計画、インストール、およびデプロイメントのガイド
I. Red Hat Certificate Systemnbsp;Hat Certificate Systemnbsp;System のデプロイ方法の計画
Expand section "I. Red Hat Certificate Systemnbsp;Hat Certificate Systemnbsp;System のデプロイ方法の計画" Collapse section "I. Red Hat Certificate Systemnbsp;Hat Certificate Systemnbsp;System のデプロイ方法の計画"
1. 1. 公開鍵の暗号化の概要
  Expand section "1. 公開鍵の暗号化の概要" Collapse section "1. 公開鍵の暗号化の概要"
  1. 1.1. 暗号化と復号
    
    Expand section "1.1. 暗号化と復号" Collapse section "1.1. 暗号化と復号"
    
    1.1.1. 対称キーの暗号化
    
    1.1.2. 公開鍵の暗号化
    
    1.1.3. キー長および暗号化の強化
  2. 1.2. デジタル署名
  3. 1.3. 証明書および認証
    
    Expand section "1.3. 証明書および認証" Collapse section "1.3. 証明書および認証"
    
    1.3.1. 証明書は「誰」または「何」を識別
    
    1.3.2. 認証によるアイデンティティーの確認
    
    Expand section "1.3.2. 認証によるアイデンティティーの確認" Collapse section "1.3.2. 認証によるアイデンティティーの確認"
    
    1.3.2.1. パスワードベースの認証
    
    1.3.2.2. 証明書ベースの認証
    
    1.3.3. 証明書に使用
    
    Expand section "1.3.3. 証明書に使用" Collapse section "1.3.3. 証明書に使用"
    
    1.3.3.1. SSL/TLS
    
    1.3.3.2. 署名済みおよび暗号化電子メール
    
    1.3.3.3. シングルサインオン
    
    1.3.3.4. オブジェクトの署名
    
    1.3.4. 証明書の種類
    
    Expand section "1.3.4. 証明書の種類" Collapse section "1.3.4. 証明書の種類"
    
    1.3.4.1. CA 署名証明書
    
    1.3.4.2. その他の署名証明書
    
    1.3.4.3. SSL/TLS サーバーおよびクライアント証明書
    
    1.3.4.4. ユーザー証明書
    
    1.3.4.5. デュアルキーペア
    
    1.3.4.6. クロスペアの証明書
    
    1.3.5. 証明書の内容
    
    Expand section "1.3.5. 証明書の内容" Collapse section "1.3.5. 証明書の内容"
    
    1.3.5.1. 証明書データの形式
    
    Expand section "1.3.5.1. 証明書データの形式" Collapse section "1.3.5.1. 証明書データの形式"
    
    1.3.5.1.1. バイナリー
    
    1.3.5.1.2. テキスト
    
    1.3.5.2. 識別名
    
    1.3.5.3. 典型的な証明書
    
    1.3.6. CA 証明書による信頼の仕組み
    
    Expand section "1.3.6. CA 証明書による信頼の仕組み" Collapse section "1.3.6. CA 証明書による信頼の仕組み"
    
    1.3.6.1. CA 階層
    
    1.3.6.2. 証明書チェーン
    
    1.3.6.3. 証明書チェーンの確認
    
    1.3.7. 証明書の状態
  4. 1.4. 証明書のライフサイクル
    
    Expand section "1.4. 証明書のライフサイクル" Collapse section "1.4. 証明書のライフサイクル"
    
    1.4.1. 証明書の発行
    
    1.4.2. 証明書の有効期限および更新
  5. 1.5. キー管理
2. 2. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System の概要
  Expand section "2. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System の概要" Collapse section "2. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System の概要"
  1. 2.1. CertificateCertificate Systemnbsp;System サブシステムのレビュー
  2. 2.2. Certificate System サブシステムの概要
    
    Expand section "2.2. Certificate System サブシステムの概要" Collapse section "2.2. Certificate System サブシステムの概要"
    
    2.2.1. 個別インスタンスと共有インスタンス
    
    2.2.2. インスタンスインストールの要件
    
    Expand section "2.2.2. インスタンスインストールの要件" Collapse section "2.2.2. インスタンスインストールの要件"
    
    2.2.2.1. Directory Server インスタンスの可用性
    
    2.2.2.2. PKI パッケージ
    
    2.2.2.3. インスタンスのインストールと設定
    
    2.2.2.4. インスタンスの削除
    
    2.2.3. 実行管理 (systemctl)
    
    Expand section "2.2.3. 実行管理 (systemctl)" Collapse section "2.2.3. 実行管理 (systemctl)"
    
    2.2.3.1. 起動、停止、再起動、およびステータスの取得
    
    2.2.3.2. インスタンスの自動起動
    
    2.2.4. プロセス管理 (pki-server および pkidaemon)
    
    Expand section "2.2.4. プロセス管理 (pki-server および pkidaemon)" Collapse section "2.2.4. プロセス管理 (pki-server および pkidaemon)"
    
    2.2.4.1. pki-server コマンドラインツール
    
    2.2.4.2. pki-server を使用したインストール済みサブシステムの有効化および無効化
    
    2.2.4.3. pkidaemon コマンドラインツール
    
    2.2.4.4. サブシステムの Web サービス URL の検索
    
    2.2.4.5. 証明書システムコンソールの起動
  3. 2.3. 証明書システムのアーキテクチャーの概要
    
    Expand section "2.3. 証明書システムのアーキテクチャーの概要" Collapse section "2.3. 証明書システムのアーキテクチャーの概要"
    
    2.3.1. Java Application Server
    
    2.3.2. Java Security Manager
    
    2.3.3. インターフェース
    
    Expand section "2.3.3. インターフェース" Collapse section "2.3.3. インターフェース"
    
    2.3.3.1. サーブレットインターフェース
    
    2.3.3.2. 管理インターフェース
    
    2.3.3.3. エンドエンティティーインターフェース
    
    2.3.3.4. Operator インターフェース
    
    2.3.4. REST インターフェース
    
    2.3.5. JSS
    
    2.3.6. Tomcatjss
    
    2.3.7. PKCS #11
    
    Expand section "2.3.7. PKCS #11" Collapse section "2.3.7. PKCS #11"
    
    2.3.7.1. NSS Soft Token (内部トークン)
    
    2.3.7.2. ハードウェアセキュリティーモジュール (HSM、外部トークン)
    
    2.3.8. 証明書システムのシリアル番号管理
    
    Expand section "2.3.8. 証明書システムのシリアル番号管理" Collapse section "2.3.8. 証明書システムのシリアル番号管理"
    
    2.3.8.1. シリアル番号の範囲
    
    2.3.8.2. ランダムなシリアル番号管理
    
    2.3.9. セキュリティードメイン
    
    2.3.10. パスワードおよびウォッチドッグ (nuxwdog)
    
    2.3.11. 内部 LDAP データベース
    
    2.3.12. SELinux (Security Enhanced Linux)
    
    2.3.13. セルフテスト
    
    2.3.14. ログ
    
    Expand section "2.3.14. ログ" Collapse section "2.3.14. ログ"
    
    2.3.14.1. 監査ログ
    
    2.3.14.2. システムログ
    
    2.3.14.3. トランザクションログ
    
    2.3.14.4. デバッグログ
    
    2.3.14.5. インストールログ
    
    2.3.14.6. Tomcat のエラーとアクセスログ
    
    2.3.14.7. セルフテストログ
    
    2.3.14.8. journalctl ログ
    
    2.3.15. インスタンスのレイアウト
    
    Expand section "2.3.15. インスタンスのレイアウト" Collapse section "2.3.15. インスタンスのレイアウト"
    
