7.8. 外部 CA でのサブシステムの設定

7.8.1. 内部 CA と外部 CA の相違点

Red Hat Certificate System では、pkispawn ユーティリティーがサブシステム証明書署名要求 (CSR) を以前にインストールされた Certificate System に送信すると、上記の証明書が pkispawn で受信されて使用され、その CSR が送られる CA は Internal CA と呼ばれます。
一方、External CA は以下のいずれかになります。
  • Certificate System の下位 CA の署名証明書を発行する RedHat Certificate System 以外の CA。
  • CSR の直接送信を許可しない Red Hat Certificate System CA がインストールされていました。たとえば、ご使用の環境で、下位 CA、KRA、OCSP、TKS、または TPS からの CSR を必要とする場合、これは PKCS #10 以外の形式である必要があります。

7.8.2. 外部 CA を使用したサブシステムのインストール

本セクションでは、証明書が外部 CA により署名される下位 CA または他のサブシステムを設定する方法を説明します。

外部 CA インストール用の設定ファイルの準備

サブシステムを Certificate System またはスタンドアロンに統合するかどうかに応じて、設定ファイルを準備します。
  • 既存の Certificate System インストールに統合されていて、外部 CA により署名された証明書を使用するサブシステムをインストールする場合は、以下を行います。
    1. サブシステムの設定ファイルを作成します。「インストールの最初ステップ用の設定ファイルの作成」 を参照してください。
    2. 各 [CA] セクション、[KRA] セクション、または [OCSP] セクションの設定ファイルに以下の設定を追加します。
      • CA インストールの場合: 
        [CA]
pki_external=True
pki_external_step_two=False

pki_ca_signing_csr_path=path/to/ca_signing.csr
pki_ca_signing_cert_path=path/to/ca_signing.crt
      • KRA インストールの場合: 
        [KRA]
pki_external=True
pki_external_step_two=False

pki_storage_csr_path=/home/user_name/kra_storage.csr
pki_transport_csr_path=/home/user_name/kra_transport.csr
pki_subsystem_csr_path=/home/user_name/subsystem.csr
pki_sslserver_csr_path=/home/user_name/sslserver.csr
pki_audit_signing_csr_path=/home/user_name/kra_audit_signing.csr
pki_admin_csr_path=/home/user_name/kra_admin.csr
      • OCSP インストールの場合: 
        [OCSP]
pki_external=True
pki_external_step_two=False

pki_ocsp_signing_csr_path=/home/user_name/ocsp_signing.csr
pki_subsystem_csr_path=/home/user_name/subsystem.csr
pki_sslserver_csr_path=/home/user_name/sslserver.csr
pki_audit_signing_csr_path=/home/user_name/ocsp_audit_signing.csr
pki_admin_csr_path=/home/user_name/ocsp_admin.csr
  • 既存の Certificate System インストールに統合されていないスタンドアロンの KRA または OCSP をインストールする場合は、「スタンドアロン KRA または OCSP の設定」に記載されている手順を実行します。

外部 CA を使用したサブシステムのインストールの開始

設定ファイルを使用してインストールを開始するには、以下を行います。
  1. pkispawn ユーティリティーを使用してインストールを開始します。 
    # pkispawn -f /root/config.txt -s subsystem
    subsystem は、インストールするサブシステム (CAKRAまたはOCSP) に置き換えます。
    このステップでは、セットアップでは、設定で指定されたファイルに CSR が保管されます。
  2. 外部 CA に CSR を送信します。CA が対応する証明書を発行した後に続行します。
    特定の環境では、外部 CA が Certificate System インスタンスでもある場合は、PKCS#10 形式の CSR を、CA に送信する前に ESP 形式に変換する必要があります。証明書の発行に関する詳細は、『Red Hat Certificate System 管理ガイドUMC を使用した証明書の発行セクションを参照してください。
  3. オプションで、インストールをカスタマイズします。詳細は、「インストール手順間の設定のカスタマイズ」 を参照してください。
  4. 外部 CA が証明書を発行したら、デプロイメント設定ファイルを編集します。
    1. pki_external_step_twoTrue に設定します。 
      pki_external_step_two=True
    2. インストールするサブシステムに応じて、以下のパラメーターを追加します。
      • CA の場合は、証明書ファイルへのパスを設定します。以下に例を示します。 
        pki_ca_signing_cert_path=/home/user_name/ca_signing.crt
        指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、さらに証明書チェーンファイルへのパスとニックネームを指定します。以下に例を示します。 
        pki_cert_chain_path=/home/user_name/cert_chain.p7b
pki_cert_chain_nickname=CA Signing Certificate
      • KRA の場合には、証明書ファイルへのパスを設定します。以下に例を示します。 
        pki_storage_cert_path=/home/user_name/kra_storage.crt
pki_transport_cert_path=/home/user_name/kra_transport.crt
pki_subsystem_cert_path=/home/user_name/subsystem.crt
pki_sslserver_cert_path=/home/user_namesslserver.crt
pki_audit_signing_cert_path=/home/user_name/kra_audit_signing.crt
pki_admin_cert_path=/home/user_name/kra_admin.crt
        指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、署名証明書ファイルと証明書チェーンファイルへのパスと、そのニックネームを指定します。以下に例を示します。 
        pki_ca_signing_nickname=CA Signing Certificate
pki_ca_signing_cert_path=/home/user_name/ca_signing.crt
pki_cert_chain_nickname=External Certificate Chain
pki_cert_chain_path=/home/user_name/cert_chain.p7b
      • OCSP の場合には、証明書ファイルへのパスを設定します。以下に例を示します。 
        pki_ocsp_signing_cert_path=/home/user_name/ocsp_signing.crt
pki_subsystem_cert_path=/home/user_name/subsystem.crt
pki_sslserver_cert_path=/home/user_name/sslserver.crt
pki_audit_signing_cert_path=/home/user_name/ocsp_audit_signing.crt
pki_admin_cert_path=/home/user_name/ocsp_admin.crt
        指定したファイルに証明書チェーンを含む証明書が含まれていない場合は、署名証明書ファイルと証明書チェーンファイルへのパスと、そのニックネームを指定します。以下に例を示します。 
        pki_ca_signing_nickname=CA Signing Certificate
pki_ca_signing_cert_path=/home/user_name/ca_signing.crt
pki_cert_chain_nickname=External Certificate Chain
pki_cert_chain_path=/home/user_name/cert_chain.p7b
  5. 必要に応じて、設定ファイルをカスタマイズします。例については、「インストール手順間の設定のカスタマイズ」を参照してください。
  6. 設定手順を開始します。 
    # pkispawn -f /root/config.txt -s subsystem
    subsystem は、インストールするサブシステム (CAKRAまたはOCSP) に置き換えます。

7.8.3. インストール後の設定

上記の手順を完了したら、インストール後の操作について 「インストール後のタスク」 に従ってください。