管理ガイド
1. Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System サブシステムの概要
I. Red Hat Certificate System ユーザーインターフェイス
1. 2. ユーザーインターフェイス
II. 証明書サービスの設定
III. CA サービスを管理するための追加設定
IV. サブシステムインスタンスの管理
V. 参考資料
F. 改訂履歴

Language:
Format:

Language:
Format:

3.6. CA 関連プロファイルの管理

証明書プロファイルと拡張機能を使用して、下位 CA が証明書を発行する方法にルールを設定する必要があります。これには 2 つの部分があります。

CA 署名証明書の管理
発行ルールの定義

3.6.1. CA 証明書での制限の設定

下位 CA が作成されると、ルート CA は下位 CA に制限または制限を課できます。たとえば、ルート CA は、CA 署名証明書の Basic Constraints 拡張機能の pathLenConstraint フィールドを設定することにより、有効な認証パスの最大深度 (新しい CA の下にチェーンできる下位 CA の数) を指定できます。

証明書チェーンは、通常エンティティー証明書、ゼロまたは中間 CA 証明書、ルート CA 証明書で設定されます。ルート CA 証明書は、自己署名型または外部の信頼できる CA によって署名されます。ルート CA 証明書は、信頼できる CA として証明書データベースに読み込まれます。

証明書の交換は、TLS ハンドシェイクの実行時、S/MIME メッセージの送信時、または署名済みオブジェクトを送信するときに行われます。ハンドシェイクの一部として、送信者は、サブジェクト証明書と、サブジェクト証明書を信頼されたルートにリンクするために必要な中間 CA 証明書を送信する必要があります。証明書チェーンが適切に証明書を有効にするには、以下のプロパティーが必要です。

CA 証明書には、基本的な制約の拡張子が必要です。
CA 証明書の鍵用途拡張に keyCertSign ビットが設定されている必要があります。
CA が新しい鍵を生成する場合は、すべてのサブジェクト証明書に認証局キー識別子の拡張子を追加する必要があります。この拡張機能は、これらの証明書を古い CA 証明書と区別するのに役立ちます。CA 証明書には Subject Key Identifier 拡張が含まれている必要があります。

証明書とその拡張の詳細は、RFC 5280 で利用可能な『Internet X.509 Public Key Infrastructure - Certificate and Certificate Revocation List (CRL) Profile (RFC 5280)』を参照してください。

これらの拡張機能は、証明書プロファイルの登録ページで設定できます。デフォルトでは、CA には必須かつ合理的な設定設定が含まれますが、これらの設定をカスタマイズすることは可能です。

注記

この手順では、CA が使用する CA 証明書プロファイルを編集して、下位 CA に CA 証明書を発行する方法を説明します。

CA インスタンスの初期設定時に使用されるプロファイルは、/var/lib/pki/instance_name/ca/conf/caCert.profile です。このプロファイルは、pkiconsole で編集することはできません (インスタンスを設定する前のみ利用可能)。テキストエディターで CA を設定する前に、テンプレートファイルでこのプロファイルのポリシーを編集することができます。

CA が使用する CA 署名証明書プロファイルでデフォルトを変更するには、以下を実行します。

プロファイルが有効になっている場合は、編集する前に無効にする必要があります。エージェントサービスページを開き、左側のナビゲーションメニューから Manage Certificate Profile を選択してプロファイルを選択し、Disable profile をクリックします。

CA コンソールを開きます。

pkiconsole https://server.example.com:8443/ca

Configuration タブの左側のナビゲーションツリーで、Certificate Manager を選択し、Certificate Profiles を選択します。
右側のウィンドウから caCACert または該当する CA 署名証明書プロファイルを選択し、Edit/View をクリックします。
Certificate Profile Rule Editor の Policies タブで、キー使用法または拡張キー使用法拡張機能のデフォルトが存在する場合はそれを選択して編集するか、プロファイルに追加します。
必要に応じて、デフォルトとして、Key Usage または Extended Key Usage Extension Constraint を選択します。
CA 証明書のデフォルト値を設定します。詳細は、「Key Usage 拡張機能のデフォルト」および「Extended Key Usage 拡張機能のデフォルト」を参照してください。
CA 証明書の制約値を設定します。キー使用拡張に設定する制約はありません。拡張キーの使用の拡張機能の場合は、CA に適切な OID 制約を設定します。詳細は、「Extended Key Usage 拡張機能のデフォルト」を参照してください。
プロファイルに変更を加えたら、エージェントサービスページを再度ログインして、証明書プロファイルを再度有効にします。

証明書プロファイルの変更の詳細は、「証明書プロファイルの設定」を参照してください。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

3.6. CA 関連プロファイルの管理

Language and Page Formatting Options

3.6. CA 関連プロファイルの管理

3.6.1. CA 証明書での制限の設定