    2.3.15.1. CertificateCertificate Systemnbsp;System のファイルおよびディレクトリーの場所
    
    2.3.15.2. CA サブシステム情報
    
    2.3.15.3. KRA サブシステム情報
    
    2.3.15.4. OCSP サブシステム情報
    
    2.3.15.5. TKS サブシステム情報
    
    2.3.15.6. TPS サブシステム情報
    
    2.3.15.7. 共有証明書証明書システムの場所
  4. 2.4. PKI (証明書システムあり)
    
    Expand section "2.4. PKI (証明書システムあり)" Collapse section "2.4. PKI (証明書システムあり)"
    
    2.4.1. 証明書の発行
    
    Expand section "2.4.1. 証明書の発行" Collapse section "2.4.1. 証明書の発行"
    
    2.4.1.1. 登録プロセス
    
    Expand section "2.4.1.1. 登録プロセス" Collapse section "2.4.1.1. 登録プロセス"
    
    2.4.1.1.1. ユーザーインターフェースを使用した登録
    
    2.4.1.1.2. コマンドラインを使用した登録
    
    Expand section "2.4.1.1.2. コマンドラインを使用した登録" Collapse section "2.4.1.1.2. コマンドラインを使用した登録"
    
    2.4.1.1.2.1. pki ユーティリティーを使用した登録
    
    2.4.1.1.2.2. CMC を使用した登録
    
    Expand section "2.4.1.1.2.2. CMC を使用した登録" Collapse section "2.4.1.1.2.2. CMC を使用した登録"
    
    2.4.1.1.2.2.1. POP なしの CMC 登録
    
    2.4.1.1.2.2.2. 署名付き CMC 要求
    
    2.4.1.1.2.2.3. 署名なしの CMC 要求
    
    2.4.1.1.2.2.4. 共有シークレットのワークフロー
    
    2.4.1.1.2.2.5. 単純な CMC 要求
    
    2.4.1.2. 証明書プロファイル
    
    2.4.1.3. 証明書登録の認証
    
    2.4.1.4. クロスペアの証明書
    
    2.4.2. 証明書の更新
    
    2.4.3. 証明書および CRL の公開
    
    2.4.4. 証明書の取り消しとステータスの確認
    
    Expand section "2.4.4. 証明書の取り消しとステータスの確認" Collapse section "2.4.4. 証明書の取り消しとステータスの確認"
    
    2.4.4.1. 証明書の取り消し
    
    2.4.4.2. 証明書の状態
    
    Expand section "2.4.4.2. 証明書の状態" Collapse section "2.4.4.2. 証明書の状態"
    
    2.4.4.2.1. CRL
    
    2.4.4.2.2. OCSP サービス
    
    Expand section "2.4.4.2.2. OCSP サービス" Collapse section "2.4.4.2.2. OCSP サービス"
    
    2.4.4.2.2.1. OCSP レスポンスの署名
    
    2.4.4.2.2.2. OCSP レスポンス
    
    2.4.4.2.2.3. OCSP サービス
    
    2.4.5. キーのアーカイブ、リカバリー、およびローテーション
    
    Expand section "2.4.5. キーのアーカイブ、リカバリー、およびローテーション" Collapse section "2.4.5. キーのアーカイブ、リカバリー、およびローテーション"
    
    2.4.5.1. キーのアーカイブ
    
    2.4.5.2. キーのリカバリー
    
    2.4.5.3. KRA トランスポートのキーローテーション
  5. 2.5. 証明書システムを使用したスマートカードトークン管理
    
    Expand section "2.5. 証明書システムを使用したスマートカードトークン管理" Collapse section "2.5. 証明書システムを使用したスマートカードトークン管理"
    
    2.5.1. トークンキーサービス (TKS)
    
    Expand section "2.5.1. トークンキーサービス (TKS)" Collapse section "2.5.1. トークンキーサービス (TKS)"
    
    2.5.1.1. マスターキーおよびキーセット
    
    2.5.1.2. キー階層 (共有キートランスポート)
    
    2.5.1.3. キー更新 (キーの切り替え)
    
    2.5.1.4. APDU およびセキュアチャンネル
    
    2.5.2. トークン処理システム (TPS)
    
    Expand section "2.5.2. トークン処理システム (TPS)" Collapse section "2.5.2. トークン処理システム (TPS)"
    
    2.5.2.1. Coolkey アプレット
    
    2.5.2.2. トークン操作
    
    2.5.2.3. TPS プロファイル
    
    2.5.2.4. トークンデータベース
    
    Expand section "2.5.2.4. トークンデータベース" Collapse section "2.5.2.4. トークンデータベース"
    
    2.5.2.4.1. トークンの状態および移行
    
    Expand section "2.5.2.4.1. トークンの状態および移行" Collapse section "2.5.2.4.1. トークンの状態および移行"
    
    2.5.2.4.1.1. トークンの状態
    
    2.5.2.4.1.2. グラフィカルインターフェースまたはコマンドラインインターフェースを使用したトークン状態の移行完了
    
    Expand section "2.5.2.4.1.2. グラフィカルインターフェースまたはコマンドラインインターフェースを使用したトークン状態の移行完了" Collapse section "2.5.2.4.1.2. グラフィカルインターフェースまたはコマンドラインインターフェースを使用したトークン状態の移行完了"
    
    2.5.2.4.1.2.1. コマンドラインインターフェースまたはグラフィカルインターフェースを使用したトークン状態の移行
    
    2.5.2.4.1.3. トークン操作を使用したトークン状態遷移
    
    2.5.2.4.1.4. トークンの状態および遷移ラベル
    
    2.5.2.4.1.5. 許可されるトークンの状態遷移のカスタマイズ
    
    2.5.2.4.1.6. トークンの状態と遷移ラベルのカスタマイズ
    
    2.5.2.4.1.7. トークンアクティビティーログ
    
    2.5.2.4.2. トークンポリシー
    
    2.5.2.5. マッピングリゾルバー
    
    2.5.2.6. TPS ロール
    
    2.5.3. TKS/TPS 共有シークレット
    
    2.5.4. Enterprise Security Client (ESC)
  6. 2.6. Red Hat Certificate System サービス
    
    Expand section "2.6. Red Hat Certificate System サービス" Collapse section "2.6. Red Hat Certificate System サービス"
    
    2.6.1. 通知
    
    2.6.2. ジョブ
    
    2.6.3. ログ
    
    2.6.4. 監査
    
    2.6.5. セルフテスト
    
    2.6.6. ユーザー、認可、およびアクセス制御
    
    Expand section "2.6.6. ユーザー、認可、およびアクセス制御" Collapse section "2.6.6. ユーザー、認可、およびアクセス制御"
    
    2.6.6.1. デフォルトの管理ロール
    
    2.6.6.2. 組み込みサブシステムの信頼ロール
  7. 2.7. クローン作成について
    
    Expand section "2.7. クローン作成について" Collapse section "2.7. クローン作成について"
    
    2.7.1. CA のクローン作成
    
    2.7.2. KRA のクローン作成
    
    2.7.3. 他のサブシステムのクローン作成
    
    2.7.4. クローンおよびキーストア
    
    2.7.5. LDAP とポートに関する考慮事項
    
    2.7.6. レプリカ ID 番号
    
    2.7.7. カスタム設定およびクローン
3. 3. サポートされる標準およびプロトコル
  Expand section "3. サポートされる標準およびプロトコル" Collapse section "3. サポートされる標準およびプロトコル"
  1. 3.1. TLS、ECC、および RSA
    
