7.7. 2 ステップインストール

インストール中に特定の設定パラメーターをカスタマイズするには、インストールプロセスを 2 つのステップで実行し、そのステップの間に設定を行う必要があります。このため、pkispawn ユーティリティーを使用すると、2 つの手順でサブシステムのインストールを実行できます。

7.7.1. 2 ステップインストールを使用するタイミング

次のようなシナリオでは、2 つのステップのインストールを使用します。
  • セキュリティーの強化。
  • サブシステム証明書のカスタマイズ。
  • 既存の Certificate System に接続する新しい Certificate System インスタンスをインストールする場合に、/etc/pki/instance_name/server.xml ファイルの sslRangeCiphers パラメーターの暗号リストをカスタマイズ。
  • FIPS モードで CA クローン、KRA、OCSP、TKS、および TPS をインストールします。
  • FIPS モードでハードウェアセキュリティーモジュール (HSM) を使用した Certificate System のインストール

7.7.2. 2 ステップインストールの 2 つの主要部分

2 ステップのインストールは、以下の 2 つの主要な部分で設定されます。
  1. インストール
    このステップでは、pkispawn は、/usr/share/pki/ ディレクトリーから、インスタンス固有のディレクトリー /etc/pki/instance_name/ に設定ファイルをコピーします。さらに、pkispawn は、デプロイメント設定ファイルで定義されている値に基づいて設定を行います。
    インストールのこの部分には、以下のサブステップが含まれます。
  2. 設定
    このステップでは、pkispawn インスタンス固有の /etc/pki/instance_name/ ディレクトリーの設定ファイルに基づいてインストールを続行します。
    インストールのこの部分には、以下のサブステップが含まれます。

7.7.3. インストールの最初ステップ用の設定ファイルの作成

/root/config.txtなどの設定設定用のテキストファイルを作成し、これを以下の設定で入力します。
重要
本セクションでは、Certificate System と同じホストで実行している Directory Server の最低限の設定を説明します。環境に応じて、追加パラメーターが必要になる場合があります。その他の例は、pkispawn(8) の man ページの 『EXAMPLES』 セクションを参照してください。
本セクションで説明するパラメーターの説明は、pki_default.cfg(5) の man ページを参照してください。

サブシステムに依存しない設定

インストールするサブシステムとは関係なく、設定ファイルには次の設定が必要です。
  1. Certificate System admin ユーザー、PKCS #12 ファイル、および Directory Server のパスワードを設定します。
    [DEFAULT]
    pki_admin_password=password
    pki_client_pkcs12_password=password
    pki_ds_password=password
  2. 同じホストで実行している Directory Server への LDAPS 接続を使用するには、設定ファイルの [DEFAULT] セクションに以下のパラメーターを追加します。
    pki_ds_secure_connection=True
    pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
    注記
    セキュリティー上の理由から、Red Hat は、Directory Server への暗号化された接続を使用することを推奨します。
    Directory Server で自己署名証明書を使用する場合は、以下のコマンドを使用して Directory Server の Network Security Services (NSS) データベースからエクスポートします。
    # certutil -L -d /etc/dirsrv/slapd-instance_name/ \
         -n "server-cert" -a -o /root/ds.crt
重要
デフォルトでは、Certificate System は、インストール後に ~/.dogtag/instance_name/subsystem/alias クライアントデータベースを削除します。セキュリティー上の理由から、Red Hat は、設定ファイルの pki_client_database_purge パラメーターを有効にしないことをお勧めします。このパラメーターを手動で True に設定した場合、Certificate System は、インストール後にクライアントデータベースを削除しません。
初期設定ファイルを作成したら、サブシステム固有の設定を追加します。以下を参照してください。

