3.6.3. ランダム証明書のシリアル番号の使用
Red Hat Certificate System には、要求、証明書、レプリカ ID に対するシリアル番号の範囲管理が含まれています。これにより、
Identity Management (IdM) インストール時のクローン作成を自動化できます。
ハッシュベースの攻撃の可能性が低くなるには、以下の方法を使用できます。
- 攻撃者に予測できない証明書のシリアル番号の一部にする
- ランダムに選択されたコンポーネントを ID に追加する
- それぞれを前後に歪めることにより、攻撃者が有効期限を予測できないようにする
ランダムな証明書のシリアル番号割り当て 方法は、無作為に選択されたコンポーネントを ID に追加します。この方法は以下の通りです。
- クローン作成で機能
- 競合の解決を許可する
- 現在のシリアル番号管理方法との互換性がある
- 管理者、エージェント、およびエンドエンティティーの現在のワークフローと互換性がある
- 連続するシリアル番号管理で既存のバグを修正。
備考
管理者は、証明書のシリアル番号を有効にする必要があります。
3.6.3.1. ランダム証明書のシリアル番号の有効化
コマンドラインまたはコンソール UI から自動シリアル番号範囲管理を有効にすることができます。
コンソール UI から自動シリアル番号管理を有効にするには、以下を行います。
- General Settings タブで、Enable serial number management オプションを選択します。
図3.3 乱数の割り当てが有効な場合の General Settings タブ
- Enable random certificate serial numbers オプションをオンにします。