    Expand section "3.1. TLS、ECC、および RSA" Collapse section "3.1. TLS、ECC、および RSA"
    
    3.1.1. サポート対象の暗号スイート
    
    Expand section "3.1.1. サポート対象の暗号スイート" Collapse section "3.1.1. サポート対象の暗号スイート"
    
    3.1.1.1. 推奨される TLS 暗号スイート
  2. 3.2. 許可されるキーアルゴリズムとそのサイズ
  3. 3.3. 許可されるハッシュ関数
  4. 3.4. IPv4 アドレスおよび IPv6 アドレス
  5. 3.5. サポートされる PKIX 形式およびプロトコル
4. 4. サポート対象のプラットフォーム
  Expand section "4. サポート対象のプラットフォーム" Collapse section "4. サポート対象のプラットフォーム"
5. 5. 証明書システムの計画
  Expand section "5. 証明書システムの計画" Collapse section "5. 証明書システムの計画"
  1. 5.1. 必要なサブシステムの決定
    
    Expand section "5.1. 必要なサブシステムの決定" Collapse section "5.1. 必要なサブシステムの決定"
    
    5.1.1. 単一証明書マネージャーの使用
    
    5.1.2. 紛失したキーの計画：キーのアーカイブと回復
    
    5.1.3. 証明書要求の処理の分散
    
    5.1.4. クライアント OCSP 要求の分散
    
    5.1.5. スマートカードの使用
  2. 5.2. 認証局階層の定義
    
    Expand section "5.2. 認証局階層の定義" Collapse section "5.2. 認証局階層の定義"
    
    5.2.1. パブリック CA への従属
    
    5.2.2. 証明書システム CA への従属
    
    5.2.3. リンクされた CA
    
    5.2.4. CA クローン
  3. 5.3. セキュリティードメインの計画
  4. 5.4. サブシステム証明書の要件の決定
    
    Expand section "5.4. サブシステム証明書の要件の決定" Collapse section "5.4. サブシステム証明書の要件の決定"
    
    5.4.1. インストールする証明書の決定
    
    5.4.2. CA 識別名の計画
    
    5.4.3. CA 署名証明書の有効期間の設定
    
    5.4.4. 署名キーの種類と長さの選択
    
    5.4.5. 証明書の拡張の使用
    
    Expand section "5.4.5. 証明書の拡張の使用" Collapse section "5.4.5. 証明書の拡張の使用"
    
    5.4.5.1. 証明書の拡張機能の構造
    
    5.4.6. 証明書プロファイルの使用およびカスタマイズ
    
    Expand section "5.4.6. 証明書プロファイルの使用およびカスタマイズ" Collapse section "5.4.6. 証明書プロファイルの使用およびカスタマイズ"
    
    5.4.6.1. SSL サーバー証明書への SAN 拡張機能の追加
    
    5.4.7. 認証方法の計画
    
    5.4.8. 証明書および CRL の公開
    
    5.4.9. CA 署名証明書の更新または再発行
  5. 5.5. ネットワークおよび物理セキュリティーの計画
    
    Expand section "5.5. ネットワークおよび物理セキュリティーの計画" Collapse section "5.5. ネットワークおよび物理セキュリティーの計画"
    
    5.5.1. ファイアウォールの考慮事項
    
    5.5.2. 物理セキュリティーと場所を考慮事項
    
    5.5.3. ポートの計画
  6. 5.6. Certificate System サブシステムのキーおよび証明書を保存するトークン
  7. 5.7. PKI の計画に関するチェックリスト
  8. 5.8. 任意のサードパーティーサービス
    
    Expand section "5.8. 任意のサードパーティーサービス" Collapse section "5.8. 任意のサードパーティーサービス"
    
    5.8.1. ロードバランサー
    
    5.8.2. バックアップハードウェアおよびソフトウェア
II. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System のインストール
Expand section "II. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System のインストール" Collapse section "II. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System のインストール"
1. 6. インストールの前提条件および準備
  Expand section "6. インストールの前提条件および準備" Collapse section "6. インストールの前提条件および準備"
  1. 6.1. Red Hat Enterprise Linux のインストール
  2. 6.2. SELinux を使用したシステムのセキュリティー保護
    
    Expand section "6.2. SELinux を使用したシステムのセキュリティー保護" Collapse section "6.2. SELinux を使用したシステムのセキュリティー保護"
    
    6.2.1. SELinux が Enforcing モードで実行していることの確認
  3. 6.3. ファイアウォールの設定
    
    Expand section "6.3. ファイアウォールの設定" Collapse section "6.3. ファイアウォールの設定"
    
    6.3.1. ファイアウォールで必要なポートを開く
  4. 6.4. ハードウェアセキュリティーモジュール
    
    Expand section "6.4. ハードウェアセキュリティーモジュール" Collapse section "6.4. ハードウェアセキュリティーモジュール"
    
    6.4.1. HSM 用の SELinux の設定
    
    6.4.2. HSM での FIPS モードの有効化
    
    6.4.3. FIPS モードが HSM で有効になっているかどうかの確認
    
    Expand section "6.4.3. FIPS モードが HSM で有効になっているかどうかの確認" Collapse section "6.4.3. FIPS モードが HSM で有効になっているかどうかの確認"
    
    6.4.3.1. FIPS モードが nCipher HSM で有効にされているかどうかの確認
    
    6.4.3.2. FIPS モードが Luna SA HSM で有効にされているかどうかの確認
    
    6.4.4. HSM を使用した証明書システムのインストールの準備
    
    Expand section "6.4.4. HSM を使用した証明書システムのインストールの準備" Collapse section "6.4.4. HSM を使用した証明書システムのインストールの準備"
    
    6.4.4.1. NCipher HSM パラメーター
    
    6.4.4.2. SafeNet / Luna SA HSM パラメーター
    
    6.4.5. ハードウェアセキュリティーモジュールでのキーのバックアップ
  5. 6.5. Red Hat Directory Server のインストール
    
    Expand section "6.5. Red Hat Directory Server のインストール" Collapse section "6.5. Red Hat Directory Server のインストール"
    
    6.5.1. 証明書システム用の Directory Server インスタンスの準備
    
    6.5.2. Directory Server での TLS サポートの有効化
    
    Expand section "6.5.2. Directory Server での TLS サポートの有効化" Collapse section "6.5.2. Directory Server での TLS サポートの有効化"
    
    6.5.2.1. 例の値を使用した新規 Red Hat Certificate System サブシステムでの LDAPS の有効化方法
    
    6.5.3. 証明書システムの設定の準備
  6. 6.6. Directory Server (CA) での一時的な自己署名証明書の置き換え
  7. 6.7. 内部 LDAP サーバーの TLS クライアント認証の有効化
  8. 6.8. Red Hat サブスクリプションの添付および Certificate System パッケージリポジトリーの有効化
  9. 6.9. Certificate System のオペレーティングシステムのユーザーおよびグループ
2. 7. Certificate System のインストールおよび設定
  Expand section "7. Certificate System のインストールおよび設定" Collapse section "7. Certificate System のインストールおよび設定"
  1. 7.1. サブシステムの設定順序
  2. 7.2. Certificate System パッケージ
    
    Expand section "7.2. Certificate System パッケージ" Collapse section "7.2. Certificate System パッケージ"
    