CA 設定

「サブシステムに依存しない設定」 に加え、CA をインストールするために以下の設定が必要になります。
  1. セキュリティーを強化するには、設定ファイルに以下が設定された [CA] を追加して、ランダムなシリアル番号を有効にします。
    [CA]
    pki_random_serial_numbers_enable=true
  2. 必要に応じて、[CA] セクションに以下のパラメーターを設定して、admin ユーザーのデータを指定します。これは、インストール時に自動的に作成されます。
    pki_admin_nickname=caadmin
    pki_admin_name=CA administrator account
    pki_admin_password=password
    pki_admin_uid=caadmin
    pki_admin_email=caadmin@example.com
    Certificate System は、このアカウントに管理者権限を割り当てます。インストール後にこのアカウントを使用して、Certificate System を管理し、さらにユーザーアカウントを作成します。
  3. Certificate System が一意のニックネームを生成できるようにするには、[DEFAULT] セクションで次のパラメーターを設定します。
    pki_instance_name=instance_name
    pki_security_domain_name=example.com Security Domain
    pki_host=server.example.com
    重要
    ネットワーク共有ハードウェアセキュリティーモジュール (HSM) を使用して Certificate System をインストールする場合は、一意の証明書のニックネームを使用する必要があります。
  4. 必要に応じて、証明書の生成時に、RSA ではなく Elliptic Curve Cryptography (ECC) を使用するには、以下を実行します。
    1. [DEFAULT] セクションに以下のパラメーターを追加します。
      pki_admin_key_algorithm=SHA256withEC
      pki_admin_key_size=nistp256
      pki_admin_key_type=ecc
      pki_sslserver_key_algorithm=SHA256withEC
      pki_sslserver_key_size=nistp256
      pki_sslserver_key_type=ecc
      pki_subsystem_key_algorithm=SHA256withEC
      pki_subsystem_key_size=nistp256
      pki_subsystem_key_type=ecc
    2. [CA] セクションに以下のパラメーターを追加します。
      pki_ca_signing_key_algorithm=SHA256withEC
      pki_ca_signing_key_size=nistp256
      pki_ca_signing_key_type=ecc
      pki_ca_signing_signing_algorithm=SHA256withEC
      pki_ocsp_signing_key_algorithm=SHA256withEC
      pki_ocsp_signing_key_size=nistp256
      pki_ocsp_signing_key_type=ecc
      pki_ocsp_signing_signing_algorithm=SHA256withEC
    3. [CA] セクションに以下のパラメーターを追加して、ECC プロファイルで RSA プロファイルを上書きします。
      pki_source_admincert_profile=/usr/share/pki/ca/conf/eccAdminCert.profile
      pki_source_servercert_profile=/usr/share/pki/ca/conf/eccServerCert.profile
      pki_source_subsystemcert_profile=/usr/share/pki/ca/conf/eccSubsystemCert.profile
      

他のサブシステムの設定

「サブシステムに依存しない設定」 に加え、下位 CA、KRA、OCSP、TKS、または TPS をインストールする必要があります。
  1. 以下のエントリーを設定ファイルの [DEFAULT] セクションに追加します。
    pki_client_database_password=password
  2. TPS をインストールしている場合は、以下を行います。
    1. 次のセクションに次のセクションを追加します。
      [TPS]
      pki_authdb_basedn=basedn_of_the_TPS_authentication_database
    2. 必要に応じて、TPS が共有 CA インスタンスにすでにインストールされている KRA を利用してサーバー側のキー生成を使用するように設定するには、[TPS] セクションに次のエントリーを追加します。
      pki_enable_server_side_keygen=True

7.7.4. インストール手順の起動

「インストールの最初ステップ用の設定ファイルの作成」の説明に従って設定ファイルを準備したら、インストールの最初のステップを開始します。
# pkispawn -f /root/config.txt -s subsystem --skip-configuration
subsystem は、CAKRAOCSPTKS または TPS のいずれかに置き換えます。

