15.3.2.3. 署名済み監査ログの確認
監査ログの署名が有効な場合、監査権限を持つユーザーはログを確認することができます。
- NSS データベースを初期化し、CA 証明書をインポートします。詳細は、「pki CLI の初期化」 および『Red Hat Certificate System 9 計画、インストール、およびデプロイメントのガイド』の『NSS データベースへの証明書のインポート』セクションを参照してください。
- 監査署名証明書が PKI クライアントデータベースにない場合は、インポートします。
- 確認するサブシステムログについて監査署名証明書を検索します。以下に例を示します。
# pki ca-cert-find --name "CA Audit Signing Certificate" --------------- 1 entries found --------------- Serial Number: 0x5 Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE Status: VALID Type: X.509 version 3 Key Algorithm: PKCS #1 RSA with 2048-bit key Not Valid Before: Fri Jul 08 03:56:08 CEST 2016 Not Valid After: Thu Jun 28 03:56:08 CEST 2018 Issued On: Fri Jul 08 03:56:08 CEST 2016 Issued By: system ---------------------------- Number of entries returned 1 ----------------------------
- 監査署名証明書を PKI クライアントにインポートします。
# pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P" --------------------------------------------------- Imported certificate "CA Audit Signing Certificate" ---------------------------------------------------
- 監査ログをダウンロードします。「監査ログのダウンロード」を参照してください。
- 監査ログを確認します。
- 検証する監査ログファイルのリストを時系列で含むテキストファイルを作成します。以下に例を示します。
# cat > ~/audit.txt << EOF ca_audit.20170331225716 ca_audit.20170401001030 ca_audit EOF
AuditVerifyユーティリティーを使用して署名を確認します。以下に例を示します。# AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \ -a ~/audit.txt Verification process complete. Valid signatures: 10 Invalid signatures: 0
AuditVerifyの使用方法は、AuditVerify(1) man ページを参照してください。