    7.2.1. Certificate System パッケージのインストール
    
    7.2.2. Certificate System パッケージの更新
    
    7.2.3. Certificate System の製品バージョンの特定
  3. 7.3. pkispawn ユーティリティーの概要
  4. 7.4. ルート認証局の設定
  5. 7.5. インストール後の設定
  6. 7.6. 追加のサブシステムの設定
  7. 7.7. 2 ステップインストール
    
    Expand section "7.7. 2 ステップインストール" Collapse section "7.7. 2 ステップインストール"
    
    7.7.1. 2 ステップインストールを使用するタイミング
    
    7.7.2. 2 ステップインストールの 2 つの主要部分
    
    7.7.3. インストールの最初ステップ用の設定ファイルの作成
    
    7.7.4. インストール手順の起動
    
    7.7.5. インストール手順間の設定のカスタマイズ
    
    Expand section "7.7.5. インストール手順間の設定のカスタマイズ" Collapse section "7.7.5. インストール手順間の設定のカスタマイズ"
    
    7.7.5.1. 証明書プロファイルの設定
    
    7.7.5.2. 署名監査ログの有効化
    
    7.7.5.3. 暗号一覧の更新
    
    7.7.5.4. PKI コンソールタイムアウトの設定
    
    7.7.5.5. KRA の暗号化モードへの設定
    
    7.7.5.6. OCSP の有効化
    
    7.7.5.7. リクエスト番号とシリアル番号の範囲の設定
    
    7.7.6. 設定手順の開始
    
    7.7.7. インストール後の設定
  8. 7.8. 外部 CA でのサブシステムの設定
    
    Expand section "7.8. 外部 CA でのサブシステムの設定" Collapse section "7.8. 外部 CA でのサブシステムの設定"
    
    7.8.1. 内部 CA と外部 CA の相違点
    
    7.8.2. 外部 CA を使用したサブシステムのインストール
    
    7.8.3. インストール後の設定
  9. 7.9. スタンドアロン KRA または OCSP の設定
  10. 7.10. インストール後のタスク
    
    Expand section "7.10. インストール後のタスク" Collapse section "7.10. インストール後のタスク"
    
    7.10.1. RHCS の日付/時刻の設定
    
    7.10.2. 一時的な証明書の置き換え
    
    7.10.3. TLS クライアント認証の有効化
    
    7.10.4. セッションタイムアウトの設定
    
    7.10.5. CRL または証明書の発行
    
    7.10.6. 証明書登録プロファイル (CA) の設定
    
    7.10.7. アクセスバナーの有効化
    
    7.10.8. Watchdog サービスの有効化
    
    7.10.9. CMC 登録および失効 (CA) の設定
    
    7.10.10. Java コンソールの TLS クライアント認証
    
    7.10.11. ロールユーザーの作成
    
    7.10.12. Bootstrap ユーザーの削除
    
    7.10.13. マルチロールサポートの無効化
    
    7.10.14. KRA の設定
    
    Expand section "7.10.14. KRA の設定" Collapse section "7.10.14. KRA の設定"
    
    7.10.14.1. KRA (Key Recovery Authority) に複数のエージェント承認の要件の追加
    
    7.10.14.2. KRA 暗号化設定の構成
    
    7.10.15. ユーザーインターフェースを使用するようにユーザーを設定
3. 8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用
  Expand section "8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用" Collapse section "8. サブシステムセキュリティーデータベース用のハードウェアセキュリティーモジュールの使用"
  1. 8.1. HSM を使用した Certificate System のインストール
  2. 8.2. サブシステムでのハードウェアセキュリティーモジュールの使用
    
    Expand section "8.2. サブシステムでのハードウェアセキュリティーモジュールの使用" Collapse section "8.2. サブシステムでのハードウェアセキュリティーモジュールの使用"
    
    8.2.1. HSM での FIPS モードの有効化
    
    8.2.2. FIPS モードが HSM で有効になっているかどうかの確認
    
    Expand section "8.2.2. FIPS モードが HSM で有効になっているかどうかの確認" Collapse section "8.2.2. FIPS モードが HSM で有効になっているかどうかの確認"
    
    8.2.2.1. FIPS モードが nCipher HSM で有効にされているかどうかの確認
    
    8.2.2.2. FIPS モードが Luna SA HSM で有効にされているかどうかの確認
    
    8.2.3. サブシステムの HSM エントリーの追加および管理
    
    8.2.4. HSM 用の SELinux の設定
    
    8.2.5. nCipher nShield HSM を使用したサブシステムのインストール
    
    8.2.6. Gemalto Safenet LunaSA HSM を使用したサブシステムのインストール
  3. 8.3. ハードウェアセキュリティーモジュールでのキーのバックアップ
  4. 8.4. HSM を使用したクローンサブシステムのインストール
  5. 8.5. トークンの表示
  6. 8.6. トークンの検出
  7. 8.7. フェイルオーバーと耐障害性
    
    Expand section "8.7. フェイルオーバーと耐障害性" Collapse section "8.7. フェイルオーバーと耐障害性"
    
    8.7.1. nCipher nShield HSM
    
    Expand section "8.7.1. nCipher nShield HSM" Collapse section "8.7.1. nCipher nShield HSM"
    
    8.7.1.1. フェイルオーバー
    
    8.7.1.2. 耐障害性
    
    8.7.2. Gemalto Safenet LunaSA HSM
    
    Expand section "8.7.2. Gemalto Safenet LunaSA HSM" Collapse section "8.7.2. Gemalto Safenet LunaSA HSM"
    
    8.7.2.1. フェイルオーバー
4. 9. ECC システム証明書を使用するインスタンスのインストール
  Expand section "9. ECC システム証明書を使用するインスタンスのインストール" Collapse section "9. ECC システム証明書を使用するインスタンスのインストール"
  1. 9.1. サードパーティーの ECC モジュールの読み込み
  2. 9.2. HSM での ECC の使用
5. 10. サブシステムのクローン作成
  Expand section "10. サブシステムのクローン作成" Collapse section "10. サブシステムのクローン作成"
  1. 10.1. ソフトウェアデータベースからのサブシステムキーのバックアップ
  2. 10.2. CA のクローン作成
  3. 10.3. クローン後の CA-KRA コネクター情報の更新
  4. 10.4. OCSP サブシステムのクローン作成
  5. 10.5. KRA サブシステムのクローン作成
  6. 10.6. TKS サブシステムのクローン作成
  7. 10.7. マスターとクローンの変換
    
    Expand section "10.7. マスターとクローンの変換" Collapse section "10.7. マスターとクローンの変換"
    
    10.7.1. CA クローンおよびマスターの変換
    
    10.7.2. OCSP クローンの変換
  8. 10.8. 再キーが設定された CA のクローン作成
6. 11. PKI ACME Responder の設定
  Expand section "11. PKI ACME Responder の設定" Collapse section "11. PKI ACME Responder の設定"
  1. 11.1. PKI ACME Responder のインストール
  2. 11.2. ACME データベースの設定
    
    Expand section "11.2. ACME データベースの設定" Collapse section "11.2. ACME データベースの設定"
    
    11.2.1. DS データベースの設定
  3. 11.3. ACME Issuer の設定
    
    Expand section "11.3. ACME Issuer の設定" Collapse section "11.3. ACME Issuer の設定"
    
    11.3.1. PKI 発行者の設定
  4. 11.4. ACME レルムの設定
    
    Expand section "11.4. ACME レルムの設定" Collapse section "11.4. ACME レルムの設定"
    
    11.4.1. DS レルムの設定
  5. 11.5. ACME Responder のデプロイ
7. 12. その他のインストールオプション
  Expand section "12. その他のインストールオプション" Collapse section "12. その他のインストールオプション"
  1. 12.1. 軽量サブ CA
    
