データベースでの証明書のインポート 16. 証明書プロファイルの設定 Expand section "16. 証明書プロファイルの設定" Collapse section "16. 証明書プロファイルの設定" 16.1. ファイルシステムで直接証明書プロファイルの作成および編集 Expand section "16.1. ファイルシステムで直接証明書プロファイルの作成および編集" Collapse section "16.1. ファイルシステムで直接証明書プロファイルの作成および編集" 16.1.1. CA 以外のシステム証明書プロファイルの設定 Expand section "16.1.1. CA 以外のシステム証明書プロファイルの設定" Collapse section "16.1.1. CA 以外のシステム証明書プロファイルの設定" 16.1.1.1. プロファイル設定パラメーター 16.1.1.2. ファイルシステムで直接証明書拡張機能の変更 Expand section "16.1.1.2. ファイルシステムで直接証明書拡張機能の変更" Collapse section "16.1.1.2. ファイルシステムで直接証明書拡張機能の変更" 16.1.1.2.1. 主な使用方法および拡張キー使用の一貫性 16.1.1.2.2. クロスペアプロファイルの設定 16.1.1.3. ファイルシステムへのプロファイル入力の直接追加 16.1.2. 証明書のデフォルト有効期間の変更 16.1.3. CA システム証明書プロファイルの設定 16.1.4. スマートカード CA プロファイルの管理 Expand section "16.1.4. スマートカード CA プロファイルの管理" Collapse section "16.1.4. スマートカード CA プロファイルの管理" 16.1.4.1. TPS の登録プロファイルの編集 16.1.4.2. カスタム TPS プロファイルの作成 16.1.4.3. Windows スマートカードのログオンプロファイルの使用 16.1.5. 証明書の登録プロファイルの無効化 17. キーリカバリー認証局の設定 Expand section "17. キーリカバリー認証局の設定" Collapse section "17. キーリカバリー認証局の設定" 17.1. キーアーカイブの手動設定 17.2. KRA 操作の暗号化 Expand section "17.2. KRA 操作の暗号化" Collapse section "17.2. KRA 操作の暗号化" 17.2.1. クライアントによるキー操作暗号化の管理方法 17.2.2. KRA での暗号化アルゴリズムの設定 Expand section "17.2.2. KRA での暗号化アルゴリズムの設定" Collapse section "17.2.2. KRA での暗号化アルゴリズムの設定" 17.2.2.1. パラメーターとその値の説明 17.2.2.2. KRA で AES 暗号化を使用する場合の HSM の制約の解決 17.3. エージェント承認キーリカバリースキームの設定 Expand section "17.3. エージェント承認キーリカバリースキームの設定" Collapse section "17.3. エージェント承認キーリカバリースキームの設定" 17.3.1. コマンドラインでのエージェント承認キーリカバリーの設定 17.3.2. キーリカバリーフォームのカスタマイズ 17.3.3. 新しいプライベートストレージキーでのキーの再ラップ Expand section "17.3.3. 新しいプライベートストレージキーでのキーの再ラップ" Collapse section "17.3.3. 新しいプライベートストレージキーでのキーの再ラップ" 17.3.3.1. KRATool について 17.3.3.2. 1 つまたは複数の KRA から 1 つの KRA へのキーのラップとマージ 17.3.4. クローン後の CA-KRA コネクター情報の更新 18. ログの設定 Expand section "18. ログの設定" Collapse section "18. ログの設定" 18.1. Certificate System ログの設定 Expand section "18.1. Certificate System ログの設定" Collapse section "18.1. Certificate System ログの設定" 18.1.1. ログに記録されるサービス 18.1.2. ログレベル (メッセージカテゴリー) 18.1.3. バッファー付きおよびバッファーなしのロギング 18.1.4. ログファイルローテーション 18.2. オペレーティングシステム (RHCS の外部) のログ設定 Expand section "18.2. オペレーティングシステム (RHCS の外部) のログ設定" Collapse section "18.2. オペレーティングシステム (RHCS の外部) のログ設定" 18.2.1. OS レベルの監査ログの有効化 Expand section "18.2.1. OS レベルの監査ログの有効化" Collapse section "18.2.1. OS レベルの監査ログの有効化" 18.2.1.1. 証明書システムの監査ログ削除の監査 18.2.1.2. 秘密鍵の使用が承認されていない Certificate System の監査 18.2.1.3. 時間変更イベントの監査 18.2.1.4. 証明書システム設定へのアクセスの監査 18.3. CS.cfg ファイルでのログの設定 Expand section "18.3. CS.cfg ファイルでのログの設定" Collapse section "18.3. CS.cfg ファイルでのログの設定" 18.3.1. 