3.2. 証明書プロファイルの設定
証明書システムでは、登録プロファイルを追加、削除、および変更できます。
- PKI コマンドラインインターフェイスの使用
- Java ベースの管理コンソールの使用
本セクションでは、各メソッドに関する情報を提供します。
3.2.1. PKI コマンドラインインターフェイスを使用した証明書の登録プロファイルの管理
本セクションでは、
pki
ユーティリティーを使用して証明書プロファイルを管理する方法を説明します。詳細は、pki-ca-profile(1) の man ページを参照してください。
注記
RAW 形式の使用が推奨されます。プロファイルの各属性およびフィールドの詳細は、Red Hat Certificate System 計画、インストール、およびデプロイメントガイドの証明書プロファイルの作成および編集を参照してください。
3.2.1.1. 証明書プロファイルの有効化および無効化
証明書プロファイルを編集する前に、無効にする必要があります。変更が完了したら、プロファイルを再度有効にできます。
注記
CA エージェントのみが、証明書プロファイルを有効化および無効化できます。
たとえば、
caCMCECserverCert
証明書プロファイルを無効にするには、次のコマンドを実行します。
# pki -c password -n caagent ca-profile-disable caCMCECserverCert
たとえば、
caCMCECserverCert
証明書プロファイルを有効にするには、次のコマンドを実行します。
# pki -c password -n caagent ca-profile-enable caCMCECserverCert
3.2.1.2. Raw 形式の証明書プロファイルの作成
新規プロファイルを raw 形式で作成するには、次のコマンドを実行します。
# pki -c password -n caadmin ca-profile-add profile_name.cfg --raw
注記
raw 形式で、以下のように新しいプロファイル ID を指定します。
profileId=profile_name
3.2.1.3. RAW 形式での証明書プロファイルの編集
CA 管理者は、設定ファイルを手動でダウンロードせずに、RAW 形式で証明書プロファイルを編集できます。
たとえば、
caCMCECserverCert
プロファイルを編集するには、次のコマンドを実行します。
# pki -c password -n caadmin ca-profile-edit caCMCECserverCert
このコマンドは、プロファイル設定を RAW 形式で自動的にダウンロードし、
VI
エディターで開きます。エディターを閉じると、サーバーでプロファイル設定が更新されます。
プロファイルの編集後に CA を再起動する必要はありません。
重要
プロファイルを編集する前に、プロファイルを無効にします。詳細は、「証明書プロファイルの有効化および無効化」 を参照してください。
例3.2 RAW 形式での証明書プロファイルの編集
たとえば、
caCMCserverCert
プロファイルを編集して、ユーザーが提供する複数の拡張機能を許可するには、次を行います。
- CA エージェントであるプロファイルを無効にします。
# pki -c password -n caagemt ca-profile-disable caCMCserverCert
- プロファイルを CA 管理者として編集します。
VI
エディターでプロファイルをダウンロードして開きます。# pki -c password -n caadmin ca-profile-edit caCMCserverCert
- 設定を更新して、拡張機能を受け入れます。詳細は、例B.3「CSR の Multiple User Supplied Extension」を参照してください。
- プロファイルを CA エージェントとして有効にします。
# pki -c password -n caagent ca-profile-enable caCMCserverCert
3.2.1.4. 証明書プロファイルの削除
証明書プロファイルを削除するには、次のコマンドを実行します。
# pki -c password -n caadmin ca-profile-del profile_name
重要
プロファイルを削除する前に、プロファイルを無効にします。詳細は、「証明書プロファイルの有効化および無効化」 を参照してください。