3.6.4. 認証局の有効期間を過ぎた認証局証明書の更新の許可
通常、証明書は、発行先の CA 証明書の有効期限 後 に終わる有効期間では発行できません。CA 証明書の有効期限が 2015 年 12 月 31 日である場合、証明書はすべて 2015 年 12 月 31 日または 2015 年 12 月 31 日より前に有効期限が切れる必要があります。
このルールは、CA が発行する他の CA 署名証明書に適用されます。これにより、ルート CA 証明書はほとんど更新できなくなります。CA 署名証明書を更新するということは、それ自体の有効期限を過ぎた有効期間が必ず必要になることを意味します。
この動作は CA Validity Default を使用して変更できます。このデフォルト設定では、発行している CA の有効期限 (notAfter) の期間を拡張する有効期間で CA 証明書を発行できる設定 (bypassCAnotafter) が許可されます。
図3.4 CA 有効性のデフォルト設定
実際のデプロイメントでは、これが意味するのは、ルート CA の CA 証明書は、他の方法では防止できる場合でも更新できるということです。
元の CA の有効期間前に CA 証明書の更新を有効にするには、以下を実行します。
caCACert.cfgファイルを開きます。vim /var/lib/pki/instance_name/ca/conf/caCACert.cfg
- CA Validity デフォルトはデフォルトで存在する必要があります。値を true に設定して、発行 CA の有効期間を過ぎて CA 証明書を更新できるようにします。
policyset.caCertSet.2.default.name=CA Certificate Validity Default policyset.caCertSet.2.default.params.range=2922 policyset.caCertSet.2.default.params.startTime=0
policyset.caCertSet.2.default.params.bypassCAnotafter=true - CA を再起動して変更を適用します。
エージェントが更新要求を確認すると、通常の有効期間制約をバイパスすることを可能にする Extensions/Fields エリアにオプションがあります。エージェントが false を選択すると、プロファイルに bypassCAnotafter=true が設定された場合でも制約が適用されます。bypassCAnotafter 値が有効になっていない時にエージェントが true を選択する場合、更新要求は CA によって拒否されます。
図3.5 エージェントサービスページの CA 制約オプションを回避
注記
CA Validity のデフォルトは、CA 署名の証明書の更新にのみ適用されます。その他の証明書は、引き続き CA の有効期間内で発行および更新する必要があります。
CA の ca.enablePastCATime の個別の設定を使用すると、CA の有効期間を過去に証明書を更新することができます。ただし、これは、その CA が発行する すべて の証明書に適用されます。セキュリティーの問題が発生する可能性があるため、実稼働環境でこの設定は推奨されません。