第5章 Red Hat Enterprise Linux 8.3 上の Red Hat Certificate System 10.1

このセクションでは、注目すべき更新と新機能、重要なバグ修正、ユーザーが知っておくべき現在の既知の問題など、RHEL 8.3 上の Red Hat Certificate System 10.1 の重要な変更について説明します。

注記

Red Hat Certificate System を以前のマイナーバージョンにダウングレードすることはサポートされていません。

5.1. CS 10.1 の更新と新機能

このセクションでは、Red Hat Certificate System 10.1 の新機能および重要な更新について説明します。

Certificate System パッケージがバージョン 10.9.0 にリベース

pki-coreredhat-pkiredhat-pki-theme、および pki-console パッケージがアップストリームバージョン 10.9.0 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

JSS が FIPS 準拠の SSLContext を提供

以前のリリースでは、Tomcat は Java Cryptography Architecture (JCA) SSLContext クラスの SSLEngine ディレクティブを使用していました。デフォルトの SunJSSE 実装は連邦情報処理標準 (FIPS) に準拠していないため、PKI は JSS 経由で FIPS 準拠の実装を提供するようになりました。

サーバー側の Keygen 登録

多くの新しいバージョンのブラウザーでは、PKI キーを生成する機能と、キーアーカイブ用の CRMF のサポートが削除されています。この相互運用性を解決するために、Red Hat Certificate System 10.1 では、サーバー側の Keygen 登録メカニズムが導入されています。キーは KRA サーバーで生成され、PKCS#12 のクライアントに安全に転送されます。

注記

暗号化証明書にのみサーバー側 Keygen メカニズムを使用することが強く推奨されます。

主な機能

  • 証明書要求キーが KRA で生成される (注: CA と連携するには、KRA をインストールする必要があります)
  • プロファイルのデフォルトプラグイン serverKeygenUserKeyDefaultImpl により、キーアーカイブ (つまり enableArchival) を有効化または無効化できるように
  • RSA 鍵と EC 鍵の両方のサポート
  • 手動 (エージェント) 承認と自動承認 (ディレクトリーパスワードベースなど) の両方のサポート

CA 証明書の埋め込み署名証明書タイムスタンプを使用した CA 証明書送信

Red Hat Certificate System は、Certificate Transparency (CT) V1 サポートの基本バージョン (rfc 6962) を提供します。各デプロイメントサイトがルート CA 証明書を含めることを選択した信頼できるログから、Signed Certificate Time スタンプ (SCT) が埋め込まれた証明書を発行する機能があります。複数の CT ログに対応するようにシステムを設定することもできます。この機能を使用するには、少なくとも 1 つの信頼できる CT ログが必要です。

重要

デプロイメントサイトが、信頼できる CT ログサーバーとの信頼関係を確立します。

pki-core パッケージの更新と新機能:

公開鍵基盤 (PKI) の全体的な正常性を確認できるようになる

pki-healthcheck ツールでは、公開鍵基盤 (PKI) 環境の正常性に影響を与える可能性のあるエラー状態を見つけ、報告できるチェック機能が含まれています。

PKI が、RSA PSS (Probabilistic Signature Scheme) 署名アルゴリズムに対応するようになる

今回の機能強化により、PKI は RSA PSS (Probabilistic Signature Scheme) 署名アルゴリズムに対応するようになりました。この機能を有効にするには、特定のサブシステムに対して pkispawn スクリプトファイルに以下の行を設定します (pki_use_pss_rsa_signing_algorithm=True)。