7.7.5. インストール手順間の設定のカスタマイズ

「インストール手順の起動」 で説明されているインストール手順が修了したら、実際の設定を開始する前に、インスタンス固有の設定ファイルを手動で更新できます。このセクションでは、インストールの最初のステップと 2 番目のステップの間でカスタマイズできるものの特定の例を示します。

7.7.5.1. 証明書プロファイルの設定

多くの場合、サイトは特定の証明書登録プロファイルをカスタマイズしたり (たとえば、証明書のデフォルトの有効期間を変更したり)、一部のプロファイルを追加/削除したいと思うでしょう。オプションの完全なリストは、16章証明書プロファイルの設定を参照してください。

7.7.5.2. 署名監査ログの有効化

署名された監査ロギング機能を使用すると、承認されていないログ操作の検出が可能になります。詳細は、「署名監査ログの有効化および設定」 を参照してください。

7.7.5.3. 暗号一覧の更新

特定の状況では、管理者が暗号の一覧を更新する必要があります。以下に例を示します。
  • Certificate System インスタンスのセキュリティーを保護するには
  • Certificate System インスタンスをインストールし、特定の暗号のみをサポートする既存のサイトに追加するには
暗号一覧の更新に関する詳細は、Red Hat Certificate System 管理ガイドの該当するセクションを参照してください。

RSA 暗号化のデフォルトの FIPS モードが有効になっている暗号

デフォルトでは、Certificate System には、RSA 暗号化に以下の FIPS モードが有効な暗号が含まれます。
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256

ECC 暗号化のデフォルトの FIPS モードが有効になっている暗号

デフォルトでは、Certificate System には、ECC (Elliptic Curve Cryptography) 暗号化に対して、以下の FIPS モードが有効な暗号が含まれます。
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256

FIPS モードが有効になっているシステムで HSM を実行する際に必要な RSA 暗号

RSA で FIPS モードが有効になっているシステムに LunaSA または Hardware Security Module (HSM) のいずれかを使用した Certificate System をインストールする場合は、HSM ではサポートされていないため、以下の暗号を無効にします。
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

7.7.5.4. PKI コンソールタイムアウトの設定

PKI コンソールタイムアウトの設定に関する詳細は、「セッションのタイムアウト」 の該当するセクションを参照してください。

7.7.5.5. KRA の暗号化モードへの設定

Hardware Security Module (HSM) を使用している場合は、特定の状況で Key Recovery Authority (KRA) を暗号化モードに設定する必要があります。詳細は、「KRA の暗号化モードへの設定」 を参照してください。

7.7.5.6. OCSP の有効化

OCSP (Online Certificate Status Protocol) を有効にする方法は、「サブシステムの証明書失効チェックの有効化」を参照してください。

7.7.5.7. リクエスト番号とシリアル番号の範囲の設定

リクエストおよびシリアル番号の範囲の設定に関する詳細は、「リクエスト番号とシリアル番号の範囲の設定」を参照してください。

7.7.6. 設定手順の開始

「インストール手順間の設定のカスタマイズ」に従って設定ファイルをカスタマイズしたら、インストールの 2 つ目のステップを開始します。
# pkispawn -f /root/config.txt -s subsystem --skip-installation
subsystem は、CAKRAOCSPTKS または TPS のいずれかに置き換えます。
設定手順に成功すると、pkispawn ユーティリティーにインストールの概要が表示されます。以下に例を示します。
================================================================
                       INSTALLATION SUMMARY
================================================================

  Administrator's username:             caadmin
  Administrator's PKCS #12 file:
        /root/.dogtag/instance_name/ca_admin_cert.p12

  To check the status of the subsystem:
        systemctl status pki-tomcatd@instance_name.service

  To restart the subsystem:
        systemctl restart pki-tomcatd@instance_name.service

  The URL for the subsystem is:
        https://server.example.com:8443/ca/

  PKI instances will be enabled upon system boot

================================================================

7.7.7. インストール後の設定

上記の手順を完了したら、インストール後の操作について 「インストール後のタスク」 に従ってください。