    Expand section "12.1. 軽量サブ CA" Collapse section "12.1. 軽量サブ CA"
    
    12.1.1. 軽量サブ CA の設定
    
    12.1.2. 軽量サブ CA の作成の無効化
    
    12.1.3. 軽量サブ CA の作成の再有効化
  2. 12.2. サブシステムの IPv6 の有効化
  3. 12.3. LDAP ベースの登録プロファイルの有効化
  4. 12.4. TLS 暗号のカスタマイズ
8. 13. インストールとクローン作成のトラブルシューティング
III. Certificate System の設定
Expand section "III. Certificate System の設定" Collapse section "III. Certificate System の設定"
1. 14. CertificateCertificate Systemnbsp;System 設定ファイル
  Expand section "14. CertificateCertificate Systemnbsp;System 設定ファイル" Collapse section "14. CertificateCertificate Systemnbsp;System 設定ファイル"
  1. 14.1. CertificateCertificate Systemnbsp;System サブシステムのファイルおよびディレクトリーの場所
    
    Expand section "14.1. CertificateCertificate Systemnbsp;System サブシステムのファイルおよびディレクトリーの場所" Collapse section "14.1. CertificateCertificate Systemnbsp;System サブシステムのファイルおよびディレクトリーの場所"
    
    14.1.1. インスタンス固有の情報
    
    14.1.2. CA サブシステム情報
    
    14.1.3. KRA サブシステム情報
    
    14.1.4. OCSP サブシステム情報
    
    14.1.5. TKS サブシステム情報
    
    14.1.6. TPS サブシステム情報
    
    14.1.7. 共有証明書証明書システムの場所
  2. 14.2. CS.cfg ファイル
    
    Expand section "14.2. CS.cfg ファイル" Collapse section "14.2. CS.cfg ファイル"
    
    14.2.1. CS.cfg ファイルの検索
    
    14.2.2. 設定ファイルの編集
    
    14.2.3. CS.cfg 設定ファイルの概要
    
    Expand section "14.2.3. CS.cfg 設定ファイルの概要" Collapse section "14.2.3. CS.cfg 設定ファイルの概要"
    
    14.2.3.1. サブシステムの基本設定
    
    14.2.3.2. ログ設定
    
    14.2.3.3. 認証および認可の設定
    
    14.2.3.4. サブシステム証明書の設定
    
    14.2.3.5. 必要なサブシステムの設定
    
    14.2.3.6. データベース設定
    
    14.2.3.7. キューの有効化および設定
    
    Expand section "14.2.3.7. キューの有効化および設定" Collapse section "14.2.3.7. キューの有効化および設定"
    
    14.2.3.7.1. CS.cfg ファイルを編集して、Queue の有効化と設定
    
    14.2.3.8. PKI タスクの設定
    
    14.2.3.9. CA 発行証明書の DN 属性の変更
    
    Expand section "14.2.3.9. CA 発行証明書の DN 属性の変更" Collapse section "14.2.3.9. CA 発行証明書の DN 属性の変更"
    
    14.2.3.9.1. 新規属性またはカスタム属性の追加
    
    14.2.3.9.2. DER エンコード順序の変更
    
    14.2.3.10. 異なる証明書を使用するように CA を設定して CRL を署名
    
    14.2.3.11. CS.cfg のキャッシュからの CRL 生成の設定
    
    14.2.3.12. CS.cfg での CRL の更新間隔の設定
    
    14.2.3.13. サブシステムのアクセス制御設定の変更
    
    14.2.3.14. リクエスト番号とシリアル番号の範囲の設定
    
    14.2.3.15. TLS クライアント証明書認証を使用するための pkiconsole 要件の設定
  3. 14.3. システムパスワードの管理
    
    Expand section "14.3. システムパスワードの管理" Collapse section "14.3. システムパスワードの管理"
    
    14.3.1. password.conf ファイルの設定
    
    14.3.2. Certificate System の Watchdog サービスの使用
    
    Expand section "14.3.2. Certificate System の Watchdog サービスの使用" Collapse section "14.3.2. Certificate System の Watchdog サービスの使用"
    
    14.3.2.1. Watchdog サービスの有効化
    
    14.3.2.2. Watchdog が有効になっている Certificate System の起動および停止
    
    14.3.2.3. Certificate System の Watchdog が有効になっていることの確認
    
    14.3.2.4. Watchdog サービスの無効化
  4. 14.4. Tomcat Engine および Web サービスの設定ファイル
    
    Expand section "14.4. Tomcat Engine および Web サービスの設定ファイル" Collapse section "14.4. Tomcat Engine および Web サービスの設定ファイル"
    
    14.4.1. Tomcatjss
    
    Expand section "14.4.1. Tomcatjss" Collapse section "14.4.1. Tomcatjss"
    
    14.4.1.1. TLS 暗号の設定
    
    Expand section "14.4.1.1. TLS 暗号の設定" Collapse section "14.4.1.1. TLS 暗号の設定"
    
    14.4.1.1.1. クライアント TLS 暗号の設定
    
    14.4.1.2. CA での自動失効チェックの有効化
    
    14.4.1.3. サブシステムの証明書失効チェックの有効化
    
    14.4.1.4. AIA 拡張機能の登録プロファイルへの追加
    
    14.4.2. セッションのタイムアウト
    
    Expand section "14.4.2. セッションのタイムアウト" Collapse section "14.4.2. セッションのタイムアウト"
    
    14.4.2.1. TLS セッションのタイムアウト
    
    14.4.2.2. HTTP セッションのタイムアウト
    
    14.4.2.3. PKI Web UI のセッションタイムアウト
    
    14.4.2.4. PKI コンソールのセッションタイムアウト
    
    14.4.2.5. PKI CLI のセッションタイムアウト
  5. 14.5. web.xml
    
    Expand section "14.5. web.xml" Collapse section "14.5. web.xml"
    
    14.5.1. web.xml からの未使用インターフェースの削除 (CA のみ)
  6. 14.6. Web サービスのカスタマイズ
    
    Expand section "14.6. Web サービスのカスタマイズ" Collapse section "14.6. Web サービスのカスタマイズ"
    
    14.6.1. サブシステム Web アプリケーションのカスタマイズ
    
    14.6.2. Web UI テーマのカスタマイズ
    
    14.6.3. TPS トークンの状態ラベルのカスタマイズ
  7. 14.7. アクセスバナーの使用
    
    Expand section "14.7. アクセスバナーの使用" Collapse section "14.7. アクセスバナーの使用"
    
    14.7.1. アクセスバナーの有効化
    
    14.7.2. アクセスバナーの無効化
    
    14.7.3. バナーの表示
    
    14.7.4. バナーの検証
  8. 14.8. CMC の設定
    
    Expand section "14.8. CMC の設定" Collapse section "14.8. CMC の設定"
    
    14.8.1. CMC の仕組み
    
    14.8.2. PopLinkWittnessV2 機能の有効化
    
    14.8.3. CMC 共有シークレット機能の有効化
    
    14.8.4. Web ユーザーインターフェースの CMCRevoke の有効化
  9. 14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定
    
    Expand section "14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定" Collapse section "14.9. CA EE Portal を使用した証明書の登録のサーバー専用鍵生成の設定"
    
    14.9.1. インストール設定
    
    14.9.2. プロファイル設定
  10. 14.10. 証明書の透過性の設定
    
    Expand section "14.10. 証明書の透過性の設定" Collapse section "14.10. 証明書の透過性の設定"
    
