第11章 その他のインストールオプション
pkispawn で作成したすべての Red Hat Certificate System インスタンスは、インストールされているインスタンスについて、CA 署名証明書に使用するデフォルトの署名アルゴリズムやホストの IPv6 アドレスを許可するかどうかなど、インストールされているインスタンスについて仮定します。
本章では、新しいインスタンスのインストールと設定に影響を与える追加の設定オプションについて説明します。そのため、これらの手順の多くは、インスタンスが作成される前に実行されます。
11.1. 軽量サブ CA
デフォルト設定を使用すると、軽量のサブ CA を作成できます。これにより、1 つのサブ CA が発行する証明書のみを受け入れるように、仮想プライベートネットワーク (VPN) ゲートウェイなどのサービスを設定できます。同時に、別のサブ CA またはルート CA が発行する証明書のみを受け入れるように他のサービスを設定できます。
サブ CA の中間証明書を破棄する場合には、このサブ CA で発行された証明書はすべて無効になります。
Certificate System で CA サブシステムを設定すると、ルート CA は自動的に実行されます。作成するサブ CA はすべてこのルート CA の下位局になります。
11.1.1. 軽量サブ CA の設定
11.1.2. 軽量サブ CA の作成の無効化
特定の状況では、管理者は軽量のサブ CA を無効にする必要があります。サブ CA の追加、変更、または削除を防ぐには、Certificate System が使用する Directory Server インスタンスで以下のコマンドを入力します。
# ldapmodify -D "cn=Directory Manager" -W -x -h server.example.com dn: cn=aclResources,o=instance_name changetype: modify delete: resourceACLS resourceACLS: certServer.ca.authorities:create,modify:allow (create,modify) group="Administrators":Administrators may create and modify lightweight authorities delete: resourceACLS resourceACLS: certServer.ca.authorities:delete:allow (delete) group="Administrators":Administrators may delete lightweight authorities
このコマンドは、サブ CA を管理するパーミッションを付与するデフォルトのアクセス制御リスト (ACL) エントリーを削除します。
注記
軽量のサブ CA 作成に関連する ACL を変更または追加する場合は、関連する値を削除します。
11.1.3. 軽量サブ CA の作成の再有効化
以前、軽量のサブ CA の作成を無効にしている場合は、Certificate System が使用する Directory Server インスタンスで以下のコマンドを入力して、機能を再度有効にできます。
# ldapmodify -D "cn=Directory Manager" -W -x -h server.example.com dn: cn=aclResources,o=instance_name changetype: modify add: resourceACLS resourceACLS: certServer.ca.authorities:create,modify:allow (create,modify) group="Administrators":Administrators may create and modify lightweight authorities resourceACLS: certServer.ca.authorities:delete:allow (delete) group="Administrators":Administrators may delete lightweight authorities
このコマンドは、アクセス制御リスト (ACL) エントリーを追加します。このエントリーは、サブ CA を管理するパーミッションを付与します。
