13.8. CMC の設定
本セクションでは、CMS (CMC) で証明書管理に Certificate System を設定する方法を説明します。
13.8.1. CMC の仕組み
CMC を設定する前に、以下のドキュメントを参照してこのトピックの詳細を確認してください。
- 『Red Hat Certificate System 管理ガイド』の『CMC を使用した証明書の発行』
- 『Red Hat Certificate System 管理ガイド』の『証明書 (証明書プロファイル) を発行するルールの作成』
13.8.2. PopLinkWittnessV2 機能の有効化
認証局 (CA) の高レベルのセキュリティーの場合は、
/var/lib/pki/instance_name/ca/conf/CS.cfg ファイルで以下のオプションを有効にします。
cmc.popLinkWitnessRequired=true
13.8.3. CMC 共有シークレット機能の有効化
認証局 (CA) で共有トークン機能を有効にするには、以下を実行します。
- ホストでウォッチドッグサービスが有効になっている場合は、そのサービスを一時的に無効にします。「Watchdog サービスの無効化」を参照してください。
- Directory Server のスキーマに
shrTok属性を追加します。# ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x dn: cn=schema changetype: modify add: attributetypes attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 SINGLE-VALUE X-ORIGIN 'custom for sharedToken')
- システムキーが Hardware Security Module (HSM) に保存されている場合は、
/var/lib/pki/instance_name/ca/conf/CS.cfgファイルにcmc.tokenパラメーターを設定します。以下に例を示します。cmc.token=NHSM6000
- 以下の方法のいずれかを使用して、共有トークン認証プラグインを有効にします。
pkiconsoleユーティリティーを使用してプラグインを有効にするには、次のコマンドを実行します。pkiconsoleユーティリティーを使用してシステムにログインします。以下に例を示します。# pkiconsole https:host.example.com:8443/ca
- Configuration タブで、Authentication を選択します。
- Add をクリックして、SharedToken を選択します。
- Next をクリックします。
- 以下の情報を入力します。
Authentication InstanceID=SharedToken shrTokAttr=shrTok ldap.ldapconn.host=server.example.com ldap.ldapconn.port=636 ldap.ldapconn.secureConn=true ldap.ldapauth.bindDN=cn=Directory Manager password=password ldap.ldapauth.authtype=BasicAuth ldap.basedn=ou=People,dc=example,dc=org
- OK をクリックします。
- プラグインを手動で有効にするには、以下の設定を
/var/lib/pki/instance_name/ca/conf/CS.cfgファイルに追加します。auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret auths.instance.SharedToken.dnpattern= auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken auths.instance.SharedToken.ldap.ldapauth.clientCertNickname= auths.instance.SharedToken.ldap.ldapconn.host=server.example.com auths.instance.SharedToken.ldap.ldapconn.port=636 auths.instance.SharedToken.ldap.ldapconn.secureConn=true auths.instance.SharedToken.ldap.ldapconn.version=3 auths.instance.SharedToken.ldap.maxConns= auths.instance.SharedToken.ldap.minConns= auths.instance.SharedToken.ldapByteAttributes= auths.instance.SharedToken.ldapStringAttributes= auths.instance.SharedToken.pluginName=SharedToken auths.instance.SharedToken.shrTokAttr=shrTok
/var/lib/pki/instance_name/ca/conf/CS.cfgファイルのca.cert.issuance_protection.nicknameパラメーターで、RSA 発行保護証明書のニックネームを設定します。以下に例を示します。ca.cert.issuance_protection.nickname=issuance_protection_certificate
このステップは以下のとおりです。ca.cert.subsystem.nicknameパラメーターで RSA 証明書を使用する場合はオプションになります。ca.cert.subsystem.nicknameパラメーターで ECC 証明書を使用する場合に必須です。
重要ca.cert.issuance_protection.nicknameパラメーターが設定されていない場合、Certificate System はca.cert.subsystem.nicknameで指定されたサブシステムの証明書を自動的に使用します。ただし、発行保護証明書は RSA 証明書である必要があります。- Certificate System を再起動します。
# systemctl restart pki-tomcatd@instance_name.service
CA が起動すると、Certificate System は Shared Token プラグインが使用する LDAP パスワードを要求します。 - この手順の最初に watchdog サービスを一時的に無効にした場合は、再度有効にします。「Watchdog サービスの有効化」を参照してください。
13.8.4. Web ユーザーインターフェイスの CMCRevoke の有効化
『Red Hat Certificate System 管理ガイド』の『CMC 失効の実行』セクションで説明されているように、失効リクエストを送信する方法は 2 つあります。
CMCRevoke ユーティリティーを使用して、Web UI で送信される失効要求を作成する場合は、以下の設定を /var/lib/pki/instance_name/ca/conf/CS.cfg ファイルに追加します。
cmc.bypassClientAuth=true