    14.10.1. ca.certTransparency.mode
    
    14.10.2. ca.certTransparency.log.num
    
    14.10.3. ca.certTransparency.log.<id>.*
2. 15. 証明書/キー暗号トークンの管理
  Expand section "15. 証明書/キー暗号トークンの管理" Collapse section "15. 証明書/キー暗号トークンの管理"
  1. 15.1. certutil および PKICertImport
    
    Expand section "15.1. certutil および PKICertImport" Collapse section "15.1. certutil および PKICertImport"
    
    15.1.1. certutil の基本的な使用方法
    
    15.1.2. PKICertImport の基本的な使用方法
    
    15.1.3. certutil の一般的なコマンド
    
    15.1.4. 一般的な certutil および PKICertImport オプション
  2. 15.2. ルート証明書のインポート
  3. 15.3. 中間証明書チェーンのインポート
  4. 15.4. HSM への証明書のインポート
  5. 15.5. NSS データベースでの証明書のインポート
3. 16. 証明書プロファイルの設定
  Expand section "16. 証明書プロファイルの設定" Collapse section "16. 証明書プロファイルの設定"
  1. 16.1. ファイルシステムで直接証明書プロファイルの作成および編集
    
    Expand section "16.1. ファイルシステムで直接証明書プロファイルの作成および編集" Collapse section "16.1. ファイルシステムで直接証明書プロファイルの作成および編集"
    
    16.1.1. CA 以外のシステム証明書プロファイルの設定
    
    Expand section "16.1.1. CA 以外のシステム証明書プロファイルの設定" Collapse section "16.1.1. CA 以外のシステム証明書プロファイルの設定"
    
    16.1.1.1. プロファイル設定パラメーター
    
    16.1.1.2. ファイルシステムで直接証明書拡張機能の変更
    
    Expand section "16.1.1.2. ファイルシステムで直接証明書拡張機能の変更" Collapse section "16.1.1.2. ファイルシステムで直接証明書拡張機能の変更"
    
    16.1.1.2.1. 主な使用方法および拡張キー使用の一貫性
    
    16.1.1.2.2. クロスペアプロファイルの設定
    
    16.1.1.3. ファイルシステムへのプロファイル入力の直接追加
    
    16.1.2. 証明書のデフォルト有効期間の変更
    
    16.1.3. CA システム証明書プロファイルの設定
    
    16.1.4. スマートカード CA プロファイルの管理
    
    Expand section "16.1.4. スマートカード CA プロファイルの管理" Collapse section "16.1.4. スマートカード CA プロファイルの管理"
    
    16.1.4.1. TPS の登録プロファイルの編集
    
    16.1.4.2. カスタム TPS プロファイルの作成
    
    16.1.4.3. Windows スマートカードのログオンプロファイルの使用
    
    16.1.5. 証明書の登録プロファイルの無効化
4. 17. キーリカバリー認証局の設定
  Expand section "17. キーリカバリー認証局の設定" Collapse section "17. キーリカバリー認証局の設定"
  1. 17.1. キーアーカイブの手動設定
  2. 17.2. KRA 操作の暗号化
    
    Expand section "17.2. KRA 操作の暗号化" Collapse section "17.2. KRA 操作の暗号化"
    
    17.2.1. クライアントによるキー操作暗号化の管理方法
    
    17.2.2. KRA での暗号化アルゴリズムの設定
    
    Expand section "17.2.2. KRA での暗号化アルゴリズムの設定" Collapse section "17.2.2. KRA での暗号化アルゴリズムの設定"
    
    17.2.2.1. パラメーターとその値の説明
    
    17.2.2.2. KRA で AES 暗号化を使用する場合の HSM の制約の解決
  3. 17.3. エージェント承認キーリカバリースキームの設定
    
    Expand section "17.3. エージェント承認キーリカバリースキームの設定" Collapse section "17.3. エージェント承認キーリカバリースキームの設定"
    
    17.3.1. コマンドラインでのエージェント承認キーリカバリーの設定
    
    17.3.2. キーリカバリーフォームのカスタマイズ
    
    17.3.3. 新しいプライベートストレージキーでのキーの再ラップ
    
    Expand section "17.3.3. 新しいプライベートストレージキーでのキーの再ラップ" Collapse section "17.3.3. 新しいプライベートストレージキーでのキーの再ラップ"
    
    17.3.3.1. KRATool について
    
    17.3.3.2. 1 つまたは複数の KRA から 1 つの KRA へのキーのラップとマージ
    
    17.3.4. クローン後の CA-KRA コネクター情報の更新
5. 18. ログの設定
  Expand section "18. ログの設定" Collapse section "18. ログの設定"
  1. 18.1. 証明書システムログの設定
    
    Expand section "18.1. 証明書システムログの設定" Collapse section "18.1. 証明書システムログの設定"
    
    18.1.1. ログに記録されるサービス
    
    18.1.2. ログレベル (メッセージカテゴリー)
    
    18.1.3. バッファー付きおよびバッファーなしのロギング
    
    18.1.4. ログファイルローテーション
  2. 18.2. オペレーティングシステム (RHCS の外部) のログ設定
    
    Expand section "18.2. オペレーティングシステム (RHCS の外部) のログ設定" Collapse section "18.2. オペレーティングシステム (RHCS の外部) のログ設定"
    
    18.2.1. OS レベルの監査ログの有効化
    
    Expand section "18.2.1. OS レベルの監査ログの有効化" Collapse section "18.2.1. OS レベルの監査ログの有効化"
    
    18.2.1.1. 証明書システムの監査ログ削除の監査
    
    18.2.1.2. 秘密鍵の使用が承認されていない Certificate System の監査
    
    18.2.1.3. 時間変更イベントの監査
    
    18.2.1.4. 証明書システム設定へのアクセスの監査
  3. 18.3. CS.cfg ファイルでのログの設定
    
    Expand section "18.3. CS.cfg ファイルでのログの設定" Collapse section "18.3. CS.cfg ファイルでのログの設定"
    
    18.3.1. 署名監査ログの有効化および設定
    
    Expand section "18.3.1. 署名監査ログの有効化および設定" Collapse section "18.3.1. 署名監査ログの有効化および設定"
    
    18.3.1.1. 署名監査ログの有効化
    
    18.3.1.2. 監査イベントの設定
    
    Expand section "18.3.1.2. 監査イベントの設定" Collapse section "18.3.1.2. 監査イベントの設定"
    
    18.3.1.2.1. 監査イベントの有効化および無効化
    
    18.3.1.2.2. 監査イベントのフィルタリング
    
    18.3.2. セルフテストの設定
    
    Expand section "18.3.2. セルフテストの設定" Collapse section "18.3.2. セルフテストの設定"
    
    18.3.2.1. 起動時のデフォルトのセルフテスト
    
    18.3.2.2. セルフテスト設定の変更
    
    18.3.3. デバッグログの追加設定
    
    Expand section "18.3.3. デバッグログの追加設定" Collapse section "18.3.3. デバッグログの追加設定"
    
    18.3.3.1. デバッグログの有効化および無効化
    
    18.3.3.2. デバッグログファイルのローテーション設定
  4. 18.4. 監査の保持
    
    Expand section "18.4. 監査の保持" Collapse section "18.4. 監査の保持"
    
    18.4.1. 監査データの場所
    
    Expand section "18.4.1. 監査データの場所" Collapse section "18.4.1. 監査データの場所"
    