署名監査ログの有効化および設定 Expand section "18.3.1. 署名監査ログの有効化および設定" Collapse section "18.3.1. 署名監査ログの有効化および設定" 18.3.1.1. 署名監査ログの有効化 18.3.1.2. 監査イベントの設定 Expand section "18.3.1.2. 監査イベントの設定" Collapse section "18.3.1.2. 監査イベントの設定" 18.3.1.2.1. 監査イベントの有効化および無効化 18.3.1.2.2. 監査イベントのフィルタリング 18.3.2. セルフテストの設定 Expand section "18.3.2. セルフテストの設定" Collapse section "18.3.2. セルフテストの設定" 18.3.2.1. 起動時のデフォルトのセルフテスト 18.3.2.2. セルフテスト設定の変更 18.3.3. デバッグログの追加設定 Expand section "18.3.3. デバッグログの追加設定" Collapse section "18.3.3. デバッグログの追加設定" 18.3.3.1. デバッグログの有効化および無効化 18.3.3.2. デバッグログファイルのローテーション設定 18.4. 監査の保持 Expand section "18.4. 監査の保持" Collapse section "18.4. 監査の保持" 18.4.1. 監査データの場所 Expand section "18.4.1. 監査データの場所" Collapse section "18.4.1. 監査データの場所" 18.4.1.1. 監査ログの場所 18.4.1.2. 証明書要求および証明書レコードの場所 19. ロールユーザーの作成 Expand section "19. ロールユーザーの作成" Collapse section "19. ロールユーザーの作成" 19.1. オペレーティングシステムでの PKI 管理ユーザーの作成 19.2. 証明書システムでの PKI ロールユーザーの作成 20. Bootstrap ユーザーの削除 Expand section "20. Bootstrap ユーザーの削除" Collapse section "20. Bootstrap ユーザーの削除" 20.1. マルチロールサポートの無効化 IV. Certificate System 10.x へのアップグレード Expand section "IV. Certificate System 10.x へのアップグレード" Collapse section "IV. Certificate System 10.x へのアップグレード" 21. Certificate System 9 から Certificate System 10 へのアップグレード Expand section "21. Certificate System 9 から Certificate System 10 へのアップグレード" Collapse section "21. Certificate System 9 から Certificate System 10 へのアップグレード" 21.1. CA の移行 Expand section "21.1. CA の移行" Collapse section "21.1. CA の移行" 21.1.1. 以前のシステムからのデータのエクスポート 21.1.2. PKCS12 ファイルの確認 21.1.3. 新規ホストでの CA の設定 21.1.4. 古いデータの新規 CA へのインポート 21.1.5. デフォルトグループにユーザーの再割り当て 21.2. KRA の移行 Expand section "21.2. KRA の移行" Collapse section "21.2. KRA の移行" 21.2.1. 新しいホストでの KRA の設定 21.2.2. 以前のシステムからのコンテンツのエクスポート 21.2.3. 新規 KRA へのデータのインポート 21.2.4. KRA エージェントページから移行したキーの存在の検証 21.2.5. アップグレード後のテスト 22. Certificate System 10 の最新のマイナーバージョンへのアップグレード V. 証明書システムサブシステムのアンインストール Expand section "V. 証明書システムサブシステムのアンインストール" Collapse section "V. 証明書システムサブシステムのアンインストール" 23. サブシステムの削除 24. Certificate System のサブシステムパッケージの削除 用語集 索引 A. 改訂履歴 法律上の通知 Settings Close Language: 日本語 简体中文 English Language: 日本語 简体中文 English Format: Multi-page Single-page PDF Format: Multi-page Single-page PDF Language and Page Formatting Options Language: 日本語 简体中文 English Language: 日本語 简体中文 English Format: Multi-page Single-page PDF Format: Multi-page Single-page PDF 6.6. Directory Server (CA) での一時的な自己署名証明書の置き換え 内部 LDAP サーバーが一時的な自己署名サーバー証明書で最初に作成された場合は、インストール後のセクションの 「一時的な証明書の置き換え」 を参照して、一時証明書を CA が発行した新しい証明書に置き換えます。 Previous Next