3.6.2. 証明書の発行における CA の制限の変更

発行された証明書の制限は、サブシステムの設定後にデフォルトで設定されます。これには、以下が含まれます。
  • CA 署名証明書よりも長い有効期間で証明書を発行できるかどうか。デフォルトでは、これを無効にします。
  • 証明書の署名に使用される署名アルゴリズム。
  • CA が証明書を発行するために使用するシリアル番号の範囲。
下位 CA には、有効期間、証明書の種類、および発行可能な拡張の種類に制約があります。下位 CA はこれらの制約に違反する証明書を発行できますが、これらの制約に違反する証明書を認証するクライアントはその証明書を受け入れません。下位 CA の発行ルールを変更する前に、CA 署名証明書に設定された制約を確認してください。
証明書の発行ルールを変更するには、次のコマンドを実行します。
  1. CertificateCertificate Systemnbsp;System コンソールを開きます。 
    pkiconsole https://server.example.com:8443/ca
  2. Configuration タブの左側のナビゲーションツリーで、Certificate Manager アイテムを選択します。

    図3.1 デフォルトでは、非従属 CA の一般設定タブ

    デフォルトでは、非従属 CA の一般設定タブ
  3. デフォルトでは、クローン以外の CA では、Certificate Manager メニュー項目の General Settings タブに以下のオプションが含まれます。
    • Override validity nesting requirement。このチェックボックスでは、Certificate Manager が、CA 署名の証明書有効期間よりも長い有効期間の証明書を発行できるかどうかを設定します。
      このチェックボックスを選択しておらず、CA が CA 署名証明書の有効期間よりも長い期間要求を受け取ると、CA 署名証明書の期限が切れる時点で自動的に終了するように有効期間が切り捨てられます。
    • Certificate Serial Number。これらのフィールドは、Certificate Manager が発行する証明書のシリアル番号の範囲を表示します。サーバーは、Next serial number フィールドのシリアル番号を、次に発行する証明書に割り当て、Ending serial number の番号を、最後に発行した証明書に割り当てます。
      シリアル番号の範囲により、複数の CA をデプロイでき、各 CA が発行する証明書の数のバランスを取ります。発行者名とシリアル番号の組み合わせは、証明書を一意に識別する必要があります。
      注記
      クローン CA を使用するシリアル番号の範囲は fluid です。複製されたすべての CA は、次の利用可能な範囲を定義する共通の設定エントリーを共有します。1 つの CA が利用可能な数未満の実行を開始すると、この設定エントリーをチェックし、次の範囲を要求します。エントリーは自動的に更新されます。これにより、次の CA が新規範囲を取得します。
      範囲は begin*Number 属性および end*Number 属性で定義され、個別の範囲が要求および証明書のシリアル番号に対して定義されます。以下に例を示します。 
       dbs.beginRequestNumber=1
 dbs.beginSerialNumber=1
 dbs.enableSerialManagement=true
 dbs.endRequestNumber=9980000
 dbs.endSerialNumber=ffe0000
 dbs.ldap=internaldb
 dbs.newSchemaEntryAdded=true
 dbs.replicaCloneTransferNumber=5
      シリアル番号管理は、クローンされていない CA に対して有効にできます。ただし、デフォルトでは、システムが自動的に有効になった場合にシステムのクローンが作成されない限り、シリアル番号の管理が無効になります。
      シリアル番号の範囲は、コンソールで手動で更新することはできません。シリアル番号の範囲は読み取り専用フィールドです。
    • 署名アルゴリズムのデフォルト。Certificate Manager が証明書の署名に使用する署名アルゴリズムを指定します。このオプションは、SHA 256withRSASHA512withRSA になります (CA の署名鍵タイプが RSA の場合は SHA512withRSA)。
      証明書プロファイル設定に指定された署名アルゴリズムは、ここに設定されたアルゴリズムよりも優先されます。
  4. デフォルトでは、クローン作成された CA では、Certificate Manager メニュー項目の General Settings タブに以下のオプションが含まれます。
    • ランダムなシリアル番号管理
    • Enable random certificate serial numbers
    両方のチェックボックスを選択します。

    図3.2 デフォルトでクローン作成された CA の General Settings タブ

    デフォルトでクローン作成された CA の General Settings タブ
  5. Save をクリックします。