    18.4.1.1. 監査ログの場所
    
    18.4.1.2. 証明書要求および証明書レコードの場所
6. 19. ロールユーザーの作成
  Expand section "19. ロールユーザーの作成" Collapse section "19. ロールユーザーの作成"
  1. 19.1. オペレーティングシステムでの PKI 管理ユーザーの作成
  2. 19.2. 証明書システムでの PKI ロールユーザーの作成
7. 20. Bootstrap ユーザーの削除
  Expand section "20. Bootstrap ユーザーの削除" Collapse section "20. Bootstrap ユーザーの削除"
  1. 20.1. マルチロールサポートの無効化
IV. Certificate System 10.x へのアップグレード
Expand section "IV. Certificate System 10.x へのアップグレード" Collapse section "IV. Certificate System 10.x へのアップグレード"
1. 21. Certificate System 9 からCertificate System 10 へのアップグレード
  Expand section "21. Certificate System 9 からCertificate System 10 へのアップグレード" Collapse section "21. Certificate System 9 からCertificate System 10 へのアップグレード"
  1. 21.1. 既存の CA ファイルを使用した CA の移行
    
    Expand section "21.1. 既存の CA ファイルを使用した CA の移行" Collapse section "21.1. 既存の CA ファイルを使用した CA の移行"
    
    21.1.1. 以前のシステムからのデータのエクスポート
    
    21.1.2. 新規ホストでの CA の設定
    
    21.1.3. 新規 CA へのデータのインポート
    
    21.1.4. デフォルトグループにユーザーの再割り当て
  2. 21.2. Leapp を使用したインプレースアップグレードの実行
    
    Expand section "21.2. Leapp を使用したインプレースアップグレードの実行" Collapse section "21.2. Leapp を使用したインプレースアップグレードの実行"
    
    21.2.1. アップグレードを行うためのシステムの準備
    
    21.2.2. Leapp アップグレードの実行
2. 22. Certificate System 10 の最新のマイナーバージョンへのアップグレード
V. 証明書システムサブシステムのアンインストール
Expand section "V. 証明書システムサブシステムのアンインストール" Collapse section "V. 証明書システムサブシステムのアンインストール"
1. 23. サブシステムの削除
2. 24. CertificateCertificate Systemnbsp;System サブシステムパッケージの削除
用語集
索引
A. 改訂履歴

第21章 Certificate System 9 からCertificate System 10 へのアップグレード

Red Hat Certificate System は、RHEL 7 の RHCS 9 から RHEL 8 の RHCS 10 にアップグレードする方法の 2 つの方法をサポートします。

既存の証明書ファイルを使用した CA の移行「既存の CA ファイルを使用した CA の移行」を参照してください。
Leapp を使用したインプレースアップグレードの実行この方法は、FIPS のお客様には推奨されていません。「Leapp を使用したインプレースアップグレードの実行」を参照してください。

21.1. 既存の CA ファイルを使用した CA の移行

既存の証明書ファイルを使用した Certificate System の移行には、以下の手順が必要です。

重要

HSM が使用されている場合、署名証明書が更新され、同じキーを使用して再発行された場合、同じニックネームを持つ複数の証明書が HSM に存在する可能性があります。これにより、pkispawn が正しい証明書の取得に失敗し、移行が正常に行われなくなる可能性がありました。したがって、移行を開始する前に、HSM の古い、重複した証明書エントリーを削除してください。

21.1.1. 以前のシステムからのデータのエクスポート

新しい Certificate System インスタンスを設定する前に、certutil ツールを使用して現在の認証局 (CA) のデータをエクスポートします。

古い CA から CRT および CSR をエクスポートするには、以下の手順を使用します。

CRT を生成します。

# certutil -L -d /var/lib/instance_name/alias/ -n "caSigningCert cert-instance_name" -a > ca_signing.crt

CSR を生成します。

	# echo "-----BEGIN NEW CERTIFICATE REQUEST-----" > ca_signing.csr
	# sed -n "/^ca.signing.certreq=/ s/^[^=]*=// p" < /var/lib/instance_name/conf/CS.cfg >> ca_signing.csr
	# echo "-----END NEW CERTIFICATE REQUEST-----" >> ca_signing.csr

古い CA が (チェーン内に単一のルート CA を持つ) 中間CAである場合は、NSS データベースからルート CA を抽出します。
```
# certutil -L -d /var/lib/pki/instance_name/alias/ -n "root_CA_nickname" -a > ca_rootca_signing.crt
```
以下の手順を使用して、データベースのバックアップを作成します。
1. CA の CS.cfg で internaldb.database の値をチェックして、CA データベースの名前を見つけます。
```
# grep internaldb.database /etc/pki/instance_name/ca/CS.cfg \
	internaldb.database=CS_database_name
```
2. インスタンスが作成されたら、setup-ds.pl によって生成されたインスタンス固有のスクリプトを使用して、このデータベースを .ldif ファイルにエクスポートします。
```
# cd /usr/lib64/dirsrv/instance_name
```
```
# ./db2ldif -n "CS_database_name" -a /tmp/old_ca.ldif
```
  注記
  db2ldif コマンドは DB ユーザーとして実行されるため、書き込みパーミッションがある宛先フォルダーが必要になります。
エクスポートしたファイル (中間 CA インスタンスの場合は ca_signing.crt, ca_signing.csr, old_ca.ldif、および ca_rootca_signing.crt) を、新しい CA インスタンスをホストする RHEL 8 マシンに転送します。

21.1.2. 新規ホストでの CA の設定

「以前のシステムからのデータのエクスポート」の既存のインスタンスからデータをエクスポートしたら、新しいホストに認証局 (CA) を設定します。

古い CA のパラメーターを使用して、pkispawn の設定ファイル (CA.cfg など) を作成します。pkispawn パラメーターの詳細は、以下の手順の表21.1「pkispawn パラメーターの説明」を参照してください。

[DEFAULT]
	pki_instance_name=new_instance_name
	pki_admin_password=caadmin_password
	pki_client_pkcs12_password=pkcs12_file_password
	pki_ds_password=DS_password
	pki_ds_ldap_port=389
	pki_hsm_enable=True
	pki_hsm_libfile=path_to_HSM_library
	pki_hsm_modulename=HSM_module_name
	pki_token_name=HSM_token_name
	pki_token_password=HSM_token_password
	pki_existing=True

	[CA]
	pki_ca_signing_csr_path=path/to/ca_signing.csr
	pki_ca_signing_cert_path=path/to/ca_signing.crt
	pki_ca_signing_nickname=caSigningCert cert-nickname
	pki_ca_signing_token=HSM_token_name
	pki_ds_base_dn=o=pki-tomcat-CA
	pki_ds_database=instance_name-CA
	pki_serial_number_range_start=4e
	pki_request_number_range_start=30
	pki_master_crl_enable=False
	pki_cert_chain_path=rootca_signing.crt
	pki_cert_chain_nickname=caSigningCert cert-pki-ca

新規ホストで pkispawn を実行して、新規 CA インスタンスを作成します。
```
# pkispawn -s CA -f ca.cfg -vv
```

表21.1 pkispawn パラメーターの説明

パラメーターおよび設定	説明
`pki_instance_name`	新しいインスタンスに別の名前を付けない場合は、HSM で古いシステム証明書と競合しないように、すべてのシステム証明書のニックネームを必ず定義する必要があります。実際には、どのような場合でも、すべてのニックネームを定義することをお勧めします。CA 署名証明書のニックネームは古い CA と同じになります。
`pki_hsm_`* および `pki_token_`*	これらのパラメーターにより、HSM との通信が可能になります。
pki_existing=True	既存の CA メカニズムを使用するように設定します。
`pki_ca_signing_nickname`	CA 署名ニックネームは、前のインストールで使用されたものとまったく同じである必要があります。そうでない場合、インストーラーは署名キーを見つけることができません。
`pki_ca_signing_`*	証明書署名要求 (CSR) および既存のマシンからコピーされた証明書ファイルへのパスを設定します。
`pki_ds_base_dn`	Directory Server ベース識別名 (DN) を設定します。古いデータを簡単にインポートできるように、以前の CA と同じ値を使用する必要があります。この値は、古い CA の `/var/lib/instance_name/conf/CS.cfg` ファイルの `internaldb.basedn` パラメーターにあります。
`pki_serial_number_range_start`	シリアル番号は重要です。値は、以前の CA で使用される最後の数値よりも高くする必要があります。すでに使用されている番号を表示するには、古い CA のエージェントインターフェースを参照してください。このパラメーターは、先頭に `0x` の接頭辞なしで 16 進形式で設定されます。例 (`4e`) で使用される値は、10 進数の `78` です。
`pki_request_number_range_start`	リクエスト番号が重要である。値は、以前の CA で使用される最後の数値よりも高くする必要があります。すでに使用されている番号を表示するには、古い CA のエージェントインターフェースを参照してください。値は 10 進数の形式で設定されます。
pki_master_crl_enable=False	セットアップ中の証明書失効リスト (CRL) の初期作成と公開を防ぎます。代わりに、CRL はデータベースの移行時に古いデータからインポートされます。
`pki_cert_chain_path` および `pki_cert_chain_nickname`	古い CA が中間 CA の場合にのみ、これらのパラメーターを設定します。この場合、ルート CA 証明書ファイルへのパスと、証明書を Network Security Services (NSS) データベースに保存するときに使用するニックネームにパラメーターを設定します。

詳細およびパラメーターの説明は、man ページの pkispawn(8) を参照してください。

21.1.3. 新規 CA へのデータのインポート

「新規ホストでの CA の設定」で新規 CA インスタンスを作成した後に、データを新規 CA データベースにインポートします。

以前のバージョンから移行する場合、「以前のシステムからのデータのエクスポート」で作成された LDAP データ交換形式 (LDIF) ファイルを手動でクリーンアップしないといけない場合があります。構文チェックがデフォルトで有効になっているため、古いデータには、新しいデータベースでは無効になるエントリーが含まれている可能性があります。以下に例を示します。
- ブール値属性の値を TRUE または FALSE (すべて大文字) に設定する必要があります。
  重要
  検索および置換ユーティリティを使用して、すべての出現箇所を自動的に大文字に更新しないでください。LDIF ファイルの一部の属性にはこれらの文字列が含まれますが、ブール値タイプを使用しません。これらの属性の値を更新すると、インポートが失敗する場合があります。通常、ブール値属性は cn=CAList,ou=Security Domain,CS_instance_name セキュリティードメインデータベースエントリーでのみ使用されます。
- 構文の検証では空の文字列は使用できません。解決策として、その属性に対応する行を削除することです。
  空の文字列は、ou=People,CS_instance_name の cmsUser エントリーに含まれる userType と userState の属性で頻繁に表示されます。
インポート中に、他のエントリーも構文チェックに失敗することがあります。したがって、操作後にログファイルを確認することが重要です。必要に応じて、LDIF ファイルを一時的な空のデータベースにインポートして、インポートに失敗したエントリーを見つけることができます。または、事前に空のデータベースにテストインポートを実行します。
CA サービスをシャットダウンします。
```
# systemctl stop pki-tomcatd@instance_name.service
```
必要に応じて、新しいホストの CA データベースをバックアップします。
```
# db2bak
```
バックアップは、/var/lib/dirsrv/instance_name/bak/host_name-time_stamp/ ディレクトリーに保存されます。
ldapdelete コマンドを実行して、インポートされた署名証明書のシリアル番号を使用して、新しい RHEL 8 内部データベースから署名証明書の証明書エントリーを削除します。新しいデータベースからエントリーを削除すると、このエントリーが古いデータからインポートされるため、そのエントリーの CRL 属性が正しいエントリーを指すようになります。
```
# ldapdelete -x -w password -D 'cn=Directory Manager' "cn={serial_number},ou=certificateRepository,ou=ca,o=pki-tomcat-CA"
```
ldapmodify ユーティリティーを使用して、データを新規データベースにインポートします。以下に例を示します。
```
# ldapmodify -x -W password -D 'cn=Directory Manager' -a -c -f path/to/old_ca.ldif
```
ldapmodify ユーティリティーは新しいエントリーのみを追加し、CA のインストール時に作成された既存のエントリーを更新しません。以下に例を示します。
- トップレベルエントリー。たとえば、o=pki-tomcat-CAです。
- デフォルトグループたとえば、cn=Certificate Manager Agents,ou=groups,o=pki-tomcat-CA です。
  標準グループは更新されないため、ユーザーはこれらのグループに自動的に追加されません。インポート後に、各デフォルトグループにメンバーを手動で追加する必要があります。「デフォルトグループにユーザーの再割り当て」を参照してください。
- CA のデフォルトアクセス制御リスト (ACL)。
- 署名証明書: このエントリーは、古い署名証明書および鍵をインポートする一部として作成されます。
前述のように、一部のエントリーは構文の検証に失敗する場合があります。import.log ファイルの出力を確認し、失敗したアクション (ldap_add: Invalid syntax (21)など) を検索します。詳細は、ステップ 1 を参照してください。

古いセキュリティードメインのディレクトリーエントリーを削除します。以下に例を示します。

# ldapmodify -W password-x -D "cn=Directory Manager"
		dn: cn=server.example.com:9445,cn=CAList,ou=Security Domain,o=pki-tomcat-CA
		changetype: delete

CA が証明書失効リスト(CRL)マスターとして機能するように、/etc/pki/instance_name/ca/CS.cfg ファイルで ca.crl.MasterCRL.enable パラメーターを有効にします。
```
ca.crl.MasterCRL.enable=true
```

CA サービスを起動します。

# systemctl start pki-tomcat@instance_name

21.1.4. デフォルトグループにユーザーの再割り当て

「新規 CA へのデータのインポート」で説明したように、データのインポート時にデフォルトグループのメンバーは復元されません。

ldapmodify ユーティリティーまたは pki ユーティリティーを使用して、デフォルトのグループにメンバーを手動で追加します。以下に例を示します。

クライアントを設定します。

# pki -c password client-init
	------------------
	Client initialized
	------------------
	# pk12util -i ~/.dogtag/instance_name/ca_admin_cert.p12 -d ~/.dogtag/nssdb/
	Enter Password or Pin for "NSS Certificate DB":
	Enter password for PKCS12 file:
	pk12util: PKCS12 IMPORT SUCCESSFUL

user アカウントを Certificate Manager Agents、Administrators、および Security Domain Administrators グループに追加します。

# pki -n "PKI Administrator for example.com" -c password \
	     user-membership-add user_name "Certificate Manager Agents"

	# pki -n "PKI Administrator for example.com" -c password \
	     user-membership-add user "Administrators"

	# pki -n "PKI Administrator for example.com" -c password \
	     user-membership-add user "Security Domain Administrators"

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

第21章 Certificate System 9 からCertificate System 10 へのアップグレード

21.1. 既存の CA ファイルを使用した CA の移行

21.1.1. 以前のシステムからのデータのエクスポート

21.1.2. 新規ホストでの CA の設定

21.1.3. 新規 CA へのデータのインポート

21.1.4. デフォルトグループにユーザーの再割り当て